【IT168 专稿】Vsftpd，Vsftpd中Vs的意思是“Very secure”。从名称可以看出，软件的编写者非常注重其安全性。据官方网站的数据，一台Vsftpd服务器最多可以支持1500个并发用户。24小时可以保存2.6TB数据。Vsftpd的功能和特点如下：

 Vsftpd是一个安全、高速、稳定的FTP服务器。
 可设定多个基于IP的虚拟FTP Server。
 设定匿名FTP服务器更是十分容易。
 匿名FTP的根目录不需要任何特殊的目录结构、系统程序或其他系统文件。
 不执行任何外部程序，从而减少了安全隐患。
 支持虚拟用户，且支持每个虚拟用户具有独立的配置。
 可以设置为从xinetd启动，或者是独立FTP服务器两种运行方式。
 支持PAM或xinetd / tcp_wrappers的认证方式。
 支持带宽限制。

    Vsftpd的最新版本为2.0.3，可到网站http://vsftpd.beasts.org/下载。

vsftpd服务器面临的安全隐患

    vsftpd在安全性、高性能及稳定性三个方面有上佳的表现。它提供的主要功能包括虚拟IP设置、虚拟用户、Standalone、xinetd操作模式、强大的单用户设置能力及带宽限流等。在安全方面，它从原理上修补了大多数Wu-FTP、ProFTP，乃至BSD-FTP的安装缺陷，使用安全编码技术解决了缓冲溢出问题，并能有效避免“globbing”类型的拒绝服务攻击。不过vsftpd服务器作为FTP协议类型的服务仍然面临一些安全隐患，主要包括：缓冲区溢出攻击（Buffer Overflow）、数据嗅探和匿名访问缺陷以及用户口令暴力破解。

    1、缓冲区溢出攻击

    长期以来，缓冲区溢出已经成为计算机系统的一个问题。利用计算机缓冲区溢出漏洞进行攻击的最著名的案例是莫里斯蠕虫，发生在1988年11月。但即使其危害人所共知，缓冲区溢出仍然是现在入侵的一个重要手段。缓冲区溢出的概念：缓冲区溢出好比是将十公斤货物放进一个只能装武公斤的容器里。缓冲区溢出漏洞是一个困扰了安全专家30多年的难题。简单来说，它是由于编程机制而导致的、在软件中出现的内存错误。这样的内存错误使得黑客可以运行一段恶意代码来破坏系统正常地运行，甚至获得整个系统的控制权。

    2、数据嗅探

    FTP是传统的网络服务程序，在本质上是不安全的，因为它们在网络上用明文传送口令和数据，别有用心的人非常容易就可以截获这些口令和数据。而且，这些服务程序的安全验证方式也是有其弱点的，就是很容易受到“中间人”（man-in-the-middle）这种方式的攻击。所谓“中间人”的攻击方式，就是“中间人”冒充真正的服务器接收你传给服务器的数据，然后再冒充你把数据传给真正的服务器。服务器和你之间的数据传送被“中间人”转手后做了手脚之后，就会出现很严重的问题。 截获这些口令的方式主要为暴力破解。另外使用sniffer程序监视网络封包捕捉FTP开始的会话信息，便可顺手截获root密码。

    3. 匿名访问缺陷

    匿名访问方式在FTP服务当中被广泛的支持，但是由于匿名FTP不需要真正的身份验证，因此很容易为入侵者提供一个访问通道，配合缓冲区溢出攻击，会造成很严重的后果。
例如，Linux下第一个病毒：Ramen蠕虫就是利用匿名访问和缓冲区溢出攻击对著名的wu—ftpd服务器造成了极大的威胁。

    4. 口令暴力破解

    vsftpd服务面临的另外一个威胁是黑客采取暴力破解的方式获取合法用户密码而非法登录vsftpd服务器。例如在60秒钟内一个IP地址（192.168.1.23）连续20次登录服务器而且全部因为密码错误登录失败。那么这个IP地址无疑是非法或者恶意主机。它在不停猜测口令。