配置vsftpd服務器中chroot
在vsftpd服務器的默認設置中,本地用戶可以切換到主目錄以外的目錄進行瀏覽訪問,這樣對於服務器來說是不×××全的,因爲任何用戶可以隨時瀏覽到別的用戶的私有信息,下面介紹如何使用chroot選項來防止這種情況的發生。
與該功能相關的選項主要包括:
- chroot_local_user
- chroot_list_enable
- chroot_list_file
可以通過如下兩種方法來設置chroot,從而杜絕上述不安全的情況發生:
(1)設置所有的本地用戶執行chroot,只要將/etc/vsftpd/vsftpd.con文件中的chroot_local_ user值置爲YES,即chroot_local_user=YES。
(2)設置指定的用戶執行chroot,按照如下方法進行設置:
chroot_local_user=NO chroot_list_enable=YES chroot_list_file=/etc/vsftpd.chroot_list
設置後,只有/etc/vsftpd.chroot_list文件中指定的用戶才能夠執行chroot命令。
3、配置vsftpd服務器在非標準端口工作
在使用FTP服務的過程中,可以使該服務在非標準端口(非21端口)工作,不過要完成這項工作,須要使vsftpd服務器運行在獨立啓動方式下,而且要配置vsftpd的主配置文件/etc/vsftpd/vsftpd.conf,將listen_port=10003或者是其他端口號的選項加入該文件即可,然後要重新啓動vsftpd守護進程:
#service vsftpd restart
下面是對該功能進行實例驗證:
使用匿名用戶登錄到服務器的10003端口,成功:
#ftp 127.0.0.1 10003 Connected to 127.0.0.1 (127.0.0.1). 220 (vsFTPd 1.1.3) Name (127.0.0.1:root): anonymous 331 Please specify the password. Password: 230 Login successful. Have fun. Remote system type is UNIX. Using binary mode to transfer files. ftp> bye 221 Goodbye.
測試以前使用的21端口,該端口已經不再有用:
# ftp 127.0.0.1 ftp: connect: Connection refused