构建安全的ftp服务器

1、构建安全的ftp服务器数据以明文方式来举行传输，用法t协议 有两种工作模式： 主动模式：用法21号端口来举行传输控制，用法20号端口来举行数据衔接。 客户端通过服务器的21号端口来衔接上服务器，并告诉自己打开的数据衔接的端口（通常是一个大于1024的端口），当有数据传输需求的时候，服务器会用法自己的 20号端口主动去衔接客户端的相应端口。 被动模式：用法21号端口来举行传输控制，用法随机端口来举行数据衔接 客户端通过服务器的21号端口来衔接上服务器，服务器会告诉客户端自己打开的数据衔接的端口，当有数据传输需求的时候，客户端会用法一个随机端口（通常大于1024） 去衔接服务器响应的数据衔接端口。

2、 ftp的主动模式和被动模式主要在举行防火墙的设置时需要考虑一下。 ftp中的用户： 1.系统实体账户：这些账户默认登录的家名目是自己的home名目，并且可以随意切换名目，假如要用法系统帐号作为ftp帐号，最好让将这些用户禁锢在自己的家名目中，并 且设置这些用户的shell为/sbin/nologin 2.匿名用户：普通就给下载权限即可，默认登录后的主名目在/var/ftp 3.虚拟账户：相对照较平安这些用户都不是系统账户，只具有对ftp的相关操作权限，可以自定义用户主名目 主要的配置文件 主配置文件/etc/vsftpd/vsftpd.conf /etc/vsftpd/ftpusers 这个

3、文件中的用户都不允许登录系统，在/etc/pam.d/vsftpd文件中定义的，里面一行一个帐号 /etc/vsftpd/user_list 这个是与配置文件中的userlist_和userlist_deny协作起来用法的，起到允许或者否决某别用户登录ftp，一行一个帐号 /etc/vsftpd/chroot_list 这个文件默认不存在需要手动建立，起到禁锢系统账户家名目的作用 比较严格的chroot环境的设定 chroot_local_user=yes chroot_list_enable=yes chroot_list_=/etc/vsftpd.chroot_list 不受chroot限

4、制的用户放在此文件中 详细的chroot以及ftpusers和user_list的用法比较容易这里主要介绍基于ssl的ftp以及基于虚拟用户的ftp。 1.基于ssl的ftp 1、首先自己建立一个ca /etc/pki/ca openssl genrsa 2048 private/cakey.pem 600 private/cakey.pem 然后给ca自己制作一个证书 vi /etc/pki/t/f 找到ca_defualt把下面的名目改为： dir = /etc/pki/ca改成肯定路径 openssl req -new -x509 -key private/cakey.pem -out

5、cacert.pem -days 3650 2、给ftp服务颁发证书 cd /etc/pki/ca mkdri certs crl neerts serial ind.txt echo 01 serial cd /etc/vsftpd/ ssl用来存放证书，cd ssl 自己生成一个证书 openssl genrsa 2048 ftp.key chmod 600 ftp.key 向ca生成一个证书方法哀求 openssl req -new -key ftp.key -out ftp.csr 为此服务器颁发证书 openssl ca -in ftp.csr -out ftp.crt -days

6、3650 此时ftp.csr文件就没用了，可以删除 3、测试 在windows下我这里用法flashfxp测试，新建衔接如下： 650) this.wth=650;" border="0" alt="" src="/uploads/allimg/110821/09262w3b-0.png" /> 650) this.width=650;" border="0" alt="" src="/uploads/allimg/110821/09262u251-1.png

7、" /> 2.用法虚拟账户 yum install db4-utils这个软件包 1、在/etc/vsftpd名目下面建立一个用户列表 vi vser.list在这个文件中一行写用户名一行写密码 db_load -t -t hash -f vsuser.list vsuser.db 将用户认证文件转换为认证数据库 更改一下文件权限惟独root用户可以读写 chmod 600 /etc/vsftpd/vsuser.* mkdir /var/ftproot 为虚拟用户创建一个家名目 pam_userdb.so db=/etc/vsftpd/vsuser account requir

8、ed pam_userdb.so db=/etc/vsftpd/vsuser 2、在vsftpd.conf文件中添加对虚拟用户的支持 anonymous_enable=no local_enable=yes _enable=yes anon_=022 guest_enable=yes guest_username=virtual pam_service_name=vsftpd.vu 3、为虚拟用户单独设置权限 在vsftpd.conf文件中添加用户配置名目支持user_config_dir=/etc/vsftpd/vsuser_dir 配置文件名与用户名同名 mkdir /etc/vsftpd/vsuser_dir v