用Linux架设FTP服务器(下)_FTP服务器架设_黑客防线网安服务器维护基地--Powered by WWW.RONGSEN.COM.CN

用Linux架设FTP服务器(下)

作者:黑客防线网安FTP教程网 来源:黑客防线网安FTP教程网 浏览次数:0

本篇关键词:服务器文件用户目录
黑客防线网安网讯:meage   “meage”设置当用户登录或转到一个目录的时候会收到什么消息。可以设定多个消息。命令的格式为:  meage <path> <when>  <path>表示需要显示的文件的完整路径名,<wh...
meage
  “meage”设置当用户登录或转到一个目录的时候会收到什么消息可以设定多个消息命令的格式为:   meage <path> <when>   <path>表示需要显示的文件的完整路径名<when>和“readme”中的<when>意思一样。   还需要注意的是消息文件的路径名也是相对于匿名ftp目录的。   例如:   meage /home/ftp/.welcome.msg LOGIN   compre、tar、chmod、delete、overwrite、rename   如果这些都不设置那么就使用默认值,也就是对所有人都是“yes”。下面例子中的设置的意思是给guest组chmod、delete、overwrite和rename文件的权力,所有人都可以使用compre和tar。   例如:   compre yes all
  tar yes all
  chmod yes guest
  delete yes guest
  overwrite yes guest
  rename yes guest   log commands   因为安全上的原因需要记录用户使用的每一个命令。“log commands”的格式是:   log commands <typelist>   <typelist>是用逗号隔开的字串,表示哪些用户的命令需要记录下来,字串的取值可以是:anonymous、guest或real。   例如:要记录real和guest用户的每一个命令,可以这么表示:   log commands real,guest   这些记录都保存在“/var/log/meage”文件中。   log trafers   因为安全文件需要把文件的传输都记录下来。“log trafers”的格式是:   log trafers <typelist> <directio>   <typelist>是用逗号隔开的字串,表示哪些用户的命令需要记录下来,字串的取值可以是:anonymous、guest或real。<direction>也是用逗号隔开的字串,设置需要记录的文件传输的方向,可以选择的两个传输方向是“iound”(向内)和“outbound”(向外)。 例如,用下面表示记录所有real和guest用户的“iound”和“outbound”方向的文件传输:   log trafers real,guest iound,outbound   这些记录保存在“/var/log/xferlog”文件中。   guestgroup   这个命令用来设置guest组,每一行只能有一个成员。   例如:   guestgroup ftpadmin
  guestgroup webmaster   log security   用来设置记录real、guest或anonymous用户违反安全规则的行为。   log security <typelist>   <typelist>是用逗号隔开的字串,字串的取值可以是:anonymous、guest或real。“real”表示真正在ftp服务器上有帐号的用户,“anonymous”表示匿名用户,“guest”表示guest用户。   例如:   log security real,guest   restricted-uid、restricted-gid、guest-root   这些用来设置是否允许real和guest用户访问家目录之外的目录。格式为:   guest-root <root-dir>
  restricted-uid <uid-range>
  restricted-gid <gid-range>   例如:   guest-root /home/ftp ftpadmin webmaster
  restricted-uid ftpadmin webmaster
  restricted-gid adminftp webmaster   <root-dir>设置chroot环境的用户路径。在一行里可以有多个uid地范围。如果为用户设置了guest-root,那么该用户的家目录就在“<root-dir>/etc/pawd”文件中设定,而“/etc/pawd”文件中的设定是无效的。当“ftpadmin”和“webmaster”被改变了根目录(chrooted)到“/home/ftp”目录下,他们就被限制在各自的家目录下而不能访问别人的文件。   greeting   设置用户登录时候的欢迎信息。格式为:   greeting full|brief|terse   “greeting full”是默认的设置显示主机名和ftp daemon地版本,“greeting brief”显示主机名,“greeting terse”简单地显示“FTP server ready”。   例如:   greeting terse   keepalive <yes|no>   设置socket的TCP SO_KEEPALIVE参数。这样在必要的时候可以断开网络连接。“yes”有效,“no”无效。最好设成“yes”:   Keepalive yes 配置“/etc/ftphosts”文件
  “/etc/ftphosts”文件为每一个用户建立规则,指定允许用户从某个主机登录ftp服务器,或者不允许用户从某个主机登录ftp服务器。   创建“ftphosts”文件(touch /etc/ftphosts),加入下面这几行:   # Example host acce file
  #
  # Everything after a ‘#‘ is treated as comment,
  # empty lines are ignored
  allow ftpadmin 208.164.186.1 208.164.186.2 208.164.186.4   把文件的权限改为600:   [root@deep]# chmod 600 /etc/ftphosts   每一行可能是:   allow <username> <addrglob>   或   deny <username> <addrglob>   “allow”允许用户用<username>用户名,从<addrglob>地址访问ftp服务器。<addrglob>可以包含多个地址。   “deny”禁止用户名为<username>的用户,从<addrglob>地址访问ftp服务器。<addrglob>可以包含多个地址。   配置“/etc/ftpusers”文件
