首页 » 应用安全 » 其它应用 » FTP » 正文

vsFTPd 常见加固

1. 修改默认 Banner

修改 /etc/vsftpd/vsftpd.conf,定义服务器自己的Banner。

ftpd_banner = Welcome to FTP Server

2. 限制登录用户

2.1 不允许指定用户登录 FTP

检查 /etc/vsftpd/vsftpd.conf,确认参数按如下设置:

userlist_enable = YES
userlist_deny = YES
userlist_file = /etc/vsftpd/user_list

 将不需要访问FTP服务的用户按一行一个用户的格式加入下列任一文件即可,建议将root、deamon、apache、www等内置用户/服务用户加入此列表。

# 加入此目录的用户登录FTP即使输入正确密码也无法登录成功
/etc/vsftpd/ftpusers
# 加入此文件的用户登录时不会出现输入密码的提示
/etc/vsftpd/user_list 

2.2 仅允许指定用户登录 FTP

 修改 /etc/vsftpd/vsftpd.conf 配置文件,确认参数按照如下配置:

userlist_enable = YES
userlist_deny = NO
userlist_file = /etc/vsftpd/user_list

3. 限制用户目录

 修改 /etc/vsftpd/vsftpd.conf 文件,将相关配置调整如下:

chroot_list_enable = YES
chroot_list_file = /etc/vsftpd/chroot_list

然后创建 /etc/vsftpd/chroot_list 文件,并将需要限制用户目录的用户按一行一个文件名加入文件。

mkdir /etc/vsftpd/chroot_list
vi /etc/vsftpd/chroot_list

4. 关闭匿名访问

 修改 /etc/vsftpd/vsftpd.conf,调整相关配置如下:

anonymous_enable = NO

5. 开启访问日志

 检查 /etc/vsftpd/vsftpd.conf,确认参数按以下配置:

xferlog_enable = YES
xferlog_std_format = YES

# 下面的配置用于定义日志存放位置,一般不用修改
xferlog_file = /var/log/xferlog

 

6. 启用 FTPS

使用 openssl 创建带私钥的证书:

cd /etc/vsftpd/

openssl req -new -x509 -nodes -out vsftpd.pem -keyout vsftpd.pem -days 3650


修改 /etc/vsftpd/vsftpd.conf 配置文件,进行如下配置:

ssl_enable = YES
ssl_sslv2 = NO
ssl_sslv3 = NO
ssl_tlsv1 = YES
force_local_logins_ssl = YES
force_local_data_ssl = YES
rsa_cert_file = /etc/vsftpd/vsftpd.pem

7. 升级更新

 使用下面的命令可以查询当前版本号:

vsftpd -v

vsFTPd 没有补丁程序,可以使用操作系统提供的更新工具来安装新版本(推荐),或者从下面的地址下载新版本源码编译安装。

http://pkgs.fedoraproject.org/repo/pkgs/vsftpd/

发表评论