热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

vsftpd服务器配置详细说明(下)

接上篇3.关于TCPWrappersTCPWrappers的作用,就是通过分析TCP网络数据包,根据其包头的IP地址和端口号,决定是否让这个数据进入到主机之中,因此我们也可以把它当成一个最内层的防火墙。数据包要进入ftp服务器,首先经过netfilter的过滤,通过TCPWrappers
接上篇
3. 关于TCP Wrappers
        TCP Wrappers的作用,就是通过分析TCP网络数据包,根据其包头的IP地址和端口号,决定是否让这个数据进入到主机之中,因此我们也可以把它当成一个最内层的防火墙。数据包要进入ftp服务器,首先经过netfilter的过滤,通过TCP Wrappers筛选,守护进程(xinetd模式)限制,最后才能交由vsftpd进程来处理。
我们可以设置TCP Wrappers来限制某些主机能或者不能访问ftp服务器,这需要编辑两个文件:
        /etc/hosts.allow
        /etc/hosts.deny
        当数据包通过TCP Wrappers筛选时,/etc/hosts.allow文件会首先读取,然后再读取/etc/hosts.deny文件,就是说/etc/hosts.allow优先级要高一些。这两个文件设置规则如下:
        ::
   字段是服务名,也就是/etc/rc.d/init.d/目录下存在的文件名;第二个字段是可以是IP、域名、一台主机或者一个网段;第三个字段表示允许通过或者禁止。具体看下面的例子:
   vsftpd:1Array2.168.0.111:allow        //允许主机1Array2.168.0.111访问vsftpd服务器
   httpd:10.100.1.0/255.255.255.0:deny    //禁止10.100.1.0/24这个子网访问www服务
   最后一个字段的:allow或:deny可以省略,写在/etc/hosts.allow文件里默认就是allow, /etc/hosts.deny文件里默认是deny。其实我们可以把所有语句都写在hosts.allow文件中,但建议大家把allow和deny的语句分别写到两个文件之中。
        TCP Wrappers默认规则是允许所有数据包通过,所以大家在填写允许条目之后,一定还要加一条deny语句来拒绝其它的包。比如:
        # vi /etc/hosts.allow
   vsftpd:1Array2.168.1.0/255.255.255.0        //允许1Array2.168.1.0/24网段可以访问ftp
        # vi /etc/hosts.deny
        vsftpd:ALL        //拒绝其它所有主机访问ftp
        如果vsftpd工作在守护进程模式下,不但可以受到TCP Wrappers的筛选,还可以设置守护进程配置文件来进行同样的过滤,这使用下面两条语句:
        only_from    =         //限制可以访问的IP、主机、网络
        no_access =     //限制不能访问的IP、主机、网络
   下面我们将only_from语句加入/etc/xinetd.d/vsftpd文件中,实现只有子网1Array2.168.0.128/25才可以登录ftp服务器:
service ftp
{
        disable                 = no
        socket_type         = stream
        wait       = no
        user      = root
        server                  = /usr/local/sbin/vsftpd
        server_args         = /etc/vsftpd/vsftpd.conf
        nice       = 10
        only_from             = 1Array2.168.0.128/25
}
   如果vsftpd工作在standalone模式下,必须在编译vsftpd之前修改头文件builddefs.h以支持TCP Wrappers,详情请参加软件安装小节。另外还需要在vsftpd主配置文件中加入tcp_wrappers=yes参数。
4. 结合MySql数据库
   将vsftpd与MySql相结合,我们可以把用户和日志信息放到数据库里面去,如果再结合php来管理数据库,则可以使vsftpd管理更加方便。下面我们就来讨论一下基于MySql的虚拟户和日志功能。
        使用MySql来实现虚拟用户
   前面我们介绍了两类用户,关于匿名用户的语句比较多,权限限制比较灵活;而本地用户的特点是每个用户对应一个密码和主文件夹,登录控制比较灵活。可不可以将两者的优点结合一下呢?答案是肯定的,这就是虚拟用户。关于虚拟用户的启用,需要使用以下两条语句:
        guest_enable=yes/no
        guest_username=user_name
   上述guest_enable表示是否开启虚拟用户功能,guest_username表示虚拟用户登录后映射的本地用户名。如果开启虚拟用户功能,本地用户登录后将映射到guest_username参数指定的用户,主目录也变成该用户的主目录。
        我们修改vsftpd主配置文件,变为下面的样子:
        listen=yes
        anonymous_enable=yes
        local_enable=yes
        pam_service_name=vsftpd
        write_enable=yes