  “/etc/ftpusers”文件设置哪些用户不允许连接到ftp服务器。   创建“ftpusers”文件(touch /etc/ftpusers),加入下面这几行:   root
  bin
  daemon
  adm
  lp
  sync
  shutdown
  halt
  mail
  news
  uucp
  operator
  games
  nobody   把文件的权限设成600:   [root@deep]# chmod 600 /etc/ftpusers   配置“/etc/ftpconversio”文件
  “/etc/ftpconversio”是用来控制当传输文件的时候是否进行压缩。   创建“ftpconversio”文件(touch /etc/ftpconversio),在文件中加入:   :.Z: : :/bin/compre -d -c %s:T_REG|T_ASCII:O_UNCOMPRE:UNCOMPRE
  : : :.Z:/bin/compre -c %s:T_REG:O_COMPRE:COMPRE
  :.gz: : :/bin/gzip -cd %s:T_REG|T_ASCII:O_UNCOMPRE:GUNZIP
  : : :.gz:/bin/gzip -9 -c %s:T_REG:O_COMPRE:GZIP
  : : :.tar:/bin/tar -c -f - %s:T_REG|T_DIR:O_TAR:TAR
  : : :.tar.Z:/bin/tar -c -Z -f - %s:T_REG|T_DIR:O_COMPRE|O_TAR:TAR+COMPRE
  : : :.tar.gz:/bin/tar -c -z -f - %s:T_REG|T_DIR:O_COMPRE|O_TAR:TAR+GZIP
  : : :.crc:/bin/cksum %s:T_REG::CKSUM
  : : :.md5:/bin/md5sum %s:T_REG::MD5SUM   把文件的属性改为600:   [root@deep]# chmod 600 /etc/ftpconversio   配置“/etc/pam.d/ftp”文件
  配置“/etc/pam.d/ftp”文件使其支持PAM安全验证。 创建“ftp”文件(touch /etc/pam.d/ftp)并加入:   #%PAM-1.0
  auth required /lib/security/pam_listfile.so item=user see=deny file=/etc/ftpusers onerr=succeed
  auth required /lib/security/pam_pwdb.so shadow nullok
  auth required /lib/security/pam_shells.so
  account required /lib/security/pam_pwdb.so
  seion required /lib/security/pam_pwdb.so   配置“/etc/logrotate.d/ftpd”文件
  配置“/etc/logrotate.d/ftpd”文件使得日志文件每周自动循环更新。   创建“ftpd”文件(touch /etc/logrorate.d/ftpd)并加入:   /var/log/xferlog {
  # ftpd doe‘t handle SIGHUP properly
  nocompre
  }   配置ftp使其使用inetd超级服务器(用于实现tcp-wraers)
  tcp-wraers用来启动和中止ftpd服务。当inetd执行的时候,它会从默认为“/etc/inetd.conf”的配置文件读入配置信息。配置文件中每一行中的项用TAB或空格隔开。   编辑inetd.conf文件(vi /etc/inetd.conf),加入并验证是否存在下面这一行: ftp stream tcp nowait root /usr/in/tcpd in.ftpd -l -a   注意:更新完“inetd.conf”文件之后要发给inetd一个SIGNUP信号,运行下面的命令:   [root@deep /root]# killall -HUP inetd   编辑“hosts.allow”文件(vi /etc/hosts.allow)加入这一行:   in.ftpd: 192.168.1.4 win.openarch.com   这表示IP地址为“192.168.1.4”并且主机名为“win.openarch.com”的计算机允许访问ftp服务器。   FTP管理工具
  ftpwho
  ftpwho显示当前连接到ftp服务器上的所有用户。这个命令菜单输出类似“/bin/”的输出,其格式为:   <pid> <time> <tty> <coection details>   其中<pid>表示ftp daemon用来处理这次文件传输的进程号,<time>表示用户什么时候连接到ftp服务器上,<tty>总是用问号(?)表示因为是通过ftp而不是telnet连接,<coection details>告诉连接是来自哪里、用户是谁以及用户现在在干什么。   下面是ftpwho输出的一个例子:   [root@deep]# ftpwho   Service cla openarch:
  5443 ? S 0:00 ftpd: win.openarch.com: admin: IDLE
  - 1 users ( 20 maximum) 可以看到现在有一个用户登录(最多可以有20个用户同时登录),这个用户的用户名是admin来自win.openarch.com。   ftpcount
  ftpcount是ftpwho的简化版,只显示登录到ftp服务器的用户数以及最多允许多少个用户登录。下面是一个例子:   [root@deep]# ftpcount   Service cla openarch - 1 users ( 20 maximum)   保证ftp服务器的安全

