3. 修改Vsftpd服务器的默认端口和修改其他设置

    基于安全考虑，将预设的21端口改为2123。修改配置文件 /etc/vsftpd/vsftpd.conf，    在文件最后增加如下一行内容：   
listen_port=2123
ftp_data_port=2020
    在实际应用中，为了增加安全性，会将FTP服务器置于防火墙之后。修改Vsftpd服务器的默认端口后要及时修改防火墙的端口设定。现在服务器FTP端口为2123，数据传输端口为2020。
#iptables -A INPUT -p tcp -m multiport --dport 2123,2020 -j ACCEPT
#iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset
修改其他设置
ls_recurse_enable=NO  #关闭“ls -R"命令，该命令常被用于DoS攻击，非常浪费系统资源# ascii_download_enable=NO  #关闭ASCII模式下载，防止被用于DoS攻击，ASCII下载很消耗CPU负担

    4.使用BlockHosts软件防范暴力破解

    BlockHosts软件就是利用通过分析日志文件帮助tcp_wrappers实现工作自动化。例如在30秒钟内一个IP地址（192.168.1.23）连续30次登录sshd服务器而且全部因为密码错误登录失败。那么这个IP地址无疑是非法或者恶意主机。这时BlockHosts会自动将该IP地址写入/etc/hosts.deny文件。首先编辑你的/etc/syslog.conf文件，一般修改 
security.* /var/log/security条目内容如下：
security.*;auth.info                /var/log/security 
原因很简单，这样syslogd就把连接到sshd的日志信息记录下来。
BlockHosts官方网站： http://www.aczoom.com/cms/blockhosts/ ， 最新版本：1.0.3。
下载启动BlockHosts步骤，另外需要Python语言和SSH软件的支持。可以使用下面命令检测。
#rpm －qa|grep Python；rpm －qa|grep ssh
#wget http://www.aczoom.com/tools/blockhosts/BlockHosts-1.0.3.tar.gz
#tar –zxvf BlockHosts-1.0.0.tar.gz “建立一个目录”
python setup.py
BlockHosts是基于命令行模式的，使用非常简单这里就不赘述了。
 
    5.使用xinetd方式运行

    Vsftpd能以Stand-alone、xinetd两种模式运行，当用户账号比较少又经常需要连接到Vsftpd服务器时推荐使用xinetd模式运行。使用xinetd方式运行可以有效防范DoS攻击。从传统的守护进程的概念可以看出，对于系统所要通过的每一种服务，都必须运行一个监听某个端口连接所发生的守护进程，这通常意味着资源浪费。为了解决这个问题，一些Linux引进了“网络守护进程服务程序”的概念。Redhat Linux 8.0以后的版本使用的网络守护进程是xinted（eXtended InterNET daemon）。和stand－alone模式相比xinted模式也称 Internet Super－Server（超级服务器）。xinetd能够同时监听多个指定的端口，在接受用户请求时，他能够根据用户请求的端口不同，启动不同的网络服务进程来处理这些用户请求。可以把xinetd看做一个管理启动服务的管理服务器，它决定把一个客户请求交给那个程序处理，然后启动相应的守护进程。xinetd模式工作原理见图7。
 

图7 xinetd模式网络服务

    和stand－alone工作模式相比，系统不想要每一个网络服务进程都监听其服务端口。运行单个xinetd就可以同时监听所有服务端口，这样就降低了系统开销，保护系统资源。但是对于访问量大、经常出现并发访问时，xinetd想要频繁启动对应的网络服务进程，反而会导致系统性能下降。察看系统为Linux服务提供那种模式方法在Linux命令行可以使用pstree命令可以看到两种不同方式启动的网络服务。xinetd提供类似于inetd+tcp_wrapper的功能，但是更加强大和安全。能有效的防止拒绝服务攻击(Denial of Services)：

    a、限制同时运行的进程数。
    通过设置instances选项设定同时运行的并发进程数：
instances＝20
    当服务器被请求连接的进程数达到20个时，xinetd将停止接受多出部分的连接请求。直到请求连接数低于设定值为止。
    限制一个IP地址的最大连接数：
    通过限制一个主机的最大连接数，从而防止某个主机独占某个服务。
per_source＝5
这里每个IP地址可以连接单个IP地址的连接数是5个。

    b.限制负载。
    xinetd还可以使用限制负载的方法防范拒绝服务攻击。用一个浮点数作为负载系数，当负载达到这个数目的时候，该服务将暂停处理后续的连接：
max_load = 2.8
    上面的例子中当一项系统负载达到2.8时，所有服务将暂时中止，直到系统负载下降到设定值以下。说明要使用这个选项，编译时要加入--with-loadavg ，xinetd将而已处理max-load配置选项。从而在系统负载过重时关闭某些服务进程，来实现某些拒绝服务攻击。 c.限制所有服务器数目（连接速率） 。
    xinetd可以使用cps选项设定连接速率，下面的例子：
cps = 25 60
    第一个参数表示每秒可以处理的连接数，如果超过了这个连接数之后进入的连接将被暂时停止处理；第二个参数表示停止处理多少秒后继续处理先前暂停处理的连接。即服务器最多启动25个连接，如果达到这个数目将停止启动新服务60秒。在此期间不接受任何请求。

    使用上面指令有助于防止某个 xinetd 服务大量占用系统，从而导致“拒绝服务”情况的出现。