《Linux網(wǎng)絡(luò)操作系統(tǒng)(CentOS 6.5)》課件-3-3-2 FTP服務(wù)器的安全配置與管理_第1頁
《Linux網(wǎng)絡(luò)操作系統(tǒng)(CentOS 6.5)》課件-3-3-2 FTP服務(wù)器的安全配置與管理_第2頁
《Linux網(wǎng)絡(luò)操作系統(tǒng)(CentOS 6.5)》課件-3-3-2 FTP服務(wù)器的安全配置與管理_第3頁
《Linux網(wǎng)絡(luò)操作系統(tǒng)(CentOS 6.5)》課件-3-3-2 FTP服務(wù)器的安全配置與管理_第4頁
《Linux網(wǎng)絡(luò)操作系統(tǒng)(CentOS 6.5)》課件-3-3-2 FTP服務(wù)器的安全配置與管理_第5頁
已閱讀5頁,還剩12頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

Linux網(wǎng)絡(luò)操作系統(tǒng)(CentOS)FTP服務(wù)器的安全配置與管理任務(wù)目標基于安全考慮,公司要求信息部門對此擬定解決方案。信息部門通過討論,決定使用常規(guī)方式解決:應(yīng)用SSL/TLS協(xié)議加密傳輸數(shù)據(jù)。為了方便客戶在前臺查詢公司相關(guān)信息,接待部在客戶休息區(qū)放置了兩臺計算機,IP地址分別為0和1。為保障vsftpd服務(wù)器的安全,需要禁止這兩臺計算機訪問服務(wù)器,允許網(wǎng)段192.168.0的其他計算機訪問。SSL/TLS協(xié)議應(yīng)用因FTP服務(wù)器與客戶端在通信過程中是明文傳輸方式,所以在用戶登錄FTP服務(wù)器時,一旦有人在服務(wù)器端或客戶端監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù),就可以輕易獲取用戶的登錄賬號和密碼。FTP虛擬用戶賬號虛擬用戶并不是系統(tǒng)用戶,即FTP的用戶在系統(tǒng)中是不存在的。這些賬號的權(quán)限是集中寄托在系統(tǒng)中的某一個用戶身上的,即所謂的vsftpd的虛擬宿主用戶。虛擬宿主用戶是支持所有虛擬用戶的宿主用戶,由于它支撐了FTP的所有虛擬用戶,其本身的權(quán)限將會影響這些虛擬用戶。修改主配置文件在主配置文件中修改以下內(nèi)容(如無則添加):guest_enable=YES#啟用虛擬用戶。guest_username=virtual#指定虛擬用戶映射的賬號名稱。pam_service_name=virtual#設(shè)定PAM服務(wù)下vsftpd的驗證配置文件名。user_config_dir=/etc/vsftpd/user_conf#指定虛擬用戶賬號配置文件所處位置。chroot_local_user=YES#啟用用戶目錄隔離。pasv_enable=YES#啟用vsftpd服務(wù)的被動模式。pasv_min_port=40000#指定最小端口號。pasv_max_port=41000#指定最大端口號。修改主配置文件ssl_enable=YES#啟用SSL/TLS協(xié)議。rsa_cert_file=/etc/vsftpd/cert/vsftpd.pem#指定SSL證書保存的文件。allow_anon_ssl=NO#匿名用戶不使用SSL加密。force_local_data_ssl=YES#強制使用SSL加密數(shù)據(jù)傳輸。force_local_logins_ssl=YES#強制使用SSL加密登錄數(shù)據(jù)。ssl_tlsv1=YES#啟用認證模式。ssl_sslv2=NOssl_sslv3=NOrequire_ssl_reuse=NO#不需要數(shù)據(jù)與控制流使用相同的SSL通道。ssl_ciphers=HIGHxferlog_enable=YESxferlog_std_format=NOxferlog_file=/var/log/vsftpd.log#指定相關(guān)日志文件log_ftp_protocol=YES創(chuàng)建配置文件目錄為用戶配置文件創(chuàng)建目錄。為證書文件創(chuàng)建目錄。創(chuàng)建虛擬用戶在目錄“/etc/vsftpd/”下創(chuàng)建用戶文件“virtualuser.txt”,并在其中寫入虛擬用戶及其密碼。設(shè)置虛擬用戶相關(guān)權(quán)限在指定的虛擬用戶賬號配置文件目錄“/etc/vsftpd/user_conf”內(nèi),創(chuàng)建虛擬賬號權(quán)限配置文件,文件名稱以虛擬賬號命名。設(shè)置vsftpd的PAM配置文件vsftpd的PAM配置文件“/etc/pam.d/vsftpd”決定vsftpd使用何種認證方式,常用的認證方式包括:pam_unix:本地系統(tǒng)的真實用戶認證;pam_userdb:獨立的用戶認證數(shù)據(jù)庫認證;pam_ldap:網(wǎng)絡(luò)上的LDAP數(shù)據(jù)庫認證。創(chuàng)建SSL認證文件SSL認證文件可以通過openssl命令創(chuàng)建。創(chuàng)建虛擬用戶根目錄按照用戶配置文件中的設(shè)置,創(chuàng)建虛擬用戶根目錄。創(chuàng)建好目錄后,必須將目錄及其子目錄和文件的所有者和所屬組均改成用戶“virtual”及其所屬組,否則虛擬用戶無法登陸。防火墻設(shè)置因vsftpd服務(wù)使用的是TCP的20和21號端口,被動模式下使用了40000-41000之間的端口,所以必須在防火墻中添加規(guī)則,允許這些端口與外界通信。驗證匿名用戶測試驗證虛擬用戶測試TCPWrappers安全機制應(yīng)用啟用TCPWrappers安全機制:

打開vsftpd服務(wù)的主配置文件,檢查“tcp_wrappers”項是否啟用、值是否為“YES”。默認配置中,該選項為啟動的,且值為“YES”。TCPWrapper

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論