linux vsftp安全配置.doc

Linux vsftp安全配置FTP服务器面临的安全隐患FTP服务器面临的安全隐患主要包括：缓冲区溢出攻击、数据嗅探、匿名访问缺陷和访问漏洞。VSFtp一些安全配置： 1.修改Vsftpd服务器的默认端口和修改其他设置 基于安全考虑，将预设的21端口改为2123。修改配置文件 /etc/vsftpd/vsftpd.conf， 在文件最后增加如下一行内容： listen_port=2123ftp_data_port=2020 在实际应用中，为了增加安全性，会将FTP服务器置于防火墙之后。修改Vsftpd服务器的默认端口后要及时修改防火墙的端口设定。现在服务器FTP端口为2123，数据传输端口为2020。 #iptables -A INPUT -p tcp -m multiport -dport 2123,2020 -j ACCEPT #iptables -A INPUT -p tcp -j REJECT -reject-with tcp-reset修改其他设置ls_recurse_enable=NO #关闭“ls -R命令，该命令常被用于DoS攻击，非常浪费系统资源# ascii_download_enable=NO #关闭ASCII模式下载，防止被用于DoS攻击，ASCII下载很消耗CPU负担 2.使用BlockHosts软件防范暴力破解 BlockHosts软件就是利用通过分析日志文件帮助tcp_wrappers实现工作自动化。例如在30秒钟内一个IP地址（3）连续30次登录sshd服务器而且全部因为密码错误登录失败。那么这个IP地址无疑是非法或者恶意主机。这时BlockHosts会自动将该IP地址写入/etc/hosts.deny文件。首先编辑你的/etc/syslog.conf文件，一般修改 security.* /var/log/security条目内容如下：security.*; /var/log/security 原因很简单，这样syslogd就把连接到sshd的日志信息记录下来。 BlockHosts官方网站： /cms/blockhosts/ ， 最新版本：1.0.3。下载启动BlockHosts步骤，另外需要Python语言和SSH软件的支持。可以使用下面命令检测。#rpm qa|grep Python；rpm qa|grep ssh#wget /tools/blockhosts/BlockHosts-1.0.3.tar.gz #tar zxvf BlockHosts-1.0.0.tar.gz “建立一个目录”python setup.pyBlockHosts是基于命令行模式的，使用非常简单这里就不赘述了。 3.使用xinetd方式运行 Vsftpd能以Stand-alone、xinetd两种模式运行，当用户账号比较少又经常需要连接到Vsftpd服务器时推荐使用xinetd模式运行。使用xinetd方式运行可以有效防范DoS攻击。从传统的守护进程的概念可以看出，对于系统所要通过的每一种服务，都必须运行一个监听某个端口连接所发生的守护进程，这通常意味着资源浪费。为了解决这个问题，一些Linux引进了“网络守护进程服务程序”的概念。Redhat Linux 8.0以后的版本使用的网络守护进程是xinted（eXtended InterNET daemon）。和standalone模式相比xinted模式也称 Internet SuperServer（超级服务器）。xinetd能够同时监听多个指定的端口，在接受用户请求时，他能够根据用户请求的端口不同，启动不同的网络服务进程来处理这些用户请求。可以把xinetd看做一个管理启动服务的管理服务器，它决定把一个客户请求交给那个程序处理，然后启动相应的守护进程。xinetd模式工作原理见图7。图7 xinetd模式网络服务 和standalone工作模式相比，系统不想要每一个网络服务进程都监听其服务端口。运行单个xinetd就可以同时监听所有服务端口，这样就降低了系统开销，保护系统资源。但是对于访问量大、经常出现并发访问时，xinetd想要频繁启动对应的网络服务进程，反而会导致系统性能下降。察看系统为Linux服务提供那种模式方法在Linux命令行可以使用pstree命令可以看到两种不同方式启动的网络服务。xinetd提供类似于inetd+tcp_wrapper的功能，但是更加强大和安全。能有效的防止拒绝服务攻击(Denial of Services)：从stand-alone转换到守护进程模式下：我们需要在守护进程配置目录/etc/xinetd.d/里建立vsftpd 的守护进程文件。我们在安装时已经将该文件考到/etc/xinetd.d/目录下了。我们稍稍修改其内容： #vi /etc/xinetd.d/vsftpd service ftp disable = no socket_type = stream wait = no user = root server = /usr/local/sbin/vsftpd server_args = /etc/vsftpd/vsftpd.conf nice = 10 接下来把配置文件中的listen=yes或listen_ipv6=yes去掉,停掉vsftpd服务，重启xinetd服务： # sesrvice vsftpd stop # service xinetd restart 重新启动守护进程后，vsftpd 服务就会让守护进程来管理了。在守护进程管理过程中，我们再修改主配置文件的话，就不需要重新启动服务了。 