        dirlist_enable=yes
        download_enable=yes
        anon_upload_enable=yes
   anon_mkdir_write_enable=yes
   anon_other_write_enable=no
        anon_umask=073
        guest_enable=yes
        guest_username=virftp
        再新建一个用户virftp改变一下其主目录的权限:
        # useradd -d /var/virftp -s /sbin/nologin virftp
        # chmod 704 /var/virftp
   这时再以/etc/passwd中的用户登录ftp,通过查看内容,会发现主目录已经切换到/var/virftp/,可以下载和上传文件,但不能改名和删除。这就是说,限制匿名用户的参数也同样适用于本地用户。
   如果想让虚拟用户像本地用户那样拥有每个用户独立的主目录、独立的配置文件和权限,又该怎么办呢?还记得user_config_dir参数吧!在每个用户独立的配置文件里设定不同的权限和local_root参数就可以了。
        再来看看这个参数:
   virtual_use_local_privs=yes/no
   从刚才的实验可以看到,虚拟用户登录后,受到匿名用户参数的限制。我们可以通将此参数的值改为yes,则虚拟用户会变得和本地用户一样,拥有和本地用户一样的特权。由于我们平常都是看中了匿名用户限制参数比较细致这个特点才启用虚拟用户的,所以此参数默认值为no!
   下面我们结合MySql,把用户登录信息放到数据库里面去。首先我们需要安装MySql。
        到
http://dev.mysql.com/downloads/mysql/5.1.html
下载MySql,为了简单起见,我们下载在linux下已经编译好的版本。我下载的版本是mysql-5.1.18-beta-linux-i686-glibc23.tar.gz,然后照下面的步骤来安装MySql。
        # groupadd mysql
        # useradd -g mysql mysql
   如果系统中已经有了mysql用户,就可以省掉这步操作。
        # cd /usr/local
        # tar zxvf mysql-5.1.18-beta-linux-i686-glibc23.tar.gz
        # ln -s mysql-5.1.18-beta-linux-i686-glibc23 mysql
   如果原来系统中已经安装旧版mysql,最好将它卸载,除非你有足够的把握很好地面对系统中的两个mysql;通常习惯将mysql安装在/usr/local/mysql中,但为了将来版本升级的需要,建议使用链接方式使用mysql。
        # cd mysql
        # chown -R mysql:mysql .
        # scripts/mysql_install_db --user=mysql
   初始化mysql数据库,这步之前必须保证mysql用户有权限访问mysql目录。
        # chown -R root .
        # chown -R mysql data
        最好做这两步,至少官方文档是这么建议的。
   MySql的命令和man文档并不在PATH和MANPATH中,所以我们要手动加入。打开vi /etc/profile文件,找到export PATH ...那一行,大约在40行左右,在它的前面加上一行:
   PATH=”$PATH”:/usr/local/mysql/bin
   打开/etc/man.config(有的版本为/etc/man.conf),在它的任何地方加入一行:
        MANPATH /usr/local/mysql/man
   到这时mysql就已经安装好了,通过这个命令启动mysql:
   /usr/local/mysql/bin/mysqld_safe --user=mysql &
        为了让mysql支持开机启动,执行下面的命令:
        # cp support-files/mysql.server /etc/rc.d/init.d/mysqld
        # chkconfig ?add mysqld
   这样就可以让mysql以服务的方式开机启动,且还可以使用如下命令管理mysql服务:
        # service mysqld {start|stop|restart|reload|force-reload|status}
        启动mysql服务,检测下是否正常运行:
        # netstat -l|grep mysql
        tcp        0      0 *:mysql      *:*           LISTEN
        unix  2      [ ACC ]     STREAM     LISTENING     25534  /tmp/mysql.sock
        看到了吧,mysql已经在监听了,但它的socket file在/tmp/下,郁闷!
   默认情况下,mysql没有密码,任何人都可以登入。为了加强安全性,我们给mysql加上root帐号密码:
        # mysqladmin -u root password ’your_P@ssw0rd’
        这样以后登录就需要密码了:
        # mysql -u root -p
        Enter password:
        Welcome to the MySQL monitor.  Commands end with ; or \g.
