Linux vsftp安全配置FTP服务器面临的安全隐患FTP服务器面临的安全隐患主要包括：缓冲区溢出攻击、数据嗅探、匿名访问缺陷和访问漏洞。

VSFtp一些安全配置：1. 修改Vsftpd服务器的默认端口和修改其他设置基于安全考虑，将预设的21端口改为2123。

修改配置文件/etc/vsftpd/，在文件最后增加如下一行内容：listen_port=2123ftp_data_port=2020在实际应用中，为了增加安全性，会将FTP服务器置于防火墙之后。

修改Vsftpd 服务器的默认端口后要及时修改防火墙的端口设定。

现在服务器FTP端口为2123，数据传输端口为2020。

#iptables -A INPUT -p tcp -m multiport --dport 2123,2020 -j ACCEPT#iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset修改其他设置ls_recurse_enable=NO #关闭“ls -R"命令，该命令常被用于DoS攻击，非常浪费系统资源# ascii_download_enable=NO #关闭ASCII模式下载，防止被用于DoS 攻击，ASCII下载很消耗CPU负担2.使用BlockHosts软件防范暴力破解BlockHosts软件就是利用通过分析日志文件帮助tcp_wrappers实现工作自动化。

例如在30秒钟内一个IP地址（）连续30次登录sshd服务器而且全部因为密码错误登录失败。

那么这个IP地址无疑是非法或者恶意主机。

这时BlockHosts 会自动将该IP地址写入/etc/文件。

首先编辑你的/etc/文件，一般修改security.* /var/log/security条目内容如下：security.*; /var/log/security原因很简单，这样syslogd就把连接到sshd的日志信息记录下来。

BlockHosts官方网站：，最新版本：1.0.3。

下载启动BlockHosts步骤，另外需要Python语言和SSH软件的支持。

可以使用下面命令检测。

#rpm －qa|grep Python；rpm －qa|grep ssh#wget#tar –zxvf “建立一个目录”pythonBlockHosts是基于命令行模式的，使用非常简单这里就不赘述了。

3.使用xinetd方式运行Vsftpd能以Stand-alone、xinetd两种模式运行，当用户账号比较少又经常需要连接到Vsftpd服务器时推荐使用xinetd模式运行。

使用xinetd方式运行可以有效防范DoS攻击。

从传统的守护进程的概念可以看出，对于系统所要通过的每一种服务，都必须运行一个监听某个端口连接所发生的守护进程，这通常意味着资源浪费。

为了解决这个问题，一些Linux引进了“网络守护进程服务程序”的概念。

Redhat Linux 以后的版本使用的网络守护进程是xinted（eXtended InterNET daemon）。

和stand－alone模式相比xinted模式也称Internet Super－Server（超级服务器）。

xinetd能够同时监听多个指定的端口，在接受用户请求时，他能够根据用户请求的端口不同，启动不同的网络服务进程来处理这些用户请求。

可以把xinetd看做一个管理启动服务的管理服务器，它决定把一个客户请求交给那个程序处理，然后启动相应的守护进程。

xinetd模式工作原理见图7。

图7 xinetd模式网络服务和stand－alone工作模式相比，系统不想要每一个网络服务进程都监听其服务端口。

运行单个xinetd就可以同时监听所有服务端口，这样就降低了系统开销，保护系统资源。

但是对于访问量大、经常出现并发访问时，xinetd想要频繁启动对应的网络服务进程，反而会导致系统性能下降。

察看系统为Linux服务提供那种模式方法在Linux命令行可以使用pstree命令可以看到两种不同方式启动的网络服务。

xinetd提供类似于inetd+tcp_wrapper的功能，但是更加强大和安全。

能有效的防止拒绝服务攻击(Denial of Services)：从stand-alone转换到守护进程模式下：我们需要在守护进程配置目录/etc/里建立vsftpd 的守护进程文件。

我们在安装时已经将该文件考到/etc/目录下了。

我们稍稍修改其内容：#vi /etc/vsftpdservice ftp{disable = nosocket_type = streamwait = nouser = rootserver = /usr/local/sbin/vsftpdserver_args = /etc/vsftpd/nice = 10}接下来把配置文件中的listen=yes或listen_ipv6=yes去掉,停掉vsftpd服务，重启xinetd服务：# sesrvice vsftpd stop# service xinetd restart重新启动守护进程后，vsftpd 服务就会让守护进程来管理了。

在守护进程管理过程中，我们再修改主配置文件的话，就不需要重新启动服务了。

a、限制同时运行的进程数。

通过设置instances选项设定同时运行的并发进程数：instances＝20当服务器被请求连接的进程数达到20个时，xinetd将停止接受多出部分的连接请求。

直到请求连接数低于设定值为止。

限制一个IP地址的最大连接数：通过限制一个主机的最大连接数，从而防止某个主机独占某个服务。

per_source＝5这里每个IP地址可以连接单个IP地址的连接数是5个。

b.限制负载。

xinetd还可以使用限制负载的方法防范拒绝服务攻击。

用一个浮点数作为负载系数，当负载达到这个数目的时候，该服务将暂停处理后续的连接：max_load =上面的例子中当一项系统负载达到时，所有服务将暂时中止，直到系统负载下降到设定值以下。

