追蹤
NEIL's_學而時習之x不學無術~私藏IT技術經驗分享部落
關於部落格
NEIL. Cheng....寫作只是為了日後工作之備忘操作參考

本部落格文章撰寫前進邁向第五年(since 2009 ~至今)仍繼續推進分享IT學習!!About Windows/Linux Server,Virtualization


分享網誌: 由於,本人預先完成LAB後,才補上撰寫文章與截圖,若發現文圖對照說明有誤..本人將盡快校正,也請不吝指教! Thanks!

  • 172509

    累積人氣

  • 77

    今日人氣

    1

    追蹤人氣

Linux VSFTP_組態備忘: SFTP,虛擬FTP,與基本組態 By KEYNES

組態檔案路徑: /etc/vsftpd/vsftpd.conf  #以下操作說明將以此檔編輯為主

Event 1 _架設FTP權限設計為"不開放匿名登入",僅允許實體帳號者驗證登入

 確認關鍵參數

anonymous_enable=NO  #若開放匿名請設定為YES

local_enable=YES            #若開放匿名請設定為NO

下圖設定為"匿名登入" 預設登入後User被指定為FTP,家目錄為/var/ftp/pub

 
     下圖: 關閉FTP匿名登入後,禁止匿名使用者登入訊息
   
  

    
  由於目前FTP組態已設定為" 實體帳戶使用者驗證登入" 形式,我們利用keynes這個帳戶

      試者登入FTP
從下圖中我們已成功登入FTP: 然而keynes 家目錄下(/home/keynes)
  
      我們試著成功 write 一個DATA 並上傳至該FTP(OK)
     目錄權限: 750            

    
 Event2. 禁止特定User 登入FTP 與 利用TcpWrapper 禁止特定主機或網域連入FTP站台

        vi /etc/vsftpd/ftpusers    #請將禁用帳戶填入儲存組態後,重啟Vstpd服務即可生效

      
        Tcp Wrappers: 限定特定主機,網段,網域,連入企業FTP 站台

        1st : 確認vsftpd.conf 內參數啟用Tcp Wrapper = 

      
 2nd:  vi /etc/hosts.deny  加入以下範例,禁止192.168.0.199 與192.168.2.0

                   網段連入FTP
     

        vsfpd: 192.168.0.199 192.168.2.0/255.255.255.0    

      
     
       禁止實體用戶登入FTP成功後,Chroot 至Home目錄以外的資料夾

       確認vsftpd.conf 參數如下

      chroot_list_file=/etc/vsftpd/chroot_list    #確認此行未被註解

      接者請編輯 /etc/vsftpd/chroot_list 
  #本例實驗將keynes2 設為禁址Chroot 使用者

      下圖: 我們使用keynes2 登入FTP站台並試者切換其他使用者目錄,發現被禁止訊息

       550: failed to change directory

       # VSFTPD 亦提供全域使用者皆不可Chroot參數,請確任以下參數未被註解即可

       chroot_list_enable=YES 
     

    
Event3: 全域傳輸檔案速率限制,FTP處理IP同時最大連線數,閒置N秒自動斷線,ASCII 模式

             上傳與下載組態

             請確認vsftpd.conf 幾個重要參數修改如下 #此部份不提供截圖

           
anon_max_rate=5000     #匿名使用者傳輸限定5kb/s

            local_max_rate=10000    #實體使用者傳輸限定10kb/s

           max_clients=100              #FTP可以同一時間處理100 Client端

           max_per_ip=5                   #限定單一IP 最大可以連接FTP使用連線數

           idle_session_timeout=300     # 用戶閒置FTP,達300秒後,自動斷線

Event4:
虛擬FTP規劃與組態

           觀察目前網卡Eth0 目前有掛兩個IP分別為192.168.0.161 , 192.168.0.152

           Then 我們需替192.168.0.152(Virtual FTP)建置匿名使用者DIR,範例如下

          useradd -d /var/vftp2   vftp2
          chown root.root /var/vsftp2
          chmod a+rx /var/vsftp2
          mkdir /var/vsftp2/pub

         並且我們將 Cpoy /etc/vsftpd/vsfptd.conf    為  /etc/vsftpd/vsftpd2.conf 

          <---Virtual FTP 設定檔

      
        Then 我們編輯  vsftpd2.conf  #virtual ftp 設定組態檔案,插入以下參數

        listen_address=192.168.0.152  參考下圖

        ftp_username=vftp2

        Then 設定完.152 FTP 站台後, 我們另需修改vsftpd.conf(.161) 插入以下參數

        
listen_address=192.168.0.161 

     
   #service vsftpd restart           生效修改設定
     
      
      最後驗
證虛擬FTP: 192.168.0.152(ok): 在此我們採取匿名登入設計
   


Event5:  SFTP 組態,配置安全的 SSH over FTP 檔案加密傳輸通道

     首先我們需產生 SSL憑證

     openssl req -new -x509 -nodes -out vsftpd.pem -keyout vsftpd.pem

     產生vsftpd.pem 檔案後,我將他copy至/etc/vsftpd/ 目錄下
        

     接者我們需編輯vsftpd.conf ,於空白處插入以下幾行參數 #修改完成後,請重新啟動vsftpd

     ssl_enable=YES
     allow_anon_ssl=YES
     force_local_data_ssl=YES
     force_local_logins_ssl=YES
     ssl_tlsv1=YES
     ssl_sslv2=YES
     ssl_sslv3=NO
     rsa_cert_file=/etc/vsftpd/vsftpd.pem
    
     最後,我們將驗證SSH Over FTP 是否運行OK  #我們於上一步設置強制執行SFTP登入測試

     下圖: 我們可以看到 530 Non-anonymous ...must encryption  #已成功強制啟用SFTP傳輸

                然而,
我們利用sftp://192.168.0.161登入測試可成功登入FTP站台
    
相簿設定
標籤設定
相簿狀態