a、限制同时运行的进程数。 通过设置instances选项设定同时运行的并发进程数：instances20 当服务器被请求连接的进程数达到20个时，xinetd将停止接受多出部分的连接请求。直到请求连接数低于设定值为止。 限制一个IP地址的最大连接数： 通过限制一个主机的最大连接数，从而防止某个主机独占某个服务。per_source5这里每个IP地址可以连接单个IP地址的连接数是5个。 b.限制负载。 xinetd还可以使用限制负载的方法防范拒绝服务攻击。用一个浮点数作为负载系数，当负载达到这个数目的时候，该服务将暂停处理后续的连接：max_load = 2.8 上面的例子中当一项系统负载达到2.8时，所有服务将暂时中止，直到系统负载下降到设定值以下。说明要使用这个选项，编译时要加入-with-loadavg ，xinetd将而已处理max-load配置选项。从而在系统负载过重时关闭某些服务进程，来实现某些拒绝服务攻击。 c.限制所有服务器数目（连接速率） 。 xinetd可以使用cps选项设定连接速率，下面的例子：cps = 25 60 第一个参数表示每秒可以处理的连接数，如果超过了这个连接数之后进入的连接将被暂时停止处理；第二个参数表示停止处理多少秒后继续处理先前暂停处理的连接。即服务器最多启动25个连接，如果达到这个数目将停止启动新服务60秒。在此期间不接受任何请求。 使用上面指令有助于防止某个 xinetd 服务大量占用系统，从而导致“拒绝服务”情况的出现。关于TCP Wrappers TCP Wrappers的作用，就是通过分析TCP网络数据包，根据其包头的IP地址和端口号，决定是否让这个数据进入到主机之中，因此我们也可以把它当成一个 最内层的防火墙。数据包要进入ftp服务器，首先经过netfilter的过滤，通过TCP Wrappers筛选，守护进程（xinetd模式）限制，最后才能交由vsftpd进程来处理。我们可以设置TCP Wrappers来限制某些主机能或者不能访问ftp服务器，这需要编辑两个文件： /etc/hosts.allow /etc/hosts.deny 当数据包通过TCP Wrappers筛选时，/etc/hosts.allow文件会首先读取，然后再读取/etc/hosts.deny文件，就是说/etc/hosts.allow优先级要高一些。这两个文件设置规则如下： : 字段是服务名，也就是/etc/rc.d/init.d/目录下存在的文件名；第二个字段是可以是IP、域名、一台主机或者一个网段；第三个字段表示允许通过或者禁止。具体看下面的例子： vsftpd:11:allow /允许主机11访问vsftpd服务器 httpd:/:deny /禁止/24这个子网访问www服务 最后一个字段的:allow或:deny可以省略，写在/etc/hosts.allow文件里默认就是allow， /etc/hosts.deny文件里默认是deny。其实我们可以把所有语句都写在hosts.allow文件中，但建议大家把allow和deny的 语句分别写到两个文件之中。 TCP Wrappers默认规则是允许所有数据包通过，所以大家在填写允许条目之后，一定还要加一条deny语句来拒绝其它的包。比如： # vi /etc/hosts.allow vsftpd:/ /允许/24网段可以访问ftp # vi /etc/hosts.deny vsftpd:ALL /拒绝其它所有主机访问ftp 如果vsftpd工作在守护进程模式下，不但可以受到TCP Wrappers的筛选，还可以设置守护进程配置文件来进行同样的过滤，这使用下面两条语句： only_from = /限制可以访问的IP、主机、网络 no_access = /限制不能访问的IP、主机、网络 下面我们将only_from语句加入/etc/xinetd.d/vsftpd文件中，实现只有子网28/25才可以登录ftp服务器：service ftp disable = no socket_type = stream wait = no user = root server = /usr/local/sbin/vsftpd server_args = /etc/vsftpd/vsftpd.conf nice = 10 only_from = 28/25 如果vsftpd工作在standalone模式下，必须在编译vsftpd之前修改头文件builddefs.h以支持TCP Wrappers，详情请参加软件安装小节。另外还需要在vsftpd主配置文件中加入tcp_wrappers=yes参数修改builddefs.h vsftpd目前最新版本为2.0.5，下载地址：/users/cevans/vsftpd-2.0.5.tar.gz软件安装 解压软件，编辑builddefs.h文件 # tar zxvf vsftpd-2.0.5.tar.gz # cd vsftpd-2.0.5 # vi builddefs.h 找到下面三行，其含义如右所示 #undef VSF_BUILD_TCPWRAPPERS /是否允许使用TCP Wrappers #define VSF_BUILD_PAM /是否允许使用PAM认证 #undef VSF_BUILD_SSL /是否允许使用SSL 如果要允许以上所示某项功能，使把undef改为define即可，注意每行前的“#“号不是注释，不能去掉（熟悉C语言的同志应该知道这个“#”是什么 意思）。