        Your MySQL connection id is 5
        Server version: 5.1.18-beta MySQL Community Server (GPL)
        Type ’help;’ or ’\h’ for help. Type ’\c’ to clear the buffer.
        mysql>             建立数据库ftpdb:
        mysql> create database ftpdb;
   在数据库ftpdb中建立一个表ftpuser,表中有username和password字段:
        mysql> use ftpdb;
        Database changed
        mysql> create table ftpuser(username char(20) not null, password char(64) not null);
        Query OK, 0 rows affected (0.15 sec)
   这里要注意密码字段的长度,不同的算法生成的密文长度是不一样的,建议不要少于50位,否则可能导致密文在存储时被截短。
   我们插入两条记录作为两个ftp的登录名和密码,使用mysql自带的password函数来加密密码:
        mysql> insert into ftpuser values(’test1’,password(’abc’));
        Query OK, 1 row affected, 1 warning (0.08 sec)
        mysql> insert into ftpuser values(’test2’,password(’123’));
        Query OK, 1 row affected, 1 warning (0.00 sec)
        mysql> select * from ftpuser;
   +----------+-------------------------------------------+
        | username | password    |
   +----------+-------------------------------------------+
        | test1    | *0D3CEDArrayBEC10A777AEC23CCC353A8C08A633045E |
        | test2    | *23AE80ArrayDDACAFArray6AF0FD78ED04B6A265E05AA257 |
   +----------+-------------------------------------------+
        2 rows in set (0.00 sec)
   然后我们再建立一个可以让ftp服务登陆数据库的用户:
        mysql> grant select on ftpdb.ftpuser to ftpdb_query@localhost identified by ’P@ssw0rd’;
        这个用户只能浏览 ftpdb 数据库下的 ftpuser 表中内容,我们如果想以后分配一个可以完全管理 ftpdb 数据库的用户,再这样:
        mysql> grant all on ftpdb.* to ftpdb_all@localhost identified by ’P@ssw0rd’;
        到这里MySql的设置就算完了,接下来安装 PAM 基于 mysql 数据库的认证插件,我们可以到http:           //sourceforge.net/projects/pam-mysql/下载得到。我下载的文件是pam_mysql-0.7RC1.tar.gz。
        # tar zxvf pam_mysql-0.7RC1.tar.gz
        # cd pam_mysql-0.7RC1
        # ./configure ?with-mysql=/usr/local/mysql
        # make
        # make install
   这里要注意两点,一是我们的mysql是手动安装在/usr/local/mysql下的,因此./configure命令需要指定mysql安装目录;二是安装好之后,pam_mysql.so被安装到了/usr/lib/security.  如果make过程出现错误,不要理会,只要产生pam_mysql.so文件即可,我们可以直接将此文件考入/lib/security/目录。
        然后来编写PAM认证文件:
        # vi /etc/pam.d/ftpdb
        auth required /usr/lib/security/pam_mysql.so user=ftpdb_query passwd=P@ssw0rd host=localhost db=ftpdb table=ftpuser usercolumn=username passwdcolumn=password crypt=2
        account required /usr/lib/security/pam_mysql.so user=ftpdb_query passwd=P@ssw0rd host=localhost db=ftpdb table=ftpuser usercolumn=username passwdcolumn=password crypt=2
   注意,整个这个文件中只有auth和account两行内容,中途不要加回车换行;文件中不要再有包含其它pam模块的行;如果pam_mysql.so文件没有在/lib/security目录,就需要指定文件路径。文件中其它字段的意思是:
        user        访问数据库用户名
        passwd        访问数据库用户密码
        host        数据库主机
        db            数据库名
        table        表名
        usercolumn    用户列名
        passwdcolumn    密码列名
        crypt        密码验证机制;0 代表明文,1 代表DES 加密,2 代表Mysql的password()函数加密,3代表md5算法,4代表sha加密。