  首先确保已经创建了“/etc/ftpusers”文件,这个文件用来设置不允许哪些用户登录ftp服务器,其中至少要包括:root、bin、daemon、adm、lp、sync、shutdown、halt、mail、news、uucp、operator、games、nobody以及所有Linux发行商在系统中提供的默认帐号。   如果想禁止匿名ftp服务,把ftp用户从paword文件中移去,再用下面的命令确定在系统中没有安装anonftp-version.i386.rpm软件包:   [root@deep]# rpm -q anonftp.   upload命令

  在默认情况下,WU-FTPD服务器给所有的guest用户上载的权限。当用户登录的时候,被改变根目录(chroot)到“/home/ftp”就不能访问这个目录之外的地方。但是“/home/ftp”目录中的一些地方还是需要保护,不能让用户随便访问。在我们配置的ftp服务器中为“/home/ftp”目录下的“bin”、“etc”、“dev”和“lib”目录。我们不允许用户上载文件到这些目录。所以我们要为这些目录设置访问权限,可以在“/etc/ftpacce”文件中设置上载权限。在我们的例子中是这样设置的:   upload /home/ftp/* / no
  upload /home/ftp/* /etc no
  upload /home/ftp/* /dev no
  upload /home/ftp/* /bin no (require only if you are not using the “--enable-ls” option)
  upload /home/ftp/* /lib no (require only if you are not using the “--enable-ls” option)   noretrieve命令

  最好禁止某些用户从“/home/ftp”目录下的某些子目录中下载文件,可以用“noretrieve”命令在“/etc/ftpacce”文件中设置。   noretrieve /home/ftp/etc
  noretrieve /home/ftp/dev
  noretrieve /home/ftp/bin (require only if you are not using the “--enable-ls” option)
  noretrieve /home/ftp/lib (require only if you are not using the “--enable-ls” option)   “.notar”文件
  无论是否允许即时的目录打包(on-the-fly tar),都必须保证用户不能打包(tar)禁止上载的目录。在“/home/ftp”目录的每个子目录中都创建“.notar”文件。   [root@deep]# touch /home/ftp/.notar
  [root@deep]# chmod 0 /home/ftp/.notar
  [root@deep]# touch /home/ftp/etc/.notar
  [root@deep]# chmod 0 /home/ftp/etc/.notar
  [root@deep]# touch /home/ftp/dev/.notar
  [root@deep]# chmod 0 /home/ftp/dev/.notar
  [root@deep]# touch /home/ftp/bin/.notar (require only if you are not using the “--enable-ls” option)
  [root@deep]# chmod 0 /home/ftp/bin/.notar (require only if you are not using the “--enable-ls” option)
  [root@deep]# touch /home/ftp/lib/.notar (require only if you are not using the “--enable-ls” option)
  [root@deep]# chmod 0 /home/ftp/lib/.notar (require only if you are not using the “--enable-ls” option) 这些长度为0的“.notar”文件会使一些浏览器和ftp代理(proxy)出现混乱,要解决这个问题必须把它们标识为禁止下载。在“/etc/ftpacce”文件中加入这一行:   noretrieve .notar   安装到系统中的文件

  > /etc/ftphosts
  > /etc/ftpusers
  > /etc/ftpacce
  > /etc/pam.d/ftp
  > /etc/ftpconversio
  > /etc/ftpgrou
  > /etc/logrotate.d/ftpd
  > /usr/bin/ftpcount
  > /usr/bin/ftpwho
  > /usr/man/man1/ftpcount.1
  > /usr/man/man1/ftpwho.1
  > /usr/man/man5/ftpacce.5
  > /usr/man/man5/ftphosts.5
  > /usr/man/man5/ftpconversio.5
  > /usr/man/man5/xferlog.5
  > /usr/man/man8/ftpd.8
  > /usr/man/man8/fthut.8
  > /usr/man/man8/ftprestart.8
  > /usr/in/in.ftpd
  > /usr/in/fthut
  > /usr/in/ckconfig
  > /usr/in/ftprestart
  > /usr/in/xferstats
  > /usr/in/wu.ftpd
  > /usr/in/in.wuftpd
  > /var/log/xferlog
    黑客防线网安服务器维护方案本篇连接:http://www.rongsen.com.cn/show-19517-1.html
网站维护教程更新时间:2012-12-29 01:47:48  【打印此页】  【关闭
我要申请本站N点 | 黑客防线官网 |  
专业服务器维护及网站维护手工安全搭建环境,网站安全加固服务。黑客防线网安服务器维护基地招商进行中!QQ:29769479

footer  footer  footer  footer