在互联网上,匿名FTP是一种非常常见的服务,常用于软件下载网站、软件交换网站等。为了提高开通匿名FTP服务过程中的安全性,我们将讨论这个问题。
以下设置是由过去很多网站积累的经验和建议组成的。我们认为有个性化需求的网站可以有不同的设置。
设置匿名FTP
A.FTP守护进程
该网站必须确保它目前使用的是最新版本的FTP守护程序。
设置匿名FTP的目录。
匿名ftp的根目录(~ ftp)及其子目录的所有者不能是ftp帐户或与ftp在同一组的帐户。这是一个常见的设置问题。如果这些目录由ftp或ftp所在组中的帐户拥有,并且没有防写保护,入侵者可能会添加文件或修改其中的其他文件。现在很多网站都有root账号。如果匿名FTP的根目录和子目录的所有者是root,则该组属于system?这样只有root才有写权限,可以帮助你维护FTP服务的安全性?
以下是设置匿名ftp目录的示例:
drwxr-xr-x 7根系统512年3月1日15时17分。/
drwxr-xr-x 25根系统512年1月4日11:30./
drwxr-xr-x 2根系统512 Dec 20 15:43 bin/
drwxr-xr-x 2根系统512年3月12日16:23等
drwxr-xr-x 10根系统512年6月5日10:54发布/
所有的文件和链接库,尤其是FTP守护进程使用的文件和链接库,以及~ftp/bin和~ftp/etc中的文件和链接库,都应该像上面例子中的目录一样受到保护。这些文件和链接库不应由ftp帐户或与ftp在同一组的帐户拥有,但也必须受到保护以防写入。
C.我们强烈建议网站不要使用系统中的/etc/passwd作为~ftp/etc目录中的密码文件,也不要使用系统中的/etc/group作为~ftp/etc目录中的组文件。将这些文件放在~ftp/etc目录中会使入侵者获得它们。这些文件是可定制的,不用于访问控制。
我们建议您使用~ftp/etc/passwd和~ftp/etc/group中的替代文件。这些文件必须归root所有。DIR命令将使用这个替换的文档来显示文档和目录的所有者和组名。网站必须确保~/ftp/etc/passwd文件不包含任何与系统中的/etc/passwd文件相同的帐户名。这些文件应该只包含FTP层次结构中需要显示的文件和目录的所有者和组的名称。此外,确保密码字段是“排序的”。例如,使用“*”代替密码字段。
以下是cert中匿名ftp的密码文件示例
ssphwg:*:3144:20:现场特定政策手册工作组:
警察:*:3271:20:警察分布:
证书:*:9920:20:证书:
工具:*:9921:20:证书工具:
ftp:*:9922:90:匿名ftp:
nist:*:9923:90:NIST文件:
以下是cert中匿名ftp的组文件示例
证书:* 20:
ftp:*:90:
二。在你的匿名ftp中提供一个可写的目录
匿名ftp服务允许用户存储文件是有风险的。我们强烈提醒网站不要自动建立上传目录,除非已经考虑到相关风险。CERT/CC的事件报告成员收到许多事件,这些事件导致使用上传目录非法传输版权软件或交换帐户和密码信息。还收到了系统文件恶意举报导致的拒绝服务问题。