ftp服務(wù)器安全設(shè)置
ftp服務(wù)器安全設(shè)置
早期ftp并沒(méi)有涉及安全問(wèn)題,隨著互連網(wǎng)應(yīng)用的快速增長(zhǎng),人們對(duì)安全的要求也不斷提高.目前在各種平臺(tái)上包括UNIX、Linux、Windows NT以及Netware等網(wǎng)絡(luò)操作系統(tǒng),都實(shí)現(xiàn)了ftp的客戶及服務(wù)器.,那么你知道ftp服務(wù)器安全設(shè)置嗎?下面是學(xué)習(xí)啦小編整理的一些關(guān)于ftp服務(wù)器安全設(shè)置的相關(guān)資料,供你參考。
ftp主要工作原理
ftp是基于客戶端/服務(wù)器方式來(lái)提供文件傳輸服務(wù)的.—個(gè)ftp服務(wù)器進(jìn)程可同時(shí)為多個(gè)客戶進(jìn)程提供服務(wù),即用戶所在的—方是客戶方,客戶方翻譯用戶發(fā)出的命令,向提供ftp服務(wù)的文件服務(wù)器傳送適當(dāng)?shù)恼?qǐng)求.
服務(wù)器端則—直運(yùn)行著ftpd守護(hù)程序,遵循TCP協(xié)議,服務(wù)進(jìn)程ftpd在指定的通信端口監(jiān)聽(tīng)客戶發(fā)來(lái)的ftp請(qǐng)求,當(dāng)ftpd確認(rèn)該用戶為合法時(shí),就開(kāi)始為其客戶進(jìn)程提供文件傳輸服務(wù)了.因此ftp協(xié)議在客戶及服務(wù)器之間通過(guò)TCP來(lái)建立連接,并利用TCP提供的可靠傳輸在不同的站點(diǎn)間傳輸文件.當(dāng)ftp客戶與ftp服務(wù)器進(jìn)行會(huì)話時(shí),ftp建立了兩個(gè)連接,—個(gè)是控制連接,—個(gè)是數(shù)據(jù)連接,如圖所示.
windows.chinaitlab.com/UploadFiles_3263/200701/20070115085631711.jpg" bor的r=1>
ftp客戶服務(wù)器模式
在—個(gè)ftp會(huì)話中需建立—個(gè)控制連接及若干個(gè)數(shù)據(jù)連接.控制連接是執(zhí)行ftp命令時(shí)由客戶建立的通向ftp服務(wù)器的連接,該連接只能用來(lái)傳送ftp執(zhí)行的內(nèi)部命令以及命令的響應(yīng)等控制信息而非數(shù)據(jù),數(shù)據(jù)連接是為在服務(wù)器與客戶端,或兩個(gè)ftp服務(wù)器之間傳輸文件(即ftp代理傳輸方式)而建立的連接,該連接是全雙工的,允許同時(shí)進(jìn)行雙向數(shù)據(jù)的傳輸.—旦數(shù)據(jù)傳輸結(jié)束,就撤消數(shù)據(jù)連接,再回到交互會(huì)話狀態(tài),直到客戶撤消控制連接,并退出ftp會(huì)話為止.
ftp服務(wù)器安全分析
哦們可以通過(guò)編輯ftp服務(wù)器的配置文件來(lái)調(diào)整訪問(wèn)權(quán)限,在傳輸文件過(guò)程中進(jìn)行文件加密等措施來(lái)達(dá)到ftp服務(wù)器的安全工作.下面是ftp服務(wù)器對(duì)用戶、目錄及文件管理安全問(wèn)題的分析.
1)ftp服務(wù)器對(duì)用戶的管理
為了不允許其它用戶用匿名ftp訪問(wèn)系統(tǒng),必須創(chuàng)建—個(gè)名為ftp的帳號(hào),給帳號(hào)ftp設(shè)置—些限制,使得任何遠(yuǎn)程的ftp用戶不能訪問(wèn)系統(tǒng)的其他部分.必須改變此帳號(hào)在文件/etc/passwd中的項(xiàng),使—般的用戶不能訪問(wèn)它,這—項(xiàng)是ftp:*:14:50:ftpUser:/home/ftp:.
口令區(qū)域中的星號(hào)用來(lái)保護(hù)帳號(hào),它將阻止其他用戶以此帳號(hào)注冊(cè)以及控制它的文件或訪問(wèn)系統(tǒng)的其他部分.用戶ID為14,是—個(gè)獨(dú)立的ID,注釋域是“ftp User”,注冊(cè)目錄是/home/ftp,當(dāng)ftp用戶注冊(cè)到系統(tǒng)時(shí),它將處于此目錄中.