其中TCP Wrappers是一个验证IP地址合法性的程序，PAM认证让vsftpd支持本地用户登陆服务器，使用SSL可以建立一个加密的数据传输。这里我们把 三项都启用。 编译安装。如果系统中安装有旧版vsftpd，请先卸载它。默认安装执行文件在/usr/local/sbin中，man page放在/usr/local/man/man5与/usr/local/man/man8中。4配置SSL加密的VsftpVsftp本身已经支持SSL，只需设置以下几步即可使用带SSL的Vsftpd。Rpm ivh vsftpd-2.0.01.5.i386.rpmCd /usr/shar/ssl/certsOpenssl req -new -x509 -nodes -out vsftpd.pem -keyout vsftpd.pemVi /etc/vsftpd/vsftpd.conf#在最后添加以下内容Ssl_enable=YESAllow_anon_ssl=NORsa-cert-file=/usr/share/ssl/certs/vsftpd.pem完成后重启vsftpd服务。 5.关注vsftpd服务器日志 网络管理员应当记录vsftpd服务器所有日志，它记录了系统每天发生的各种各样的事情，包括哪些用户曾经或者正在使用系统，可以通过日志来检查错误发生的原因，更重要的是在系统受到黑客攻击后，日志可以记录下攻击者留下的痕迹，通过查看这些痕迹，系统管理员可以发现黑客攻击的某些手段以及特点，从而能够进行处理工作，为抵御下一次攻击做好准备。这里推荐使用AWStats它是在Sourceforge上发展很快的一个基于Perl的WEB日志分析工具。现今它也可以用来分析多种日志包括：Apache 、proftp、wuftp、vsftp、Postfix, Sendmail, QMail。现在介绍一下用它来分析vsftp日志的安装配置方法。 （1）软件下载安装 #mkdir /var/www/html/syc ；cd /var/www/html/syc； #wget /sourceforge/awstats/awstats-6.5.tar.gz # tar zxvf /usr/local/src/awstats-6.2.tgz ；mv awstats-6.2 awstats # chmod 755 /var/www/html/syc/awstats ；mkdir -p /var/www/cgi-bin/awstats #mv /var/www/html/syc/awstats/wwwroot/cgi-bin/* /var/www/cgi-bin/awstats # 说明下载的软件版本一定要大于6.4,之前版本有安全漏洞。 （2）修改配置文件/etc/vsftpd/vsftpd.conf ，添加以下内容： xferlog_enable=YES xferlog_std_format=YES xferlog_file=/var/log/vsftpd.log （3）清空旧日志文件内容： true /var/log/vsftpd.log （4）重新啟動 vsftpd 服务器 # /etc/rc.d/init.d/vsftpd restart （5）建立日志文件目录 # mkdir /etc/awstats # cp /var/www/cgi-bin/awstats/awstats.model.conf /etc/awstats/awstats.ftp.conf # mkdir /var/www/html/syc/awstats/data （6）修改缺省配置文件 LogFile=/var/log/vsftpd.log LogType=F #LogFormat=1 LogFormat=%time3 %other %host %bytesd %url %other %other %method %other %logname %other %code %other %other LogSeparator=s SiteDomain= #主机名称# HostAliases=localhost 54 #域名、服务器名、别名# DNSLookup=0 #不逆向解析域名 # DirData=/var/www/html/syc/awstats/data #日志文件存放目录# DirCgi=/cgi-bin/awstats # CGI统计脚本目录# DirIcons=/syc/awstats/wwwroot/icon #图标在Web服务器apache对应目录# MiscTrackerUrl=/syc/awstats/wwwroot/js/awstats_misc_tracker.js LevelForBrowsersDetection=0 # 是否可以用浏览器来执行更新，默认是不可以# LevelForOSDetection=0 #是否可以通过浏览器频道操作系统默认是不可以# LevelForRefererAnalyze=0 # 0 disables Origin detection. LevelForRobotsDetection=0 # 0 disables Robots detection. LevelForSearchEnginesDetection=0 # 0 disables Search engines detection. Lang=cn #设置国家语言类型# ShowMonthStats=UVHB ShowDaysOfMonthStats=HB ShowDaysOfWeekStats=HB ShowHoursStats=HB ShowDomainsStats=HB ShowHostsStats=HB ShowAuthenticatedUsers=HBL ShowRobotsStats=0 ShowOSStats=0 ShowBrowsersStats=0 ShowOriginStats=0 ShowKeyphrasesStats=0 ShowKeywordsStats=0 ShowMiscStats=0 ShowHTTPErrorsStats=0 StyleSheet=/syc/awstats/wwwroot/css/awstats_bw.css #css启示位置# 注意上面粗黑体字部分是笔者服务器的情况，读者在实际操作中要按照你的具体情况设置。 （7）建立awstats.sh批处理文件： cd /var/www/cgi-bin/awstats ./awstats.pl -config=ftp -update -output /var/www/html/syc/awstats/ftp.html chmod 644 /var/www/html/syc/awstats/data/ （8）赋予awstats.sh文件权限 # chmod 700 /var/www/cgi-bin/awstats/awstats.sh （9）运行批处理文件awstats.sh # /var/www/cgi-bin/awstats/awstats.sh （10）重新启动Apache Web服务器，查看日志： # /etc/rc.d/init.d/httpd restart 在Firefox浏览器的URL栏目输入：http:/localhost /syc/awstats/ftp.html ，见图4。 图8 vsftpd日志界面 （11）用 crontab命令实现自动更新日志： 在Windows系统中有一个计划任务的功能，它可以根据用户的要求定时完成某项功能，这对网管员十分有用。Linux中也有类似功能，它是由cron来执行的。Crom是一个守护进程（daemon），它提供定时器功能，只要用户必须定时器设置文件，就可以使用的完成计划任务。建立定时器设置文件：crontab e文件内容：35 */8 * * * root /var/www/cgi-bin/awstats/awstats.sh /dev/null 2&1 用vi或其他编辑器存盘退出。 （12）使用 crontab命令添加到任务列表中： crontab u mytype 这样每隔八个小时更新日志。6. 安全使用客户端工具 服务器加固后要考虑防范网络嗅探，即客户端向服务器传输数据过程。防范网络嗅探的关键的文件传输过程，使用OpenSSH上传数据到服务器可以把所有传输的数据进行加密，这样即使网络中的黑客能够劫持用户所传输的数据，如果不能解密的话，也不能对数据传输构成真正的威胁。 如果使用Windows的话推荐使用Filezilla ，它是客户端使用SFTP的一款不错的开源软件。最新版本2.2.16，官方网址：/ 。Filezilla是一款非常值得推荐的FTP客户端，尽管它的功能丰富，但却非常方便好用。它的界面采用了多窗格设计，可以同时显示本地硬盘的内容和远端服务器上的目录，此外还列出了常用的ftp命令。Filezilla支持断点续传（下载和上传均支持），同时也支持SSL加密传输方式。你可以通过编辑它的传输任务队列来选择所要传输的文件或安排传输顺序。在站点管理器（Site Manager）中选择好一个服务器之后就可以开始上传或下载文件了。使用它可以安全方便的向服务器上传下载数据。对中文支持很好，配置界面如图9所示。扩展知识：基于IP的虚拟ftp站点 这一小节我们来讨论在同一服务器上建立多个ftp站点，每个站点相互独立，拥有独立的配置文件。当然服务器必须有两个以上的IP地址。在standalone模式下，我们可以考虑启动多个ftp服务进程；在xinetd模式下，可以让守护进程来管理。下面我们分别讨论这两种情况。为简单起见，我们在服务器上建立两个匿名虚拟站点。下面是这两个站点的信息： 站点1 站点2 ip地址 05 06 主配置文件 /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd2.conf 匿名用户映射的本地用户名 默认为ftp 新建立ftp2 匿名用户主目录 /var/ftp/ /var/ftp2/ standalone模式下虚拟站点的建立 首先我们修改站点1的配置文件/etc/vsftpd/vsftpd.conf为下面所示： listen=yes listen_address=05 anonymous_enable=yes local_enable=yes pam_service_name=vsftpd write_enable=yes ftpd_banner=This is ftp1 site 站点1就这样配置完毕了。接下来为站点2建立ftp2的用户： # mkdir /var/ftp2/ # useradd -d /var/ftp2/ ftp2 为了让站点2知道匿名用户的主目录为/var/ftp2，我们需要在配置文件中手动指定站点2使用ftp2用户登录，于是我们要用到下面这条语句： ftp_username=local_username 建立站点2的配置文件/etc/vsftpd/vsftpd2.conf，内容如下： listen=yes listen_address=06 anonymous_enable=yes local_enable=yes pam_service_n