VSFTPD的基础安全加固

与SSL配置相关的设置(要添加)

ssl_enabe=YES| NO #是否启用ssl

ssl_sslv2=YES|NO #是否激活sslv2加密

ssl_sslv3=YES|NO #是否激活sslv3加密

ssl_tlsv1=YES|NO #是否激活tlsv1加密

force_local_logins_ssl=yes|NO #非匿名用户登陆时是否加密

force_local_data_ssl=YES|NO #传输数据是否加密

rsa_cert_file=/etc/vsftpd/.sslkey/vsftpd.pem #证书位置

配置ftp仅允许ssl连接

对本地用户的目录穿越设置

　　关键词: chroot

chroot_local_user=YES

chroot_list_enable=YES

chroot_list_file=/etc/vsftpd/chroot_list

(1)对local_user设置的理解: chroot_local_user为YES时,即代表本地用户的活动范围限制在自家目录

(2)指定用户执行chroot -可以进行目录穿越

chroot_local_user=No

chroot_list_enable=YES

chroot_list_file=/etc/vsftpd/chroot_list

只有在list_file里指定的用户可以进行 list_file的格式为每个用户名占一行

对本地用户的访问控制

　　关键词:userlist tips:centos7 只有userlist_enable 其余可能要自己添加

userlist_enable=YES

userlist_deny=YES

userlist_file=/etc/vsftpd.user_list #该文件指定的本地用户可以访问ftp服务器其他则不可以

banner信息控制

　　关键词: banner

file_banner=xxx

配置基本的性能和安全选项

1. 空闲用户会话中断时间 #keyword=timeout

idle_session_timeout=xx #unit is seconds

2.空闲数据连接的中断时间

data_connection_timeout= xx # also seconds

3.传输速率配置 #important 对本地用户和匿名用户

　　#要自己添加

local_max_rate=50000 #50kbytes /sec

anon_max_rate=30000

4.设置客户端连接的端口范围 #passive mode

pasv_min_port=50000

pasv_max_port=60000

服务器环境相关配置(要自己添加的)

connect_timeout=xx #units is seconds 主动模式下设定时间没有得到响应中断连接

accept_timeout=xx #also seconds 被动模式

max_clients=0 #最大连接数如果vsftpd是stadalone启动可以限制客户端同时在线的数量

max_per_ip=0 # 限制同一个ip最多能有多少个客户端在线

与本地用户相关设置

guest_enable=YES|NO #默认为NO 如果为YES 所有的本地用户被将被设置成guest用户

guest_username=ftp # 当guest_enable=YES生效指定guest用户名称

匿名用户相关设置

anon_other_write_enable=YES|NO # 是否允许匿名用户有“写”之外的权限，包括删除、修改、重命名的权限

anon_max_rate=0 #匿名用户的传输速率，0 表示不限制

anon_umask=077 #匿名用户上传文件的默认权限

系统安全相关设置

tcp_wrappers=YES |NO # 是否支持 tcp_wrappers

dual_log_enable=YES, vsftpd_log_file=/var/log/vsftpd.log #是否启用双日志，及另一份日志的路径

巴特西