实例剖析开源系统中vsftpd的安全设置方法(三)

日期:2011-12-15作者:羽扇纶巾

【TechTarget中国原创】(4)一个完整的vsftpd高级配置清单

  为了使用户更加清晰地了解vsftpd的安全配置方法,下面给出一个完整的vsftpd高级配置清单及其注释,供用户在实际的配置中参考使用。

  Part I:基本登录和权限配置部分

  Anonymous_enable=yes(允许匿名登录)
  Dirmessage_enable=yes (切换目录时,显示目录下.message的内容)
  Local_umask=022(FTP上本地的文件权限,默认是077)
  Connect_form_port_20=yes (启用FTP数据端口的数据连接)

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

羽扇纶巾
羽扇纶巾

自由撰稿人。

产品应用安全>更多

  • 企业是否应信任第三方代码?

    软件日益成为企业从事各种业务的核心,而合作伙伴提供软件中的漏洞可能会成为企业的漏洞。企业是否该信任第三方代码呢?

  • 如何着手构建应用安全程序?

    近日在罗马举行的2016年OWASP AppSec大会,专家们与来自全球各地近700名与会者探讨了构建应用安全程序“从哪里开始”的问题……

  • 为何Java序列化漏洞并未被修复?

    据我所知,Java序列化漏洞一年多前已被披露,它由一位安全研究人员在PayPal的服务器中发现。那么,这是个什么样的漏洞,为什么它还未被修复?攻击者是如何利用它的?

  • 专访F5金飞:攻击愈发场景化 安全防护需更精准

    攻击形势只会更糟,企业需要结合自身业务采用更灵活、高频且经济的安全方案。正如金飞所说,“安全永远是IT架构中含金量最高的部分,尽管最高的部分不等于最大的部分,但它是最有价值的部分。”

相关推荐

  • 记本届RSA大会最大看点:云安全

    2010年RSA大会上,云安全成为了当之无愧的明星。无论是RSA总裁的开幕式演讲,还是CA、Qualys等厂家的主题发言,无不表现出为云计算保驾护航的坚定决心……

  • 数据库服务器安全的权限控制策略

    任何服务器,安全与性能是两个永恒的主题。企业的信息化安全人主要任务就是如何在保障服务器性能的前提下提高服务器的安全性。服务器的访问权限控制策略无疑是重要……

技术手册>更多

  • 服务器虚拟化安全

    从现在起,五年以后,几乎没有一家企业会使用“真正的”计算机。虚拟软件将会截取并模拟数据库、网络应用程序或者文件共享所能进行的一切工作,允许一个机架安装服务器起到10台服务器的作用。虚拟化是必然的;自IP网络以来,它是IT业最重要的新势力。对这一趋势带来的影响,安全专家如果有一种挥之不去的恐惧感,他们应该得到原谅。在内部网络中,虚拟化正重新绘制分布图;硬件以及网络过滤曾经将服务器和应用程序分离,虚拟化可以把它们集中到同一个刀片服务器上。影响深远的变化的到来不会没有安全挑战。

  • 拒绝服务攻击宝典

    “拒绝服务”是如何攻击的?有什么方法和措施可以防范此类攻击?在新时代云趋势的环境下,拒绝服务攻击又会如何发展?有什么新的趋势?本技术手册将从三个方面为您提供详细的安全策略,包括:拒绝服务攻击的原理,拒绝服务攻击的防范和拒绝攻击与云。

  • 配置IPS 主动保护网络安全

    入侵防御系统(Intrusion Prevention System,IPS)是这段时间网络安全业内比较热门的一个词,这种既能及时发现又能实时阻断各种入侵行为的安全产品,自面世那天起,就受到各大安全厂商和用户的广泛关注。本指南将帮助你深入了解IPS,并介绍专家对IPS未来的预测。