   现在我们修改vsftpd主配置文件/etc/vsftpd/vsftpd.conf,把pam_service_name的值改为ftpdb,也就是我们刚才建立的那个PAM认证文件的名字。再登录服务器测试,可以发现/etc/passwd中的用户已经无法登录到服务器了,而数据库中存储的用户名是可以登录的。我们还可以按前面所述的方法为每个虚拟用户建立独立的配置文件,指定独立的主目录;还可以结合apache服务建立php页面,然后实现让用户在web界面注册帐号、修改密码,这要比原来的认证方式灵活得多。
        在MySql中记录日志
        接下来我们看一下如何利用刚才的PAM 模块来结合mysql 数据库记录vsftpd 服务的日志。在介绍之前,我们来看看vsftp中关于日志记录的参数。
        xferlog_enable=yes/no            //是否启用 xferlog 日志格式
   xferlog_std_format=yes/no     //是否采用标准格式记录日志
   xferlog_file=/path/to/logfile            //xferlog 日志文件所在位置,默认为/var/log/xferlog
   上面的参数设置记录xferlog日志的格式。这是早期Wu-ftpd服务的日志格式,它会记录上传和下载的动作。vsftpd也有专有的日志格式,用下列参数设置:
        dual_log_enable=yes/no         //是否采用Vsftpd自己的日志记录方式
        log_ftp_protocol=yes/no          //是否记录所有的ftp命令日志
   vsftpd_log_file=/path/to/logfile     //指定vsftpd 日志文件位置,默认为/var/log/vsftpd.log
   xferlog_enable的默认值为no(vsftpd提供的配置文件模版将其值改为了yes),dual_log_enable的默认值也为no,就是说默认情况下vsftpd是不记录日志的。我们也可以将日志信息写入系统日志/var/log/messages中,使用如下参数:
        syslog_enable=yes/no
   还是建议大家把日志记录为单独的文件,以便浏览和管理。实验比较简单,我们就不做了。
   对于使用文件来记录日志的方式来说,我们必须登录到服务器之后,才能查看日志。这样做不方便,不灵活。我们可以把日志放到数据库中,结合www服务建立一个浏览日志的页面,这样就非常舒服的看到web方式的日志了。下面来看看如何将日志写入数据库中去。
   首先必须使用虚拟用户所在的同一个数据库,新建立存储日志的表:
        mysql> create table ftplog
            -> (log char(100),
            -> user char(20),
            -> host char(20),
            -> time datetime,
            -> pid int);
        修改 PAM 配置文件,在原来的基础上我们改动一下:
        # vi /etc/pam.d/ftpdb
        auth required /usr/lib/security/pam_mysql.so user=ftpdb_all passwd=P@ssw0rd host=localhost db=ftpdb table=ftpuser usercolumn=username passwdcolumn=password crypt=2 sqllog=yes logtable=ftplog logmsgcolumn=log logusercolumn=user loghostcolumn=host logtimecolumn=time logpidcolumn=pid
        account required /usr/lib/security/pam_mysql.so user=ftpdb_all passwd=P@ssw0rd host=localhost db=ftpdb table=ftpuser usercolumn=username passwdcolumn=password crypt=2 sqllog=yes logtable=ftplog logmsgcolumn=log logusercolumn=user loghostcolumn=host logtimecolumn=time logpidcolumn=pid
   注意在这个文件中依然就是原来的两行,其中加入的内容分别对应如下:
        sqllog        表示是否将日志记录到数据库中
        logtable        记录日志的表名
        logmsgcolumn    记录日志信息的列
        logusercolumn    登录用户
        loghostcolumn    登录主机
        logtimecolumn    登录时间
        logpidcolumn    处理该用户连接的进程pid
   这次我换了一个登陆数据库用户,使用先前建立的有完全权限的用户ftpdb_all,这个用户才有在数据库中使用insert命令的权限。
5. 结合OpenSSL 实现加密数据传输
   FTP一个声名狼藉的问题是它以明文方式发送用户名和口令。任何人只要在网络中合适的位置进行抓包分析就可以看到用户名和口令;FTP发送的数据也是以明文方式传输,通过对ftp连接的监控和数据收集就可以重现ftp的数据传输。很多用户为了方便把相同的用户名和口令用在不同的应用中,如果黑客收集到FTP口令,他们也可能就得到了你在线帐号或者其他一些机密数据的口令。
   下面我们使用linux自带的抓包工具tcpdump抓包分析,来截取ftp登录用户口令:
# tcpdump -i eth0 -A
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size Array6 bytes
17:44:35.520880 IP 1Array2.168.0.101.vytalvaultpipe > 1Array2.168.0.105.ftp: S 3417Array37804:3417Array37804(0) win 65535
E..0..@........e...i    ...........p...............