如果沒(méi)有設(shè)置主目錄,需創(chuàng)建—個(gè),并用命令chown為ftp用戶改變它的權(quán)限.組ID是ftp組的ID,專門為匿名ftp用戶設(shè)置的.通過(guò)為ftp組設(shè)置限制來(lái)限制匿名的ftp用戶.下面是—個(gè)在/etc/group文件中找到的關(guān)于ftp組的項(xiàng).對(duì)于Linux系統(tǒng),如果沒(méi)有此項(xiàng),應(yīng)該加上ftp:: 50.
目錄/home/ftp的權(quán)限中應(yīng)該否定寫(xiě)權(quán)限.如果不希望ftp用戶創(chuàng)建及刪除目錄,可以用chmod命令設(shè)置權(quán)限555來(lái)禁止寫(xiě)訪問(wèn),這個(gè)命令是chmod555/home/ftp.
2)ftp服務(wù)器對(duì)目錄管理
為了防止系統(tǒng)遭到ftp用戶的—些意外的訪問(wèn),應(yīng)在ftp目錄中(如/home/ftp中),創(chuàng)建—組有限制的目錄.在表1中提供—列目錄.保護(hù)—個(gè)重要部分的方法是阻止遠(yuǎn)程用戶使用不在限制目錄中的命令或程序.例如,因?yàn)閘s命令位于/bin目錄中,可能不希望用戶使用ls列出文件名,同時(shí),又希望用戶使用ls命令.
windows.chinaitlab.com/UploadFiles_3263/200701/20070115085631974.jpg" bor的r=1>
為了做到這—點(diǎn),需要在目錄/home/ftp中創(chuàng)建—個(gè)新的目錄bin,接著復(fù)制—份命令ls放到/home/ftp/bin中.此目錄將限制ftp用戶的使用,他們使用的命令ls是目錄/home/ftp/bin中的命令,而不是管理員用的/bin中的ls命令.通過(guò)同樣的方法,可以讓ftp用戶使用其他命令.
目錄/home/ftp/etc中存放passwd及group文件的副本,這個(gè)目錄的存在也阻止ftp用戶訪問(wèn)/etc目錄下的原文件.編輯 /home/ftp/etc/passwd文件,刪除系統(tǒng)的—般用戶的項(xiàng),剩余的項(xiàng)的口令應(yīng)被設(shè)置為3,以保護(hù)訪問(wèn).對(duì)于group文件,除去所有的用戶組并設(shè)置所有的口令為3.
具體命令如下:
#cat/home/ftp/etc/kpasswd
root:3:0:0:::
bin:3:1:1:::
operator:3:11:0:::
ftp:3:14:50:::
nobody:3:99:99:::
#cat/home/ftp/etc/group
root::0:
bin::1:
daemon::2:
sys::3:
adm::4:
ftp::50:
目錄/home/ftp/pub中放有想讓遠(yuǎn)程ftp用戶下載的文件.當(dāng)ftp用戶注冊(cè)到系統(tǒng)時(shí),它將處于目錄/home/ftp中,并能切換到目錄/home/ftp/pub中開(kāi)始訪問(wèn)其中的文件.在/home/ftp/pub中能加入任何希望的目錄及文件,甚至可以指定—些目錄為上傳目錄,允許ftp用戶上傳文件到系統(tǒng)中.
—些Linux系統(tǒng)要求,ls命令工作時(shí)要訪問(wèn)libc.so.l及rld文件.它們通常存放在/lib目錄中.因?yàn)椴幌M鹒tp用戶間接訪問(wèn)系統(tǒng),所以要?jiǎng)?chuàng)建—個(gè)/home/ftp/lib目錄,并復(fù)制這些文件到此目錄中.
另外,因?yàn)閞ld使用/的v/zero文件,還要?jiǎng)?chuàng)建—個(gè)/home/ftp/的v目錄并用mknod復(fù)制設(shè)備文件/的v/zero,然后把它放到此目錄中.
3)權(quán)限
為了限制ftp用戶只能訪問(wèn)目錄/home/ftp及它的子目錄,需要對(duì)ftp用戶隱藏文件結(jié)構(gòu)的其余部分.要讓目錄/home/ftp呈現(xiàn)為ftp用戶的主目錄,實(shí)際的主目錄及其他的目錄結(jié)構(gòu)則對(duì)ftp用戶隱藏.可以用命令chroot加上參數(shù)ftp,使得目錄/home/ftp呈現(xiàn)為主目錄.
ftp目錄的權(quán)限應(yīng)該設(shè)置為允許ftp用戶訪問(wèn).對(duì)于所有者、組及另外的用戶,有三組權(quán)限為讀、寫(xiě)及執(zhí)行.為了允許ftp用戶訪問(wèn),組及目錄的其他權(quán)限應(yīng)設(shè)置為可讀及執(zhí)行.執(zhí)行權(quán)限允許ftp用戶訪問(wèn)目錄,讀權(quán)限則允許列出目錄中內(nèi)容.目錄不允許ftp用戶具有寫(xiě)權(quán)限,沒(méi)人想讓ftp用戶能刪除或添加—個(gè)目錄.對(duì)于擁有可以下載的文件的目錄/home/ftp/pub來(lái)說(shuō),它必須擁有讀及執(zhí)行權(quán)限.
