vsftp黑白名单设置及问题

问题一:ftpusers和user_list两个文件各自的用途是什么?有何关系?

  首先请明确一点:ftpusers不受任何配制项的影响,它总是有效,它是一个黑名单!
该文件存放的是一个禁止访问FTP的用户列表,通常为了安全考虑,管理员不希望一些拥有过大权限的帐号(比如root)登入FTP,以免通过该帐号从FTP上传或下载一些危险位置上的文件从而对系统造成损坏。
  而user_list则是和vsftpd.conf中的userlist_enable和userlist_deny两个配置项紧密相关的,它可以有效,也可以无效,有效时它可以是一个黑名单,也可以是一个白名单!那么是什么的设置决定了它的作用呢?这就是问题二要解释的。
  所以简单总结就是:ftpusers和user_list没有任何关系,ftpusers文件总是生效,user_list则取决于userlist_enable和userlist_deny两项配置。
问题二:vsftpd.conf中的userlist_enable和userlist_deny两个配置项各自起什么作用,两者如何搭配使用?
  为了说明这个问题,我们来建立两个测试用户:

  tom: 在user_list中
  jim:不在user_list中

  然后我们分别给两个配置项取不同的值,分4种情况进行测试:
  1: userlist_enable=YES, userlist_deny=YES

  tom: 拒绝登入
  jim: 允许登录


  2: userlist_enable=YES, userlist_deny=NO

  tom: 允许登录
  jim:拒绝登录(如user_list文件开头的注释所述,甚至不会提示输入密码,即无登入提示框,直接拒绝连接)


  3: userlist_enable=NO,userlist_deny=NO

  tom: 允许登录
  jim: 允许登录


  4: userlist_enable=NO,userlist_deny=YES

  tom: 允许登录
  jim: 允许登录


  综上实验得出以下结论:

    1. userlist_enable和userlist_deny两个选项联合起来针对的是:本地全体用户(除去ftpusers中的用户)和出现在user_list文件中的用户以及不在在user_list文件中的用户这三类用户集合进行的设置。
    2. 当且仅当userlist_enable=YES时:userlist_deny项的配置才有效,user_list文件才会被使用;当其为NO时,无论userlist_deny项为何值都是无效的,本地全体用户(除去ftpusers中的用户)都可以登入FTP
    3. 当userlist_enable=YES时,userlist_deny=YES时:user_list是一个黑名单,即:所有出现在名单中的用户都会被拒绝登入;
    4. 当userlist_enable=YES时,userlist_deny=NO时:user_list是一个白名单,即:只有出现在名单中的用户才会被准许登入(user_list之外的用户都被拒绝登入);另外需要特别提醒的是:使用白名单后,匿名用户将无法登入!除非显式在user_list中加入一行:anonymous

vsftpd:500 OOPS: vsftpd: refusing to run with writable root inside chroot ()错误的解决方法

chroot_local_user=YES/NO:禁止所有用户切本目录之外

chroot_list_enable=YES:禁止部分用户切本目录之外
chroot_list_file=/etc/chroot_list 要限制的用户列表

当我们限定了用户不能跳出其主目录之后,使用该用户登录FTP时往往会遇到这个错误:

  1. 500 OOPS: vsftpd: refusing to run with writable root inside chroot ()

这个问题发生在最新的这是由于下面的更新造成的:

  1. - Add stronger checks for the configuration error of running with a writeable root directory inside a chroot(). This may bite people who carelessly turned on chroot_local_user but such is life.

从2.3.5之后,vsftpd增强了安全检查,如果用户被限定在了其主目录下,则该用户的主目录不能再具有写权限了!如果检查发现还有写权限,就会报该错误。

要修复这个错误,可以用命令chmod a-w /home/user去除用户主目录的写权限,注意把目录替换成你自己的。或者你可以在vsftpd的配置文件中增加下列两项中的一项:

allow_writeable_chroot=YES

时间: 2024-11-05 06:14:03

vsftp黑白名单设置及问题的相关文章

Tomcat 下黑白名单设置

在Tomcat下,配置文件server.xml中,<Host>节点内添加如下节点(这要是对全部项目的限制,若要对单个项目进行限制在对应节点下添加即可): <Valve className="org.apache.catalina.valves.RemoteAddrValve" allow="192.169.1.100|192.168.1.150" deny="" denyStatus="403" />

