在linux服务器上搭建相对安全的FTP服务器

时间:2021-01-08 01:59:57

一、如何在Linux服务器上安装vsftp不在多说,直接介绍如何进行安全性配置;

二、编辑vsftp.conf文件

关键配置项如下:

anonymous_enable=NO /禁止匿名用户登录

local_enable=YES  /允许本地用户登录

write_enable=YES  /允许登陆后写

local_umask=022

xferlog_enable=YES  /记录日志

xferlog_file=/var/log/xfer log  /日志文件

userlist_enable=YES   /限制userlist里面的本地用户不能访问,userlist里面可以把root等禁止ftp登录的本地账号写进去

所有配置项的注释可参考:

http://blog.csdn.net/chenhongqian/article/details/50462382

三、创建FTP账号

# useradd –d  /home/myftp  myftp

# passwd myftp

# usermod -s /sbin/nologin myftp //限定用户myftp不能本地登录

 

四、创建一个文件夹(scripts)只能下载,不能上传

# mkdir scripts /home/myftp

#chmod 555 scripts

 

五、创建一个文件夹(results)只能上传,不能下载和删除

这个有点难度,因为用户不能对自己上传的文件进行下载和删除,需要使用特殊的方法。

# mkdir results /home/myftp

#chmod 755 results

#chattr +i /home/results

六、配置SSL加密

1、通过rpm -qa | openssl  查看是否已安装openssl,未安装请先安装

2、新建目录,为了放置证书,有可能certs文件夹已经存在,但要确认已存在的文件夹是否仅是个链接。

  1. mkdir -p /etc/ssl/certs
  2. chmod 700 /etc/ssl/certs

3、执行生成证书的命令:

  1. openssl req -x509 -nodes -days 365 -newkey rsa:1024 -keyout /etc/ssl/certs/vsftpd.pem -out /etc/ssl/certs/vsftpd.pem

4、上述证书生成过程中需要填写信息,按提示添加国家、省份、邮箱等即可,可以随便填,信息后续用不到;

5、然后进到/etc/ssl/certs目录下看证书有没有生成

6、然后我们修改vsftpd的配置文件在最后添加如下信息

  1. # Turn on SSL
  2. ssl_enable=YES
  3. # Allow anonymous users to use secured SSL connections
  4. allow_anon_ssl=YES
  5. # All non-anonymous logins are forced to use a secure SSL connection in order to
  6. # send and receive data on data connections.
  7. force_local_data_ssl=YES
  8. force_anon_data_ssl=YES
  9. # All non-anonymous logins are forced to use a secure SSL connection in order to send the password.
  10. force_local_logins_ssl=YES
  11. force_anon_logins_ssl=YES
  12. # Permit TLS v1 protocol connections. TLS v1 connections are preferred
  13. ssl_tlsv1=YES
  14. # Permit SSL v2 protocol connections. TLS v1 connections are preferred
  15. ssl_sslv2=NO
  16. # permit SSL v3 protocol connections. TLS v1 connections are preferred
  17. ssl_sslv3=NO
  18. # Disable SSL session reuse (required by WinSCP)
  19. require_ssl_reuse=NO
  20. # Select which SSL ciphers vsftpd will allow for encrypted SSL connections (required by FileZilla)
  21. ssl_ciphers=HIGH
  22. # This option specifies the location of the RSA certificate to use for SSL
  23. # encrypted connections.
  24. rsa_cert_file=/etc/ssl/cert/vsftpd.pem

7、配置修改完成后,重新vsftpd服务。

备注:如服务启动失败,请确认证书存储的位置与下面填写的是否符合   sa_cert_file=/etc/ssl/cert/vsftpd.pem 

8、登陆查看是否已加密

状态:
正在连接 172.20.100.XX:21...
状态: 连接建立,等待欢迎消息...
状态: 初始化 TLS 中...
状态: 正在验证证书...
状态: TLS 连接已建立。
状态: 已登录
状态: 读取目录列表...

备注:需要使用工具链接,如FileZilla等,直接通过浏览器可能无法正常登陆。