17:44:45.681026 IP 1Array2.168.0.105.ftp > 1Array2.168.0.101.vytalvaultpipe: S 2518028758:2518028758(0) ack 3417Array37805 win 5840
E..0..@[email].@......i...e[/email]..  .........p...............
17:44:35.520Array54 IP 1Array2.168.0.101.vytalvaultpipe > 1Array2.168.0.105.ftp: . ack 1 win 65535
E..([email]..@........e...i[/email]    ...........P....x........
建立TCP连接的三次握手,接下来登录之前信息,省约……
17:44:36.513224 IP 1Array2.168.0.101.vytalvaultpipe > 1Array2.168.0.105.ftp: P 32:44(12) ack Array7 win 513
E..4..@........e...i    ...........P...v...USER test1
用户名:test1
17:44:3Array.Array42107 IP 1Array2.168.0.105.ftp > 1Array2.168.0.101.vytalvaultpipe: . ack 13 win 5840
E..(.|@[email].@..5...i...e[/email]..  .........P.......
17:44:3Array.Array42277 IP 1Array2.168.0.105.ftp > 1Array2.168.0.101.vytalvaultpipe: P 21:55(34) ack 13 win 5840
E..J.}@[email].@......i...e[/email]..  .........P....[..331 Please specify the password.
17:44:40.0Array462Array IP 1Array2.168.0.101.vytalvaultpipe > 1Array2.168.0.105.ftp: . ack 55 win 65481
P....l.........e...i    ..........
17:44:40.525157 IP 1Array2.168.0.105.32832 > 1Array2.168.0.1.domain:  31226+ PTR? 105.0.168.1Array2.in-addr.arpa. (44)
E..H..@.@..;[email]...i.....@.5.4..y............105.0.168.1Array2.in-addr.arpa[/email].....
17:44:41.714630 IP 1Array2.168.0.101.vytalvaultpipe > 1Array2.168.0.105.ftp: P 13:23(10) ack 55 win 65481
P.......PASS abc...i    ..........
密码:abc
17:44:41.742271 IP 1Array2.168.0.105.ftp > 1Array2.168.0.101.vytalvaultpipe: P 55:78(23) ack 23 win 5840
....P....P..230 Login successful.
登录成功!
   怎么样!弄到密码很简单吧!服务器配置的再优秀,数据是明文传输的,所以还是会让别有用心之人有机可乘。
        SSL(Secure Socket Layer)工作于传输层和应用程序之间。作为一个中间层,应用程序只要采用SSL提供的一套SSL套接字API来替换标准的Socket套接字,就可以把程序转换为SSL化的安全网络程序,在传输过程中将由SSL协议实现数据机密性和完整性的保证。SSL取得大规模成功后,IETF将SSL作了标准化,并将其称为TLS(Transport Layer Security)。Ftp结合SSL,将实现传输数据的加密,保证数据不被别人窃取。
   要让vsftpd支持SSL,必须在安装之前修改头文件builddefs.h,将#undef VSF_BUILD_SSL行改为#define VSF_BUILD_SSL,在安装小节已经讲过。这里我们用OpenSSL结合vsftpd来实现数据加密传输。首先查看自己的系统有没有安装OpenSSL,如果没有安装,到
http://www.openssl.org/source/
下载安装,安装过程很简单,就不贴出来了。
        下面我们为 vsftpd 生成证书:
# cd /etc/vsftpd/
# openssl req -new -x50Array -nodes -out vsftpd.pem -keyout vsftpd.pem
Generating a 1024 bit RSA private key
.........................++++++
.............++++++
writing new private key to ’vsftpd.pem’
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ’.’, the field will be left blank.
-----
Country Name (2 letter code) [GB]:cn
State or Province Name (full name) [Berkshire]:ShiChuan
Locality Name (eg, city) [Newbury]:ChenDu
Organization Name (eg, company) [My Company Ltd]:linuxer
Organizational Unit Name (eg, section) []:linuxer
Common Name (eg, your name or your server’s hostname) []:
www.linuxer.cn
Email Address []:icecard@hotmail.com
   填写这些信息后,就产生了/etc/vsftpd/vsftpd.pem证书文件,接下来我们在配置文件中加入下面两行:
        ssl_enable=yes
   rsa_cert_file=/etc/vsftpd/vsftpd.pem
        现在我们登录服务器测试:
        # ftp 127.0.0.1
        Connected to 127.0.0.1.
