回忆之城
生命在于折腾
posts - 575,comments - 9,trackbacks - 0
置文件名: vsftpd.conf

 

参数:

anonymous_enable=NO   //匿名访问
listen_port=21        //监听端口

reverse_lookup_enable=NO  //解决登陆验证缓慢问题
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
chroot_list_enable=YES    //锁定用户目录(不需锁定的用户,写入chroot_list文件)
chroot_local_user=YES
chroot_list_file=/etc/vsftpd/chroot_list
listen=YES
pam_service_name=vsftpd
userlist_enable=YES     //启动userlist黑名单,该名单里用户不能使用ftp
tcp_wrappers=YES
pasv_enable=YES         //启用被动模式,指定被动模式使用端口
pasv_min_port=6100
pasv_max_port=6120

 

 

创建FTP用户:

adduser 用户名   //增加账号

passwd 用户名    //更改密码

vi /etc/passwd   //指定用户FTP登陆后默认根文件夹

chown -R 用户.用户组 /用户目录  //给该用户目录设置访问权限

 

添加SSL传输方式:

ftp传输数据是明文,弄个抓包软件就可以通过数据包来分析到账号和密码,为了搭建一个安全性比较高ftp,可以结合SSL来解决问题
 
SSL(Secure Socket Layer)工作于传输层和应用程序之间.作为一个中间层,应用程序只要采用SSL提供的一套SSL套接字API来替换标准的Socket套接字,就可以把程序转换为SSL化的安全网络程序,在传输过程中将由SSL协议实现数据机密性和完整性的保证.SSL取得大规模成功后,IETF将SSL作了标准化,并将其称为TLS(Transport Layer Security).Ftp结合SSL,将实现传输数据的加密,保证数据不被别人窃取
 
 
让vsftpd支持SSL,必须让OPENSSL≥0.9.6版本,还有就是本身vsftpd版本是否支持
查询vsftpd软件是否支持SSL
[root@localhost vsftpd]# ldd /usr/sbin/vsftpd |grep libssl
        libssl.so.6 => /lib/libssl.so.6 (0xf7f27000)   ==è说明此版本支持
如没有输出libssl.so.6 => /lib/libssl.so.6 (0xf7f27000)类似文本,说明此vsftpd版本不支持SSL


openssl req -x509 -nodes -days 365 -newkey rsa:1024 -keyout /etc/vsftpd/vsftpd.pem -out /etc/vsftpd/vsftpd.pem  //生成vsftpd.pem 证书

vi /etc/vsftpd/vsftpd.conf  //编辑主配置文件,添加以下参数

ssl_enable=YES
allow_anon_ssl=NO
force_local_data_ssl=YES
force_local_logins_ssl=YES
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO
rsa_cert_file=/etc/vsftpd/vsftpd.pem
service vsftpd restart   //重启vsftp服务

下面是ssl参数一些定义,根据自己需求去修改
ssl_enable=yes/no             //是否启用 SSL,默认为no
allow_anon_ssl=yes/no         //是否允许匿名用户使用SSL,默认为no
rsa_cert_file=/path/to/file       //rsa证书的位置
dsa_cert_file=/path/to/file      //dsa证书的位置
force_local_logins_ssl=yes/no    //非匿名用户登陆时是否加密,默认为yes
force_local_data_ssl=yes/no     //非匿名用户传输数据时是否加密,默认为yes
force_anon_logins_ssl=yes/no    //匿名用户登录时是否加密,默认为no
force_anon_data_ssl=yes/no     //匿名用户数据传输时是否加密,默认为no
ssl_sslv2=yes/no               //是否激活sslv2加密,默认no
ssl_sslv3=yes/no                //是否激活sslv3加密,默认no
ssl_tlsv1=yes/no                //是否激活tls v1加密,默认yes
ssl_ciphers=加密方法            //默认是DES-CBC3-SHA

posted on 2014-11-19 16:08 回忆之城 阅读(143) 评论(0)  编辑 收藏 引用 所属分类: unix/linux服务器配置
只有注册用户登录后才能发表评论。