如何建立安全的ProFTPD应用经验谈

核心提示： 这样他只能呆在自己的home目录中，（4）限制FTP命令特权l 禁止一些用户创建和删除目录的特权如果发现一些用户有威胁行为，如何建立安全的ProFTPD应用经验谈(8)，可以把他放在一个特定组中（badusers）使用如下的配置：<Directory /*><Limit MKD

这样他只能呆在自己的home目录中。

（4）限制FTP命令特权

l 禁止一些用户创建和删除目录的特权

如果发现一些用户有威胁行为，可以把他放在一个特定组中（badusers）使用如下的配置：

<Directory /*>
<Limit MKD RMD>
Order deny,allowDenyGroup badusersAllowAll
</Limit></Directory>

这样除了那个特定的用户组之外，其他用户可以创建和删除目录。建立只能上载的FTP服务器，如果要建立一个只能上载的FTP服务器，在主服务器或者虚拟主容器中使用如下配置：

<Directory /*> <Limit RETE>
DenyAll
</Limit> </Directory>

限制对单个目录的访问。

<Directory /*> <Limit CWD>
DenyAll
</Limit> </Directory>

这样相应的FTP用户就不能更改目录。如果使用DenyGroup groupname代替DenyAll ，将配置范围限定在/etc/group文件中定义的groupname用户组中。

限制目录浏览特权

<Directory /my/mp3s>
<Limit DIRS>
DenyGroup newfriends
</Limit>
</Directory>

以上配置可以限制/my/mp3s目录中名为newfriends组的目录浏览特权。这样可以防止他得到/my/mp3s目录的列表。

（5）控制FTP命令缓冲区大小

许多黑客通过发送一个大尺寸的命令攻击FTP服务器，希望造成服务器缓冲区溢出。可以在使用CommandBufferSize命令可以限制客户端命令长度。通常设定为512。

(6)修改ProFTPD服务器使用端口

ProFTP如果使用Stand-alone模式，可以通过设置proftpd.conf来控制它。使用不同端口的设置也较为简单，只需在proftpd.conf中将"Port xx"改为需要的值即可。