如何在linux搭建ftp服务器

详解Linux中搭建一个ftp服务器。

ftp工作是会启动两个通道：

控制通道 ， 数据通道

在ftp协议中，控制连接均是由客户端发起的，而数据连接有两种模式：port模式（主动模式）和pasv（被动模式）

PORT模式：

在客户端需要接收数据时，ftp_client(大于1024的随机端口)-PORT命令->ftp_server(21) 发送PORT命令，这个PORT命令包含了客户端是用什么端口来接收数据（大于1024的随机端口），在传送数据时，ftp_server将通过自己的TCP 20 端口和PORT中包含的端口建立新的连接来传送数据。

PASV模式：

传送数据时，ftp_client--PASV命令-->ftp_server(21) 发送PASV命令时，ftp_server自动打开一个1024--5000之间的随机端口并且通知ftp_client在这个端口上传送数据，然后客户端向指定的端口发出请求连接，建立一条数据链路进行数据传输。

安装ftp

#rpm -qa vsftpd 查看是否已经安装

#yum install -y vsftpd

#rpm -ql vsftpd

/etc/logrotated/vsftpd vsftpd的日志文件

/etc/pamd/vsftpd PAM认证文件

/etc/rcd/initd/vsftpd 启动脚本

/etc/vsftpd vsftpd的配置文件存放的目录

/etc/vsftpd/ftpusers 禁止使用vsftpd的用户列表文件

/etc/vsftpd/user_list 禁止或允许使用vsftpd的用户列表文件

/etc/vsftpd/vsftpdconf 主配置文件

/etc/vsftpd/vsftpd_conf_migratesh vsftpd操作的一些变量和设置

/usr/sbin/vsftpd vsftpd的主程序

其他一些说明文档和手册文件略！

/var/ftp 用户主目录

/var/ftp/pub 用户的目录

#service vsftpd start

#chkconfig --level vsftpd

#chkconfig --level 2345 vsftpd on

2 用户的登录名：ftp（anonymous） 密码空 ，登录的目录为/var/ftp

用用户登录的时候默认是只有的权限,没有上传,创建和删除的权限：

#vim /etc/vsftpd/vsftpdconf

anon_upload_enable=YES 上传

anon_mkdir_write_enable=YES 创建

anon_other_write_enable=YES 删除

#service vsftpd restart

为了安全应该禁止用户的登录：

#vim /etc/vsftpd/vsftpdconf

anonymous_enable=NO

#anon_upload_enable=YES 上传

#anon_mkdir_write_enable=YES 创建

#anon_other_write_enable=YES 删除

#service vsftpd restart

3 创建一个直接登录系统用户来登录ftp：

#useradd -s /sbin/nologin viong

#passwd viong

防火墙参数的介绍？

防护日志DDOS防火墙DDOS防火墙开启DDOS防火墙参数设置IP冻结时间设置单个IP单位时间相应连接请求设置扫描攻击参数设置流量攻击参数设置保存，设置成功

dns防护怎么做？

1授权DNS服务器限制名字服务器递归查询功能，递归dns服务器要限制递归访问的客户（启用白名单IP段）

2限制区传送zonetransfer，主从同步的DNS服务器范围启用白名单，不在列表内的DNS服务器不允许同步zone文件

allow-transfer{};

allow-update{};

3启用黑白名单

已知的攻击IP加入bind的黑名单，或防火墙上设置禁止访问；

通过acl设置允许访问的IP网段；

通过acl设置允许访问的IP网段；通过acl设置允许访问的IP网段；

4隐藏BIND的版本信息；

5使用非root权限运行BIND；

4隐藏BIND的版本信息；

5使用非root权限运行BIND；

6删除DNS上不必要的其他服务。创建一个DNS服务器系统就不应该安装Web、POP、gopher、NNTPNews等服务。

建议不安装以下软件包：

1）X-Windows及相关的软件包；2）多媒体应用软件包；3）任何不需要的编译程序和脚本解释语言；4）任何不用的文本编辑器；5）不需要的客户程序；6）不需要的其他网络服务。确保域名解析服务的独立性，运行域名解析服务的服务器上不能同时开启其他端口的服务。权威域名解析服务和递归域名解析服务需要在不同的服务器上独立提供；

7使用dnstop监控DNS流量

#yuminstalllibpcap-develncurses-devel

下载源代码http://dnsmeasurement-factorycom/tools/dnstop/src/dnstop-20140915targz

#；

9增强DNS服务器的防范Dos/DDoS功能

使用SYNcookie

增加backlog,可以一定程度减缓大量SYN请求导致TCP连接阻塞的状况

缩短retries次数:Linux系统默认的tcp_synack_retries是5次

限制SYN频率

防范SYNAttack攻击:#echo1>/proc/sys/net/ipv4/tcp_syncookies把这个命令加入/etc/rcd/rclocal文件中；

10：对域名服务协议是否正常进行监控，即利用对应的服务协议或采用相应的测试工具向服务端口发起模拟请求，分析服务器返回的结果，以判断当前服务是否正常以及内存数据是否变动。在条件允许的情况下，在不同网络内部部署多个探测点分布式监控；

11提供域名服务的服务器数量应不低于2台，建议独立的名字服务器数量为5台。并且建议将服务器部署在不同的物理网络环境中;使用入侵检测系统，尽可能的检测出中间人攻击行为;在域名服务系统周围部署抗攻击设备，应对这类型的攻击;利用流量分析等工具检测出DDoS攻击行为，以便及时采取应急措施；

12：限制递归服务的服务范围，仅允许特定网段的用户使用递归服务；

13：对重要域名的解析结果进行重点监测，一旦发现解析数据有变化能够及时给出告警提示;部署dnssec；

14建立完善的数据备份机制和日志管理系统。应保留最新的3个月的全部解析日志，并且建议对重要的域名信息系统采取7×24的维护机制保障，应急响应到场时间不能迟于30分钟。

为什么防火墙连接经常断掉？

怀疑是遭受DDOS攻击，

1、短暂开启访问日志，看看是哪些ip，再deny那些可疑ip

2、限掉IP地址段，或者向运营商购买流量清洗、防ddos攻击的服务

一般硬件防火墙有配置秒单位的数据流和数据连接，干掉ddos一般通过配置上限，

类似于超过多少个连接，马上断掉连接。很容易误伤bt这类软件。没有彻底的解决方案。

如果可以的话换一个

云服务器

云服务器

1、进入日志文件所在的文件目录，比如：

cd /opt/tomcat7/logs

2、通过命令打开日志，分析需求场景打开需要的日志

比如：

tail  -f   catalinaout

3、常用命令一：tail

比如：

tail -f  testlog    (循环查看文件内容)

4、按照行号查询：cat（过滤出关键字附近的日志）

cat -n testlog |grep "订单号"

然后使用 head -n 20 查看查询结果里的向前20条记录

5、按照时间日期查询，（查询出一段时间内的记录）

sed -n '/2014-12-17 16:17:20/,/2014-12-17 16:17:36/p'  testlog

查看该段时间内的日志

但是前提是用方法4试一下查询的哪个其实时间是不是存在

设置配置文件 /etc/syslogconf，指向服务器的地址或域名；

远程服务器：格式是“@address”，“@”表示进行远程记录，将日志发送到远程的日志服务器，日志服务器的端口是UDP514，address可以是IP地址，也可以是域名