用Linux系统构建高效FTP服务器

核心提示： 执行以下两行指令，只允许2121和2020端口打开，用Linux系统构建高效FTP服务器(8)，其余端口关闭： #iptables -A INPUT -p tcp -m multiport --dport 2121,2020 -j ACCEPT#iptables -A INPUT -p tcp

执行以下两行指令，只允许2121和2020端口打开，其余端口关闭：

#iptables -A INPUT -p tcp -m multiport --dport 2121,2020 -j ACCEPT
#iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset

修改/etc/vsftpd/vsftpd.conf文件，在文本最后添加以下两行：

listen_port=2121
ftp_data_port=2020

重新启动vsftpd：

#service vsftpd restart

有时希望直接在/etc/hosts.allow中定义允许或拒绝某一源地址，可以通过以下配置来实现。先确保/etc/vsftpd/vsftpd.conf中tcp_wrappers=YES，Red Hat 9.0中，这是默认值。重新启动vsftpd

#service vsftpd restart

假设提供168.192.2.1和210.31.8.1到210.31.8.254的连接，则可对/etc/hosts.allow进行如下设定：

vsftpd : 168.192.2.1 210.31.8. : allow
ALL : ALL : DENY

配置虚拟用户FTP

上面配置的FTP服务器有一个特点，就是FTP服务器的用户本身也是系统用户。这显然是一个安全隐患，因为这些用户不仅能够访问FTP，也能够访问其它的系统资源。如何解决这个问题呢？答案就是创建一个虚拟用户的FTP服务器。虚拟用户的特点是只能访问服务器为其提供的FTP服务，而不能访问系统的其它资源。所以，如果想让用户对FTP服务器站内具有写权限，但又不允许访问系统其它资源，可以使用虚拟用户来提高系统的安全性。

在VSFTP中，认证这些虚拟用户使用的是单独的口令库文件（pam_userdb），由可插入认证模块（PAM）认证。使用这种方式更加安全，并且配置更加灵活。

下面介绍配置过程。

1．生成虚拟用户口令库文件。为了建立此口令库文件，先要生成一个文本文件。该文件的格式如下，单数行为用户名，偶数行为口令：