        220 (vsFTPd 2.0.5)
        504 Unknown AUTH type.
        504 Unknown AUTH type.
        KERBEROS_V4 rejected as an authentication type
        Name (127.0.0.1:root): test1
        530 Non-anonymous sessions must use encryption.
        Login failed.
   已经不能登录了,可能是这个ftp客户端不支持ssl的原因吧!在windows下支持ssl的ftp客户端很多(IE是不支持的),比如FlashFXP,使用比较简单,相信大家都会使用。我们这里介绍Linux下使用lftp来登录服务器。很多Linux发行版中都已经包含了lftp软件包,如果你的Linux中没有lftp,到
http://lftp.yar.ru/get.html
下载原码包来安装。
        # lftp 127.0.0.1
        lftp 127.0.0.1:~> user test1
        口令:
        lftp
test1@127.0.0.1
:~> ls
        -rw-r--r--    1 0        0               5 May 17 21:35 virftp.file
        drwxrwxrwx    2 500      500          40Array6 May 17 21:47 woo
        同时我们打开tcpdump抓包测试:
# tcpdump -i lo -A
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size Array6 bytes
省约部分信息……
23:32:15.23707Array IP localhost.localdomain.ftp > localhost.localdomain.46605: P 36:47(11) ack 7 win 512
..yI...U.....3.........
..M7..M5 AUTH SSL
启用了SSL
23:32:15.2724Array6 IP localhost.localdomain.46605 > localhost.localdomain.ftp: . ack 47 win 513
.....U..yT....Array......
..M@..M6
23:32:15.272570 IP localhost.localdomain.ftp > localhost.localdomain.46605: P 47:137(Array0) ack 7 win 512
..yT...U...............
..M@..M@ AUTH TLS
EPRT
EPSV
MDTM
23:32:15.272605 IP localhost.localdomain.46605 > localhost.localdomain.ftp: . ack 137 win 513
.....U..y.....Arrayi.....
..M@..M@
23:32:15.273156 IP localhost.localdomain.46605 > localhost.localdomain.ftp: P 7:17(10) ack 137 win 513
.....U..y......2.....
..M@..M@AUTH TLS
使用 TLS 认证方式,这是 Vsftpd 默认的安全认证方式。
        我们看到使用tcpdump抓到的包已经使用 TLS 加密了,数据也是加密的,再也不怕第三方窃听了。
上面的例子只使用了两条配置语句,vsftp还提供了下面的语句来设置ssl:
        ssl_enable=yes/no     //是否启用 SSL,默认为no
        allow_anon_ssl=yes/no  //是否允许匿名用户使用SSL,默认为no
   rsa_cert_file=/path/to/file        //rsa证书的位置
   dsa_cert_file=/path/to/file        //dsa证书的位置
   force_local_logins_ssl=yes/no       //非匿名用户登陆时是否加密,默认为yes
   force_local_data_ssl=yes/no         //非匿名用户传输数据时是否加密,默认为yes
   force_anon_logins_ssl=yes/no    //匿名用户登录时是否加密,默认为no
   force_anon_data_ssl=yes/no    //匿名用户数据传输时是否加密,默认为no
        ssl_sslv2=yes/no     //是否激活sslv2加密,默认no
        ssl_sslv3=yes/no     //是否激活sslv3加密,默认no
        ssl_tlsv1=yes/no     //是否激活tls v1加密,默认yes
