搜索
Linuxvsftp安全配置FTP服务器面临的安全隐患FTP服务器面临的安全隐患主要包括:缓冲区溢出攻击、数据嗅探、匿名访问缺陷和访问漏洞。VSFtp一些安全配置:1.修改Vsftpd服务器的默认端口和修改其他设置基于安全考虑,将预设的21端口改为2123。修改配置文件/etc/vsftpd/vsftpd.conf,在文件最后增加如下一行内容:listen_port=2123ftp_data_port=2020在实际应用中,为了增加安全性,会将FTP服务器置于防火墙之后。修改Vsftpd服务器的默认端口后要及时修改防火墙的端口设定。现在服务器FTP端口为2123,数据传输端口为2020。#iptables-AINPUT-ptcp-mmultiport--dport2123,2020-jACCEPT#iptables-AINPUT-ptcp-jREJECT--reject-withtcp-reset修改其他设置ls_recurse_enable=NO#关闭“ls-R命令,该命令常被用于DoS攻击,非常浪费系统资源#ascii_download_enable=NO#关闭ASCII模式下载,防止被用于DoS攻击,ASCII下载很消耗CPU负担2.使用BlockHosts软件防范暴力破解BlockHosts软件就是利用通过分析日志文件帮助tcp_wrappers实现工作自动化。例如在30秒钟内一个IP地址(192.168.1.23)连续30次登录sshd服务器而且全部因为密码错误登录失败。那么这个IP地址无疑是非法或者恶意主机。这时BlockHosts会自动将该IP地址写入/etc/hosts.deny文件。首先编辑你的/etc/syslog.conf文件,一般修改security.*/var/log/security条目内容如下:security.*;auth.info/var/log/security原因很简单,这样syslogd就把连接到sshd的日志信息记录下来。BlockHosts官方网站:,最新版本:1.0.3。下载启动BlockHosts步骤,另外需要Python语言和SSH软件的支持。可以使用下面命令检测。#rpm-qa|grepPython;rpm-qa|grepssh#wget–zxvfBlockHosts-1.0.0.tar.gz“建立一个目录”pythonsetup.pyBlockHosts是基于命令行模式的,使用非常简单这里就不赘述了。3.使用xinetd方式运行Vsftpd能以Stand-alone、xinetd两种模式运行,当用户账号比较少又经常需要连接到Vsftpd服务器时推荐使用xinetd模式运行。使用xinetd方式运行可以有效防范DoS攻击。从传统的守护进程的概念可以看出,对于系统所要通过的每一种服务,都必须运行一个监听某个端口连接所发生的守护进程,这通常意味着资源浪费。为了解决这个问题,一些Linux引进了“网络守护进程服务程序”的概念。RedhatLinux8.0以后的版本使用的网络守护进程是xinted(eXtendedInterNETdaemon)。和stand-alone模式相比xinted模式也称InternetSuper-Server(超级服务器)。xinetd能够同时监听多个指定的端口,在接受用户请求时,他能够根据用户请求的端口不同,启动不同的网络服务进程来处理这些用户请求。可以把xinetd看做一个管理启动服务的管理服务器,它决定把一个客户请求交给那个程序处理,然后启动相应的守护进程。xinetd模式工作原理见图7。图7xinetd模式网络服务和stand-alone工作模式相比,系统不想要每一个网络服务进程都监听其服务端口。运行单个xinetd就可以同时监听所有服务端口,这样就降低了系统开销,保护系统资源。但是对于访问量大、经常出现并发访问时,xinetd想要频繁启动对应的网络服务进程,反而会导致系统性能下降。察看系统为Linux服务提供那种模式方法在Linux命令行可以使用pstree命令可以看到两种不同方式启动的网络服务。xinetd提供类似于inetd+tcp_wrapper的功能,但是更加强大和安全。能有效的防止拒绝服务攻击(DenialofServices):从stand-alone转换到守护进程模式下:我们需要在守护进程配置目录/etc/xinetd.d/里建立vsftpd的守护进程文件。我们在安装时已经将该文件考到/etc/xinetd.d/目录下了。我们稍稍修改其内容:#vi/etc/xinetd.d/vsftpdserviceftp{disable=nosocket_type=streamwait=nouser=rootserver=/usr/local/sbin/vsftpdserver_args=/etc/vsftpd/vsftpd.confnice=10}接下来把配置文件中的listen=yes或listen_ipv6=yes去掉,停掉vsftpd服务,重启xinetd服务:#sesrvicevsftpdstop#servicexinetdrestart重新启动守护进程后,vsftpd服务就会让守护进程来管理了。在守护进程管理过程中,我们再修改主配置文件的话,就不需要重新启动服务了。a、限制同时运行的进程数。通过设置instances选项设定同时运行的并发进程数:instances=20当服务器被请求连接的进程数达到20个时,xinetd将停止接受多出部分的连接请求。直到请求连接数低于设定值为止。限制一个IP地址的最大连接数:通过限制一个主机的最大连接数,从而防止某个主机独占某个服务。per_source=5这里每个IP地址可以连接单个IP地址的连接数是5个。