Linux ssh,sftp,scp使用方法,以及怎样设置黑白名单

远程登录操作步骤 要求,两个客户端必须联网    ssh+空格+要连接的用户名+@+用户IP地址 如果对方端口不是默认值(22) ssh+空格+要连接的用户名+@+用户IP地址 + -p + 端口号 (注意p是小写) 更改ssh链接端口方法 vi /etc/ssh/sshd_config 进入端口更改界面更改端口号Port 22 (22是系统默认值,更改的值必须大于1024),并把端口号那一行的注释标识符“#”去掉.保存退出 service sshd restart 重启sshd端口 vi /e

?TOM企业邮箱如何设置黑白名单

很多企业都存在这样的困扰,在处理工作中,邮箱中总会出现垃圾邮件,每次整理起来超闹心,然后大家慢慢使用企业邮箱,而非个人邮箱,企业邮箱的稳定性要高于个人邮箱,而TOM企业邮箱则是企业邮箱品牌中的大牌,是满可靠的,小编使用TOM企业邮箱2年多了,至今很正常~那么今天给大家分享一下如何设置黑白名单,让你的办公更加高效,更加轻松,让你远离烦恼. 首先打开浏览器进入TOM企业邮箱, 输入自己的账号.密码,点击登录. 进入企业邮箱后,点击左上角设置按钮 如下图,你就可以设置黑白名单了所谓黑名单就是被拒绝接受

Android自动化压力测试之Monkey Test Android常见的错误类型及黑白名单的使用方法(四)

Android常见的错误类型有两种 1.ANR类型 1)在5秒内没有响应输入的事件(例如,按键按下,屏幕触摸) 2)BroadcastReceiver在10秒内没有执行完毕 2.Crash类型 1)异常停止 2)异常退出 Monkey 调试参数 --kill-process-after-error  犹豫一个错误而停止时,出错的应用程序将继续处于运行状态 --wait-dbg   启动monkey后,先中断其运行,等待调试器附加上来 命令演示 adb shell monkey -p com.da

Android app黑白名单

Android app黑白名单 Android设备系统正常工作时,很多Service运行在后台,只用在系统内存不够使用时候,才会自动kill掉后台Service Android OTT盒子项目开发中,网络机顶盒运行内存512M/1G 内存不够使用,为了提高系统的流畅性,编译固件时加入app黑白名单功能. Android系统开机后会发出BroadcastReceiver开机广播, 在设置app 添加BootCompletedReceiverAML.java public class BootCom

iptables详解(9):iptables的黑白名单机制

注意:在参照本文进行iptables实验时,请务必在个人的测试机上进行,因为如果iptables规则设置不当,有可能使你无法连接到远程主机中. 前文中一直在强调一个概念:报文在经过iptables的链时,会匹配链中的规则,遇到匹配的规则时,就执行对应的动作,如果链中的规则都无法匹配到当前报文,则使用链的默认策略(默认动作),链的默认策略通常设置为ACCEPT或者DROP. 那么,当链的默认策略设置为ACCEPT时,如果对应的链中没有配置任何规则,就表示接受所有的报文,如果对应的链中存在规则,但是

DDoS攻防战(三):ip黑白名单防火墙frdev的原理与实现

汤之盘铭曰 苟日新 日日新 又日新 康诰曰 作新民   诗曰 周虽旧邦 其命维新   是故 君子无所不用其极  ——礼记·大学 在上一篇文章<DDoS攻防战 (二) :CC攻击工具实现与防御理论>中,笔者阐述了一个防御状态机,它可用来抵御来自应用层的DDoS攻击,但是该状态机依赖一个能应对大量条目快速增删的ip黑白名单防火墙,我们目前并没有发现很好的开源实现以供我们使用. ·实现方案选择: 硬件实现或者软件实现? 在面对诸如大量畸形包这样的攻击时,硬件实现将会是非常好的选择,这是因为在进行此类

zimbra 8.6.0 添加黑白名单的方法

zimbra 版本 8.6.0 原因开启zimbra dns检查后,会导致部分不规范邮箱发送邮件被拒绝.解决方法:对这部分邮箱可以添加白名单 zimrba wiki文档示例:https://wiki.zimbra.com/wiki/Specific_Whitelist/Blacklist_per_IP由于示例只写明了黑白名单ip地址,不知道使用域名是否可行. 由于zimbra也是使用postfix作为mta,在配置里生效的方法也是使postfix配置项smtpd_recipient_restri

Linux使用iptables设置黑白名单使用ipset工具

1,下面我先说下iptables的基本配置规则,然后再说ipset以下使用C7 x86_64为实验环境CentOS7默认的防火墙不是iptables,而是firewalle.如果你没有安装iptables的话,你可以使用以下命令进行安装systemctl stop firewalldsystemctl disable firewalldsystemctl mask firewalld上面的意思是先屏蔽掉原有的firewall防火墙,下面我们就开始安装iptables,至于为什么要安装IPtabl