TShopping

 找回密碼
 註冊
搜索
查看: 2563|回復: 0

[教學] CentOS 6 FTP Server (vsftpd) and Secure

[複製鏈接]
發表於 2014-10-29 09:58:47 | 顯示全部樓層 |閱讀模式
 
Push to Facebook
CentOS 6 使用vsftpd
使用yum install vsftpd -y安裝vsftpd
安裝完後編輯/etc/sysconfig/iptables
新增-A INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
service iptables restart重啟iptables服務
由於SELinux的關係,需要將其解除保護,否則無法讀取ftp目錄
輸入setsebool ftpd_disable_trans 1
出現Could not change active booleans: Invalid Boolean代表成功
再輸入setsebool -P ftp_home_dir=1(大約一分鐘,成功也不會有任何訊息)
SELinux設定完成
輸入service vsftpd start啟用vsftpd服務
這樣大致ftp server就設定完成
可使用netstat -tunlp | grep vsftpd看看port21有沒有listen
tcp        0      0 0.0.0.0:21                  0.0.0.0:*                   LISTEN      5168/vsftpd
預設匿名者可登入,請決定是否關掉
vi /etc/vsftpd/vsftpd.conf
anonymous_enable=YES → anonymous_enable=NO
--
開機時若要自動啟用則輸入chkconfig vsftpd on
--
因為我沒有使用者可以測試,所以就自己新增試試...
useradd santon新增使用者santon
passwd santon設定使用者santon的密碼(按enter輸入兩次密碼)
然後ftp試連一下看看能不能連上
--
vsftpd裝好預設是active mode(好像吧我有點忘了...)
我是用filezilla,如果卡在"無法取得目錄列表",網路上有說filezilla改成主動模式就可以(active mode)
但由於active mode的data channel是client給server port號,然後session由server的port 20向client發起,若client在NAT後面,則server可能會找不到client而失敗(因為client給的是private ip),重點是NAT
passive mode的data channel是server給client port號,然後session由client向server發起,client的nat通常是沒問題的。那當然這時NAT的問題就變成在Server端了,我哪知道server會給client什麼port號?
但還好可以設定port的range,這樣防火牆也比較好設定
編輯/etc/vsftpd/vsftpd.conf新增以下幾條
pasv_enable=YES
pasv_min_port=3000
pasv_max_port=3005
3000~3005是我設定的port range
當然設定完成iptables也要新增一條
-A INPUT -m state --state NEW -m tcp -p tcp --dport 3000:3005 -j ACCEPT
然後重啟iptables
vsftpd passive設定完成
PS.FTP的PORT號
表示是(192,168,1,100,A,B),A*256 + B = PORT號
例如192,168,1,100,19,137,19*256+137=5001,5001就是PORT號
以上是參考鳥哥的網站,寫得很詳細
--
FTPS or SFTP
我只是想讓FTP比較安全而已
看了上面文章大概有點了解
FTPS用SSL憑證加密,SFTP用SSH通道加密,可是該選哪個?
我看到SFTP有Has only one connection (no need for DATA connection)
就直接偷懶試試filezilla的sftp,成功連上!因為是使用SSH通道,全部都打包成22加密送出去
但是22暴露在internet很危險,所以打算在firewall上做個mapping再來測試
--
順便裝個webmin試試
yum install webmin -y
預設webmin使用port 10000
安裝完後編輯/etc/sysconfig/iptables
新增-A INPUT -m state --state NEW -m tcp -p tcp --dport 10000 -j ACCEPT
可是裡面沒有vsftpd的module,去下載即可,請參考下面文章
vsftpd.conf找不到請設定好路徑就可以,例/etc/vsftpd/vsftpd.conf
--
chroot也稍微測試一下,目的使讓使用者不要到處跑,只限制在自己的home directory
也只是照著打而已,在/etc/vsftpd/vsftpd.conf新增以下
chroot_local_user=YES
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list
chroot_list裡的帳號是不受家目錄的限制,可以亂跑,其他人只能在自己的家目錄


 

臉書網友討論
*滑块验证:
您需要登錄後才可以回帖 登錄 | 註冊 |

本版積分規則



Archiver|手機版|小黑屋|免責聲明|TShopping

GMT+8, 2024-3-19 14:31 , Processed in 0.049189 second(s), 22 queries .

本論壇言論純屬發表者個人意見,與 TShopping綜合論壇 立場無關 如有意見侵犯了您的權益 請寫信聯絡我們。

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回復 返回頂部 返回列表