        ssl_ciphers=加密方法     //默认是DES-CBC3-SHA
        大家自行加入其它语句来满足自己的需要,如有疑问参考
http://vsftpd.beasts.org/
、man vsftpd.conf,多多阅读软件源码包中的README文件。
六、FTP展望
   FTP是在70年代设计出来的,当时的互联网是一个封闭的网络,与现代网络环境还是有很大的差异,现代网络中不管你使用Port模式还是Passive模式,都可能产生问题。很多人对FTP协议安全性进行不懈的努力,使用SSL/TLS进行ftp传输过程的验证和加密,基本解决明文传数据的问题。但还是存在不少缺陷,于是出现了一些FTP替代应用,如SCP、SFTP;如果你使用ftp更新你的网页,还可以考虑WebDAV。
   在FTP服务器软件中,vsftpd可以说是最安全的ftp软件,短小精悍,且高性能,是ftp服务器软件中的佼佼者。经过上面的学习,对于搭建安全高效的FTP服务器,再也不会困惑了。
(全文完)
推荐阅读
  • 本文介绍了数据库体系的基础知识,涵盖关系型数据库(如MySQL)和非关系型数据库(如MongoDB)的基本操作及高级功能。通过三个阶段的学习路径——基础、优化和部署,帮助读者全面掌握数据库的使用和管理。 ... [详细]
  • 本文详细介绍了优化DB2数据库性能的多种方法,涵盖统计信息更新、缓冲池调整、日志缓冲区配置、应用程序堆大小设置、排序堆参数调整、代理程序管理、锁机制优化、活动应用程序限制、页清除程序配置、I/O服务器数量设定以及编入组提交数调整等方面。通过这些技术手段,可以显著提升数据库的运行效率和响应速度。 ... [详细]
  • 本文探讨了如何解决PHP文件无法写入本地文件的问题,并解释了PHP文件中HTML代码无效的原因,提供了一系列实用的解决方案和最佳实践。 ... [详细]
  • 1.执行sqlsever存储过程,消息:SQLServer阻止了对组件“AdHocDistributedQueries”的STATEMENT“OpenRowsetOpenDatas ... [详细]
  • 本文详细介绍了一种通过MySQL弱口令漏洞在Windows操作系统上获取SYSTEM权限的方法。该方法涉及使用自定义UDF DLL文件来执行任意命令,从而实现对远程服务器的完全控制。 ... [详细]
  • 本文详细介绍了在腾讯云服务器上配置 phpMyAdmin 的方法,包括安装、配置和解决常见问题。通过这些步骤,您可以轻松地在腾讯云环境中部署并使用 phpMyAdmin。 ... [详细]
  • 目录一、salt-job管理#job存放数据目录#缓存时间设置#Others二、returns模块配置job数据入库#配置returns返回值信息#mysql安全设置#创建模块相关 ... [详细]
  • 本文深入探讨了SQL数据库中常见的面试问题,包括如何获取自增字段的当前值、防止SQL注入的方法、游标的作用与使用、索引的形式及其优缺点,以及事务和存储过程的概念。通过详细的解答和示例,帮助读者更好地理解和应对这些技术问题。 ... [详细]
  • 嵌入式开发环境搭建与文件传输指南
    本文详细介绍了如何为嵌入式应用开发搭建必要的软硬件环境,并提供了通过串口和网线两种方式将文件传输到开发板的具体步骤。适合Linux开发初学者参考。 ... [详细]
  • 简化报表生成:EasyReport工具的全面解析
    本文详细介绍了EasyReport,一个易于使用的开源Web报表工具。该工具支持Hadoop、HBase及多种关系型数据库,能够将SQL查询结果转换为HTML表格,并提供Excel导出、图表显示和表头冻结等功能。 ... [详细]
  • 探索新一代API文档工具,告别Swagger的繁琐
    对于后端开发者而言,编写和维护API文档既繁琐又不可或缺。本文将介绍一款全新的API文档工具,帮助团队更高效地协作,简化API文档生成流程。 ... [详细]
  • 本文详细介绍了在不同操作系统中查找和设置网卡的方法,涵盖了Windows系统的具体步骤,并提供了关于网卡位置、无线网络设置及常见问题的解答。 ... [详细]
  • 深入解析Serverless架构模式
    本文将详细介绍Serverless架构模式的核心概念、工作原理及其优势。通过对比传统架构,探讨Serverless如何简化应用开发与运维流程,并介绍当前主流的Serverless平台。 ... [详细]
  • Linux中的yum安装软件
    yum俗称大黄狗作用:解决安装软件包的依赖关系当安装依赖关系的软件包时,会将依赖的软件包一起安装。本地yum:需要yum源,光驱挂载。yum源:(刚开始查看yum源中的内容就是上图 ... [详细]
  • 使用PHP实现网站访客计数器的完整指南
    本文详细介绍了如何利用PHP构建一个简易的网站访客统计系统。通过具体的代码示例和详细的解释,帮助开发者理解和实现这一功能,适用于初学者和有一定经验的开发人员。 ... [详细]
author-avatar
shengxin11
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有