b.限制负载。xinetd还可以使用限制负载的方法防范拒绝服务攻击。用一个浮点数作为负载系数,当负载达到这个数目的时候,该服务将暂停处理后续的连接:max_load=2.8上面的例子中当一项系统负载达到2.8时,所有服务将暂时中止,直到系统负载下降到设定值以下。说明要使用这个选项,编译时要加入--with-loadavg,xinetd将而已处理max-load配置选项。从而在系统负载过重时关闭某些服务进程,来实现某些拒绝服务攻击。c.限制所有服务器数目(连接速率)。xinetd可以使用cps选项设定连接速率,下面的例子:cps=2560第一个参数表示每秒可以处理的连接数,如果超过了这个连接数之后进入的连接将被暂时停止处理;第二个参数表示停止处理多少秒后继续处理先前暂停处理的连接。即服务器最多启动25个连接,如果达到这个数目将停止启动新服务60秒。在此期间不接受任何请求。使用上面指令有助于防止某个xinetd服务大量占用系统,从而导致“拒绝服务”情况的出现。关于TCPWrappersTCPWrappers的作用,就是通过分析TCP网络数据包,根据其包头的IP地址和端口号,决定是否让这个数据进入到主机之中,因此我们也可以把它当成一个最内层的防火墙。数据包要进入ftp服务器,首先经过netfilter的过滤,通过TCPWrappers筛选,守护进程(xinetd模式)限制,最后才能交由vsftpd进程来处理。我们可以设置TCPWrappers来限制某些主机能或者不能访问ftp服务器,这需要编辑两个文件:/etc/hosts.allow/etc/hosts.deny当数据包通过TCPWrappers筛选时,/etc/hosts.allow文件会首先读取,然后再读取/etc/hosts.deny文件,就是说/etc/hosts.allow优先级要高一些。这两个文件设置规则如下:service_name:IP,domain,hostname,network:allow|denyservice_name字段是服务名,也就是/etc/rc.d/init.d/目录下存在的文件名;第二个字段是可以是IP、域名、一台主机或者一个网段;第三个字段表示允许通过或者禁止。具体看下面的例子:vsftpd:192.168.0.111:allow//允许主机192.168.0.111访问vsftpd服务器httpd:10.100.1.0/255.255.255.0:deny//禁止10.100.1.0/24这个子网访问服务最后一个字段的:allow或:deny可以省略,写在/etc/hosts.allow文件里默认就是allow,/etc/hosts.deny文件里默认是deny。其实我们可以把所有语句都写在hosts.allow文件中,但建议大家把allow和deny的语句分别写到两个文件之中。TCPWrappers默认规则是允许所有数据包通过,所以大家在填写允许条目之后,一定还要加一条deny语句来拒绝其它的包。比如:#vi/etc/hosts.allowvsftpd:192.168.1.0/255.255.255.0//允许192.168.1.0/24网段可以访问ftp#vi/etc/hosts.denyvsftpd:ALL//拒绝其它所有主机访问ftp如果vsftpd工作在守护进程模式下,不但可以受到TCPWrappers的筛选,还可以设置守护进程配置文件来进行同样的过滤,这使用下面两条语句:only_from=IP,host,domain,network//限制可以访问的IP、主机、网络no_access=IP,host,domain,network//限制不能访问的IP、主机、网络下面我们将only_from语句加入/etc/xinetd.d/vsftpd文件中,实现只有子网192.168.0.128/25才可以登录ftp服务器:serviceftp{disable=nosocket_type=streamwait=nouser=rootserver=/usr/local/sbin/vsftpdserver_args=/etc/vsftpd/vsftpd.confnice=10only_from=192.168.0.128/25}如果vsftpd工作在standalone模式下,必须在编译vsftpd之前修改头文件builddefs.h以支持TCPWrappers,详情请参加软件安装小节。另外还需要在vsftpd主配置文件中加入tcp_wrappers=yes参数修改builddefs.hvsftpd目前最新版本为2.0.5,下载地址:软件安装解压软件,编辑builddefs.h文件#tarzxvfvsftpd-2.0.5.tar.gz#cdvsftpd-2.0.5#vibuilddefs.h找到下面三行,其含义如右所示#undefVSF_BUILD_TCPWRAPPERS//是否允许使用TCPWrappers#defineVSF_BUILD_PAM//是否允许使用PAM认证#undefVSF_BUILD_SSL//是否允许使用SSL如果要允许以上所示某项功能,使把undef改为define即可,注意每行前的“#“号不是注释,不能去掉(熟悉C语言的同志应该知道这个“#”是什么意思)。其中TCPWrappers是一个验证IP地址合法性的程序,PAM认证让vsftpd支持本地用户登陆服务器,使用SSL可以建立一个加密的数据传输。这里我们把三项都启用。编译安装。如果系统中安装有旧版vsftpd,请先卸载它。默认安装执行文件在/usr/local/sbin中,manpage放在/usr/local/man/man5与/usr/local/man/man8中。4.配置S