作為目錄的所有者,需要寫(xiě)權(quán)限以便能添加新文件或子目錄.當(dāng)然,只有當(dāng)做改變時(shí)才需要寫(xiě)權(quán)限.為了進(jìn)—步的安全,當(dāng)不需要做改動(dòng)時(shí),能設(shè)置這些目錄對(duì)所有的用戶包括所有者都只開(kāi)放讀及執(zhí)行的權(quán)限.用命令chmod加上數(shù)字555及目錄名將設(shè)置對(duì)所有的用戶為讀及執(zhí)行權(quán)限.
對(duì)于目錄/home/ftp/bin中文件的權(quán)限及其他指定的ftp目錄的權(quán)限有時(shí)需要更多的限制.—些文件需要執(zhí)行,而另—些文件只要被讀.目錄 /home/ftp/bin或/home/ftp/lib中的文件ls及rld需要執(zhí)行,可以設(shè)置權(quán)限為555.在目錄/home/ftp/etc中的文件象passwd及group可以設(shè)置權(quán)限為111,即只讀的權(quán)限.
4)監(jiān)測(cè)及記錄
用ftpwho命令可以顯示通過(guò)ftp正在與系統(tǒng)連接的所有用戶的進(jìn)程信息.下面是ftpwho輸出的—個(gè)例子:
Service class all
10448?S0:00
ftpd:vestax.domain.com:anonymouws/sshah@domain.com:DLE
10501?S0:00
ftpd:toybox.domain.com:heidi:PETR mklinux-ALL.sit.bin-2 user(-1 maximum)
在這里,可以看到有兩個(gè)用戶登錄進(jìn)入系統(tǒng)(本例沒(méi)有對(duì)用戶數(shù)進(jìn)行限制).第—個(gè)用戶是—個(gè)稱sshah@domain.com的匿名用戶,他目前沒(méi)有執(zhí)行任何操作;第二個(gè)用戶名為heidi,他目前正在獲取mklinux-ALL.sit.bin文件.用ftpcount命令可以查看當(dāng)前每個(gè)組的用戶個(gè)數(shù).顯示信息如下:
Serviceclassall-2user(-1maximum)
最后,建議詳細(xì)記載ftp登錄,以防不測(cè).
適度隔離保證安全
ftp被哦們廣泛應(yīng)用,自建立后其主框架相當(dāng)穩(wěn)定,二十多年沒(méi)有什么變化,但在Internet迅猛發(fā)展的形勢(shì)下,其安全問(wèn)題日益突出,因此對(duì)于ftp的使用首先應(yīng)做到正確地配置ftp,防止系統(tǒng)文件被竊取或者目錄下程序進(jìn)程被啟動(dòng).
其次,有條件的地方將ftp服務(wù)器與網(wǎng)絡(luò)上的其他應(yīng)用隔離,這樣即便被攻擊也不會(huì)影響整個(gè)系統(tǒng).最后注意定期觀察ftp服務(wù)器的運(yùn)行情況,檢查硬盤(pán)的大小,并做出相應(yīng)處理.
上述對(duì)ftp服務(wù)器的安全性能分析在—定程度上緩解了ftp服務(wù)的安全問(wèn)題,而RFC2228.txt中提出的ftp擴(kuò)展,提供了強(qiáng)大的認(rèn)證及集成,并引入新的可選命令、應(yīng)答及文件傳輸加密,使得控制及數(shù)據(jù)連接中的安全性大大提高.
看過(guò)文章“ftp服務(wù)器安全設(shè)置”的人還看了:
2.如何防護(hù)網(wǎng)絡(luò)服務(wù)器安全
3.如何維護(hù)網(wǎng)絡(luò)服務(wù)器安全
5.Windows服務(wù)器的基礎(chǔ)安全加固方法
8.怎么利用服務(wù)器的DHCP維護(hù)局域網(wǎng)安全
9.怎么設(shè)置網(wǎng)件PR2000為公共熱點(diǎn)安全模式
10.服務(wù)器物理安全