阿里云服务器通过vsftpd在linux服务器上构建安全的ftp服务.docx

教程如何借助VSFTPD在LINUX上构建安全的FTP服务FTP文件传输协议是互联网上广泛使用的服务之一，主要用于将文件从一个主机传输到另一个主机。FTP本身当初不是作为一种安全协议而设计的正因为如此，典型的FTP服务很容易遭受诸如中间人攻击和蛮力攻击之类的常见攻击。许多具有安全功能的应用程序可用来构建安全的FTP服务。比如说，FTPS安全SECURE使用SSL/TLS证书，对端到端数据进行加密。基于客户端的需求，FTPS可加以配置，以支持经过加密及/或未经过加密的连接。SFTPSSH文件传输协议是另一种为传输中数据确保安全的方法。SFTP是作为SSH的一种扩展技术而开发的，同样可以结合其他安全协议使用。本教程将着重介绍借助SSL/TLS已被启用的VSFTPD，构建和保护FTP服务。先稍微介绍一下背景典型的FTP服务器侦听TCP端口20以监视数据、侦听TCP端口以监视命令又叫控制端口。连接的建立和命令参数的交互都通过端口21来完成。FTP连接支持两种方法主动模式和被动模式。在主动模式下的连接建立过程中，服务器建立一条从其端口20数据到客户机的连接。在被动模式下，服务器为每一个客户机会话专门指定了随机性数据端口，并将该端口通知客户机。随后，客户机建立一条通向服务器随机性端口的连接。据RFC1635显示，FTP支持通过特殊用户ANONYMOUS进行的公众访问，不需要任何密码，或者通过用户FTP、使用密码FTP来进行访问。除了这类公众用户外，VSFTPD还支持本地LINUX用户进行的登录。LINUX用户可以通过使用FTP连接到服务器，并提供登录信息，访问其主目录，即/HOME/USER。把VSFTPD安装到LINUX上如果想把VSFTPD安装到UBUNTU、DEBIAN或LINUXMINT上，可以使用APTGET命令。系统一启动，VSFTPD服务就会自动启动。SUDOAPTGETINSTALLVSFTPD如果想把VSFTPD安装到CENTOS、FEDORA或RHEL上，我们可以使用YUM来轻松完成安装。服务启动后，还被添加到系统启动项。YUMINSTALLVSFTPDSERVICEVSFTPDSTARTCHKCONFIGVSFTPDON使用VSFTPD的一种最基本的FTP服务现已准备好使用。我们只要将浏览器指向URLFTP//SERVERNAME/IP，或者使用FILEZILLA等FTP客户软件、使用用户名ANONYMOUS，无需密码来连接，或使用用户名FTP、密码FTP来连接，就可以访问FTP服务。VSFTPD安装完毕后，系统用户FTP连同主目录/VAR/FTP已被添加到系统中。只要建立了匿名FTP连接，会话总是默认使用/VAR/FTP目录。所以，我们可以将该目录用作FTP公众用户的主目录。放在/VAR/FTP下面的任何文件/目录都可以通过FTP//SERVERNAME/IP加以访问。VSFTPD配置文件的位置出现在下面两个地方UBUNTU、DEBIAN或LINUXMINT/ETC/VSFTPDCONFCENTOS、FEDORA或RHEL/ETC/VSFTPD/VSFTPDCONF在本教程的其余部分，使用你LINUX系统上的对应位置的VSFTPDCONF文件。调整FTP用户如果想禁用公众访问，我们就要在VSFTPDCONF中明确禁止用户ANONYMOUS。注释掉这一行不管用，因为VSFTPD使用默认值运行。你还需要重启VSFTPD。ANONYMOUS_ENABLENOSERVICEVSFPTDRESTART因而就要启用强制性验证只有现有的LINUX用户才能够使用其登录信息来进行连接。若想启用/禁用本地用户，我们可以修改VSFTPDCONF文件。如果我们禁用本地用户，就得确保用户ANONYMOUS已被授予访问权限。LOCAL_ENABLEYES/NOSERVICEVSFPTDRESTART如果想使用特定用户连接到系统，我们只要将URL改成FTP//USERNAMESERVERNAME/IP。相应用户的主目录可使用这种方法，通过FTP来加以访问。将用户限制在各自的主目录用户使用FTP访问远程服务器时，用户可以浏览整个系统，只要文件/目录是可读取的。根本不建议这么做，因为任何用户都能通过FTP会话，读取和下载/ETC、/VAR、/USR及其他位置下面的系统文件。想限制本地用户在FTP会话期间只能访问各自的主目录，我们可以修改下面这个参数。CHROOT_LOCAL_USERYESSERVICEVSFTPDRESTART现在，本地用户只能够访问其主目录了，无法访问系统中的其他任何文件或目录。启用SSL/TLS加密FTP原本是一种明文协议，这意味着谁都可以轻松窥视在客户机与远程FTP服务器之间所传输的文件。想对FTP通信内容进行加密，可以启用VSFTPD中的SSL/TLS。第一步是创建SSL/TLS证书和私钥，如下所示。它会将所创建的证书/私钥存放在目标PEM文件中。在DEBIAN/UBUNTU上SUDOOPENSSLREQX509DAYS365NEWKEYRSA2048–NODESKEYOUT/ETC/VSFTPDPEMOUT/ETC/VSFTPDPEM在CENTOS/FEDORA/RHEL上SUDOOPENSSLREQX509DAYS365NEWKEYRSA2048–NODESKEYOUT/ETC/VSFTPD/VSFTPDPEMOUT/ETC/VSFTPD/VSFTPDPEM然后，将下面这些参数添加到VSFTPDCONF配置文件中。启用TLS/SSLSSL_ENABLEYES强迫客户机在登录时使用TLSALLOW_ANON_SSLNOFORCE_LOCAL_DATA_SSLYESFORCE_LOCAL_LOGINS_SSLYESSSL_TLSV1YESSSL_SSLV2NOSSL_SSLV3NOREQUIRE_SSL_REUSENOSSL_CIPHERSHIGH指定SSL证书/私钥DEBIAN/UBUNTU如果是CENTOS/FEDORA/RHEL，将其换成/ETC/VSFTPD/VSFTPDPEMRSA_CERT_FILE/ETC/VSFTPDPEMRSA_PRIVATE_KEY_FILE/ETC/VSFTPDPEM为被动模式下的连接定义端口范围PASV_MAX_PORT65535PASV_MIN_PORT64000最后重启VSFTPD。SERVICEVSFTPDRESTART控制连接和带宽VSFTPD提供了几种方法来控制连接和用户带宽。我们将使用几种方法来调整我们的FTP服务器。为每个匿名会话分配的带宽设置为大约30KB/SANON_MAX_RATE30000每个本地用户被授予大约30KB/S的带宽LOCAL_MAX_RATE30000客户机会话闲置300秒后被终止IDLE_SESSION_TIMEOUT300每个源IP地址的最大连接数量，这有助于防范拒绝服务DOS和分布式拒绝服务攻击DDOSMAX_PER_IP50调整防火墙最后，如果你在系统比如CENTOS上运行IPTABLES防火墙，就要确保调整防火墙规则，允许FTP流量通过。下面这些规则应当有助于你开始上手。IPTABLESI