说明要使用这个选项，编译时要加入--with-loadavg ，xinetd将而已处理max-load配置选项。

从而在系统负载过重时关闭某些服务进程，来实现某些拒绝服务攻击。

c.限制所有服务器数目（连接速率）。

xinetd可以使用cps选项设定连接速率，下面的例子：cps = 25 60第一个参数表示每秒可以处理的连接数，如果超过了这个连接数之后进入的连接将被暂时停止处理；第二个参数表示停止处理多少秒后继续处理先前暂停处理的连接。

即服务器最多启动25个连接，如果达到这个数目将停止启动新服务60秒。

在此期间不接受任何请求。

使用上面指令有助于防止某个xinetd 服务大量占用系统，从而导致“拒绝服务”情况的出现。

关于TCP WrappersTCP Wrappers的作用，就是通过分析TCP网络数据包，根据其包头的IP地址和端口号，决定是否让这个数据进入到主机之中，因此我们也可以把它当成一个最内层的防火墙。

数据包要进入ftp服务器，首先经过netfilter的过滤，通过TCP Wrappers筛选，守护进程（xinetd模式）限制，最后才能交由vsftpd进程来处理。

我们可以设置TCP Wrappers来限制某些主机能或者不能访问ftp服务器，这需要编辑两个文件：/etc//etc/当数据包通过TCP Wrappers筛选时，/etc/文件会首先读取，然后再读取/etc/文件，就是说/etc/优先级要高一些。

这两个文件设置规则如下：<service_name>:<IP, domain,hostname,network>:<allow|deny><service_name>字段是服务名，也就是/etc/目录下存在的文件名；第二个字段是可以是IP、域名、一台主机或者一个网段；第三个字段表示允许通过或者禁止。

具体看下面的例子：vsftpd: 2.0.52.0.52.0.01注vsftpd服务器日志网络管理员应当记录vsftpd服务器所有日志，它记录了系统每天发生的各种各样的事情，包括哪些用户曾经或者正在使用系统，可以通过日志来检查错误发生的原因，更重要的是在系统受到黑客攻击后，日志可以记录下攻击者留下的痕迹，通过查看这些痕迹，系统管理员可以发现黑客攻击的某些手段以及特点，从而能够进行处理工作，为抵御下一次攻击做好准备。

这里推荐使用AWStats它是在Sourceforge上发展很快的一个基于Perl的WEB日志分析工具。

现今它也可以用来分析多种日志包括：Apache 、proftp、wuftp、vsftp、Postfix, Sendmail, QMail。

现在介绍一下用它来分析vsftp日志的安装配置方法。

（1）软件下载安装#mkdir /var/www/html/syc ；cd /var/www/html/syc；#wget# tar zxvf /usr/local/src/ ；mv awstats# chmod 755 /var/www/html/syc/awstats ；mkdir -p /var/www/cgi-bin/awstats #mv /var/www/html/syc/awstats/wwwroot/cgi-bin/* /var/www/cgi-bin/awstats #说明下载的软件版本一定要大于,之前版本有安全漏洞。

（2）修改配置文件/etc/vsftpd/ ，添加以下内容：xferlog_enable=YESxferlog_std_format=YESxferlog_file=/var/log/（3）清空旧日志文件内容：true > /var/log/（4）重新啟動vsftpd 服务器# /etc/vsftpd restart（5）建立日志文件目录# mkdir /etc/awstats# cp /var/www/cgi-bin/awstats/ /etc/awstats/# mkdir /var/www/html/syc/awstats/data（6）修改缺省配置文件LogFile="/var/log/LogType=F#LogFormat=1LogFormat="%time3 %other %host %bytesd %url %other %other %method %othe r %logname %other %code %other %other"LogSeparator="\s"SiteDomain=" " #主机名称#HostAliases="localhost " #域名、服务器名、别名#DNSLookup=0 #不逆向解析域名#DirData="/var/www/html/syc/awstats/data" #日志文件存放目录#DirCgi="/cgi-bin/awstats" # CGI统计脚本目录#DirIcons="/syc/awstats/wwwroot/icon" #图标在Web服务器apache对应目录# MiscTrackerUrl="/syc/awstats/wwwroot/js/"LevelForBrowsersDetection=0 # 是否可以用浏览器来执行更新，默认是不可以#LevelForOSDetection=0 #是否可以通过浏览器频道操作系统默认是不可以#LevelForRefererAnalyze=0 # 0 disables Origin detection.LevelForRobotsDetection=0 # 0 disables Robots detection.LevelForSearchEnginesDetection=0 # 0 disables Search engines detection.Lang="cn" #设置国家语言类型#ShowMonthStats=UVHBShowDaysOfMonthStats=HBShowDaysOfWeekStats=HBShowHoursStats=HBShowDomainsStats=HBShowHostsStats=HBShowAuthenticatedUsers=HBLShowRobotsStats=0ShowOSStats=0ShowBrowsersStats=0ShowOriginStats=0ShowKeyphrasesStats=0ShowKeywordsStats=0ShowMiscStats=0ShowHTTPErrorsStats=0StyleSheet="/syc/awstats/wwwroot/css/" #css启示位置#注意上面粗黑体字部分是笔者服务器的情况，读者在实际操作中要按照你的具体情况设置。