安全应用vsftpd服务器（下）

vsftpd服务器的安全策略
    1. 为vsftpd服务器配置SSL
    在VSFTPD-2.0.1以后的版本里提供了对SSL套接层的支持，这使得vsftpd变的更加安全了。要实现ftp的安全连接有几个必须的前提是OPENSSL版本必须大于0.9.6,你可以用openssl加密你的vsftpd服务器登录及传输过程。方法是修改builddefs.h文件中的：
    #undef VSF_BUILD_TCPWRAPPERS
    #define VSF_BUILD_PAM
    #undef VSF_BUILD_SSL
    为：
    #define VSF_BUILD_TCPWRAPPERS
    #undef VSF_BUILD_PAM
    #define VSF_BUILD_SSL
    然后编译即可。
   2. 启用tcp_wrappers进行访问控制
    tcp_wrapper是这样一套基本系统，它可以用来禁止（或者显式的允许）特定的主机对某些服务的访问。简单的说，它的工作原理是这样的：inetd或xinetd运行很多的服务，其中很多都是由tcpd包装好的。换句话说，tcpd是真正运行这些服务的程序，但是xinetd不知道这些（其实它根本不关心）。tcpd根据/etc/h
ost
s.allow和/etc/hosts.deny来判断是否允许传来的连接请求。tcp_wrapper工作原理见图5。

     

图5 tcp_wrapper工作原理
    这里tcp_wrappers的应用思路是“先阻止、后放行”。因此策略是首先禁止所有主机访问
FTP服务器
（在/etc/hosts.deny文件中设定），然后在/etc/hosts.allow中加入允许访问的主机或IP地址列表，这是最安全的访问策略。使用这项功能需要在安装编译之前构建包含tcp_wrappers的vsftpd。可通过编辑“builddefs.h”文件，将“#undef VSF_BUILD_TCPWRAPPERS”修改为“#define VSF_BUILD_TCPWRAPPERS”，然后重新构建编译，生成可执行代码。其次，要开启在配置文件vsftpd.conf中的选项“tcp_wrappers=YES”。该功能依赖于对文件“/etc/hosts.allow”的配置。tcp_wrapper位于Vsftpd和iptables
防火墙
之间。如图6 。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有