  • Windows Server 2003安全:锁定

    关闭不必要的服务、端口和帐户使Windows Server 2003固若金汤。黑客通常通过不使用的(没有配置或者不安全的)端口和服务访问服务器,比如Internet信息服务(IIS)。为了限制入口点,服务器强化包括阻止不使用的端口和协议,同时中止不必要的服务。微软最近发布的Windows Server 2008可能备受关注,但是大部分组织仍然会使用Server 2003,直到微软不再支持它为止。虽然Server 2003可能不是最新的,也不是功能最强大的,但你采取一些简单——但必要的——步骤来强化你的系统。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算
【TechTarget中国原创】

前两部分文章详细的介绍了如何进行sftpd的安全设置方法,最后我们总结一下vsftpd的配置清单。

  (4)一个完整的vsftpd高级配置清单

  为了使用户更加清晰地了解vsftpd的安全配置方法,下面给出一个完整的vsftpd高级配置清单及其注释,供用户在实际的配置中参考使用。

  Part I:基本登录和权限配置部分

  Anonymous_enable=yes(允许匿名登录)
  Dirmessage_enable=yes (切换目录时,显示目录下.message的内容)
  Local_umask=022(FTP上本地的文件权限,默认是077)
  Connect_form_port_20=yes (启用FTP数据端口的数据连接)
  Xferlog_enable=yes (激活上传和下传的日志)
  Xferlog_std_format=yes(使用标准的日志格式)
  Ftpd_banner=XXXXX (欢迎信息)
  Pam_service_name=vsftpd (验证方式)*
  Listen=yes (独立的VSFTPD服务器)*
  Anon_upload_enable=yes(开放上传权限)
  Anon_mkdir_write_enable=yes (可创建目录的同时可以在此目录中上传文件)
  Write_enable=yes(开放本地用户写的权限)
  Anon_other_write_enable=yes(匿名帐号可以有删除的权限)
  Anon_world_readable_only=no(放开匿名用户浏览权限)
  Ascii_upload_enable=yes(启用上传的ASCII传输方式)
  Ascii_download_enable=yes(启用下载的ASCII传输方式)

  Part II:FTP连接控制部分

  Banner_file=/var/vsftpd_banner_file(用户连接后欢迎信息使用的是此文件中的相关信息)
  Idle_session_timeout=600(秒) (用户会话空闲后10分钟)
  Data_connection_timeout=120(秒) (将数据连接空闲2分钟断)
  Accept_timeout=60(秒) (将客户端空闲1分钟后断)
  Connect_timeout=60(秒) (中断1分钟后又重新连接)
  Local_max_rate=50000(bite) (本地用户传输率50K)
  Anon_max_rate=30000(bite) (匿名用户传输率30K)
  Pasv_min_port=50000
  Pasv_max_port=60000(将客户端的数据连接端口改在50000—60000之间)
  Max_clients=200 (FTP的最大连接数)
  Max_per_ip=4 (每IP的最大连接数)
  Listen_port=5555 (从5555端口进行数据连接)

  Part III:本地帐户权限控制部分

  Local_enble=yes (本地帐户能够登录)
  Write_enable=no (本地帐户登录后无权删除和修改文件)
  Userlist_enable=yes (在指定的文件中的用户不可以访问)
  Userlist_deny=yes
  Userlist_file=/指定的路径/vsftpd.user_list
  Banner_fail=/路径/文件名 (连接失败时显示文件中的内容)
  Ls_recurse_enable=no
  Async_abor_enable=yes
  One_process_model=yes
  Listen_address=10.2.2.2 (将虚拟服务绑定到某端口)

  Part III:虚拟用户权限控制部分

  Guest_enable=yes (虚拟用户可以登录)
  Guest_username=所设的用户名 (将虚拟用户映射为本地用户)
  User_config_dir=/任意指定的路径/为用户策略自己所建的文件夹
(指定不同虚拟用户配置文件的路径)

  Part IV:其他配置部分

  Chown_uploads=yes (改变上传文件的所有者为root)
  Chown_username=root
  Deny_email_enable=yes (是否允许禁止匿名用户使用某些邮件地址)
  Banned_email_file=//任意指定的路径/xx/
  Pasv_enable=yes (服务器端用被动模式)
  User_config_dir=/任意指定的路径//任意文件目录 (指定虚拟用户存放配置文件的路径)