《Linux服务与安全管理》教学课件9(FTP服务器配置与安全管理)选编.ppt

FTP是Internet中一种应用非常广泛的服务，用户通过它从服务器获取需要的文档、资料、音频、视频等。Internet出现以来，它就一直是用户使用频率最高的应用服务之一，其重要性仅次于HTTP和SMTP。在Linux系统中，构建安全的FTP服务是一项非常艰巨而且复杂的工作，许多与服务器相关的配置文件以及用户管理都需要着重考虑。因此，本章将对vsftpd这种Linux下最常用的FTP服务器的安全配置和使用进行详细介绍。;9.1 FTP服务概述;9.1 FTP服务概述; ;9.1 FTP服务概述;9.1 FTP服务概述;9.1 FTP服务概述;9.2 案例导学——实现匿名和本地访问的FTP服务器;9.2 案例导学——实现匿名和本地访问的FTP服务器;9.2 案例导学——实现匿名和本地访问的FTP服务器;9.2 案例导学——实现匿名和本地访问的FTP服务器;9.2 案例导学——实现匿名和本地访问的FTP服务器;9.2 案例导学——实现匿名和本地访问的FTP服务器;9.2 案例导学——实现匿名和本地访问的FTP服务器;9.2 案例导学——实现匿名和本地访问的FTP服务器;9.2 案例导学——实现匿名和本地访问的FTP服务器;9.3 课堂练习——配置FTP虚拟主机;9.3 课堂练习——配置FTP虚拟主机;9.4 拓展练习——vsftpd服务的安全管理;9.4.2 主机访问控制 可以利用tcp_wrappers实现主机访问控制。tcp_wrappers的配置文件主要有两个：/etc/hosts.allow和/etc/hosts.deny。 1．例如，在Linux主机48上配置vsftpd服务，允许除45以外的来自/24网段的所有主机访问此FTP服务器；另外允许来自域的主机访问此FTP服务器。 解决方案：利用tcp_wrappers提供的主机访问控制功能来实现。 （1）编辑vsftpd的主配置文件以支持tcp_wrappers。其中默认含有如下指令： tcp_wrappers=YES （2）编辑/etc/hosts.allow文件，增加以下内容： vsftpd:45:DENY vsftpd:192.168.11., . （3）测试。在主机45上进行测试： # ftp 48 Connected to 48. 421 Service not available. ftp;9.4.2 主机访问控制 除了上述基本的主机访问控制功能外，tcp_wrappers还为vsftpd提供了额外的配置文件。 2．例如：在Linux主机48上配置vsftpd服务，针对来自/24网段的匿名连接，限制其下载速???为5KB/s，而对来自其他网段的匿名连接，则不做速率限制。 解决方案：利用tcp_wrappers提供的特定功能来实现。 （1）编辑vsftpd的主配置文件，增加如下指令： anon_max_rate=0 // 设置匿名用户的最高传输速率，“0”表示不限制 （2）建立额外的配置文件“/etc/vsftpd/vsftpd_other.conf”，内容如下： anon_max_rate=5000 //在额外的配置文件vsftpd_other.conf中仅设置了anon_max_rate指令，其目的就是为了与主配置文件中的相同指令产生“矛盾”。通过后面的测试可以进一步说明哪条指令最终有效。;9.4.2 主机访问控制 （3）编辑hosts.allow文件，增加相关指令。 为了减少干扰，首先去掉上例中关于vsftpd的设置，然后增加如下指令： vsftpd: 192.168.11. :setenv VSFTPD_LOAD_CONF /etc/vsftpd/vsftpd_other.conf //这里使用了一个特殊的环境变量“VSFTPD_LOAD_CONF”为vsftpd提供额外的配置文件。其作用是：当来自网段的主机访问vsftpd服务器时，加载额外的配置文件“/etc/vsftpd/vsftpd_other.conf”。也就是说，当额外配置文件与主配置文件中的相关指令产生矛盾时，以额外配置文件的设置为准。 （4）测试。 从客户机（45）以匿名方式登录FTP服务器（48），并下载文件“screen.png”到本地“/tmp”目录下。具体过程略。;9.4.3 用户访问控制 vsftpd的用户访问控制分为两类： 第一类是传统用户列表文件“/etc/vsftpd/ftpusers”，默认存放黑名单，也就是说其中列出的用户都没有登录此FTP服务器的权限。 第二类是改进的用户列表文件“/etc/vsftpd/user_list”，要想让vsftpd检查这个文件中的用户列表，必须将主配置文件中的userlist