《FTP服务器的安全设置方法.docx》由会员分享,可在线阅读,更多相关《FTP服务器的安全设置方法.docx(7页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、FTP服务器的安全设置方法FTP的隐患 早期FTP并没有涉及平安问题,随着互连网应用的快速增长,人们对平安的要求也不断提高。目前在各种平台上包括UNIX、Linux、Windows NT以及Netware等网络操作系统,都实现了FTP的客户和服务器。 FTP是为了共享资源、便利用户文件下载而制定的文件传输协议,那么必定有对系统读写的权利,所以它也是整个网络系统的薄弱环节,一些网上的黑客经常利用FTP作为侵入和破坏系统的突破口。他们有时利用FTP将一些监控程序装入系统,以窃取管理口令;有时利用FTP获得系统的passwd文件,从而了解系统的用户信息;有时利用FTP的puts和gets功能,增加系
2、统负担,从而导致硬盘塞满甚至系统崩溃。FTP主要工作原理 FTP是基于客户端/服务器方式来供应文件传输服务的。一个FTP服务器进程可同时为多个客户进程供应服务,即用户所在的一方是客户方,客户方翻译用户发出的吩咐,向供应FTP服务的文件服务器传送适当的恳求。 服务器端则始终运行着ftpd守护程序,遵循TCP协议,服务进程ftpd在指定的通信端口监听客户发来的FTP恳求,当ftpd确认该用户为合法时,就起先为其客户进程供应文件传输服务了。因此FTP协议在客户和服务器之间通过TCP来建立连接,并利用TCP供应的牢靠传输在不同的站点间传输文件。当FTP客户与FTP服务器进行会话时,FTP建立了两个连接
3、,一个是限制连接,一个是数据连接,如图所示。 border=1>FTP的客户服务器模式 在一个FTP会话中需建立一个限制连接和若干个数据连接。限制连接是执行ftp吩咐时由客户建立的通向FTP服务器的连接,该连接只能用来传送FTP执行的内部吩咐以及吩咐的响应等限制信息而非数据,数据连接是为在服务器与客户端,或两个ftp服务器之间传输文件(即FTP代理传输方式)而建立的连接,该连接是全双工的,允许同时进行双向数据的传输。一旦数据传输结束,就撤消数据连接,再回到交互会话状态,直到客户撤消限制连接,并退出FTP会话为止。FTP服务器的平安分析 我们可以通过编辑FTP服务器的配置文件来调整访问权限
4、,在传输文件过程中进行文件加密等措施来达到FTP服务器的平安工作。下面是FTP服务器对用户、书目和文件管理平安问题的分析。 1)FTP服务器对用户的管理 为了不允许其它用户用匿名ftp访问系统,必需创建一个名为ftp的帐号,给帐号ftp设置一些限制,使得任何远程的ftp用户不能访问系统的其他部分。必需变更此帐号在文件/etc/passwd中的项,使一般的用户不能访问它,这一项是ftp:*:14:50:FTPUser:/home/ftp:。 口令区域中的星号用来爱护帐号,它将阻挡其他用户以此帐号注册以及限制它的文件或访问系统的其他部分。用户ID为14,是一个独立的ID,注释域是“FTP User
5、”,注册书目是/home/ftp,当ftp用户注册到系统时,它将处于此书目中。 假如没有设置主书目,需创建一个,并用吩咐chown为ftp用户变更它的权限。组ID是ftp组的ID,特地为匿名ftp用户设置的。通过为ftp组设置限制来限制匿名的ftp用户。下面是一个在/etc/group文件中找到的关于ftp组的项。对于Linux系统,假如没有此项,应当加上ftp: 50。 书目/home/ftp的权限中应当否定写权限。假如不希望ftp用户创建和删除书目,可以用chmod吩咐设置权限555来禁止写访问,这个吩咐是chmod555/home/ftp。 2)FTP服务器对书目的管理 为了防止系统遭到
6、ftp用户的一些意外的访问,应在ftp书目中(如/home/ftp中),创建一组有限制的书目。在表1中供应一列书目。爱护一个重要部分的方法是阻挡远程用户运用不在限制书目中的吩咐或程序。例如,因为ls吩咐位于/bin书目中,可能不希望用户运用ls列出文件名,同时,又希望用户运用ls吩咐。 border=1> 为了做到这一点,须要在书目/home/ftp中创建一个新的书目bin,接着复制一份吩咐ls放到/home/ftp/bin中。此书目将限制ftp用户的运用,他们运用的吩咐ls是书目/home/ftp/bin中的吩咐,而不是管理员用的/bin中的ls吩咐。通过同样的方法,可以让ftp用户运
7、用其他吩咐。 书目/home/ftp/etc中存放passwd和group文件的副本,这个书目的存在也阻挡ftp用户访问/etc书目下的原文件。编辑 /home/ftp/etc/passwd文件,删除系统的一般用户的项,剩余的项的口令应被设置为3,以爱护访问。对于group文件,除去全部的用户组并设置全部的口令为3。 详细吩咐如下: #cat/home/ftp/etc/kpasswd root:3:0:0: bin:3:1:1: operator:3:11:0: ftp:3:14:50: nobody:3:99:99: #cat/home/ftp/etc/group root:0: bin:1
8、: daemon:2: sys:3: adm:4: ftp:50: 书目/home/ftp/pub中放有想让远程ftp用户下载的文件。当ftp用户注册到系统时,它将处于书目/home/ftp中,并能切换到书目/home/ftp/pub中起先访问其中的文件。在/home/ftp/pub中能加入任何希望的书目和文件,甚至可以指定一些书目为上传书目,允许ftp用户上传文件到系统中。 一些Linux系统要求,ls吩咐工作时要访问libc.so.l和rld文件。它们通常存放在/lib书目中。因为不希望ftp用户间接访问系统,所以要创建一个/home/ftp/lib书目,并复制这些文件到此书目中。 另外,
9、因为rld运用/dev/zero文件,还要创建一个/home/ftp/dev书目并用mknod复制设备文件/dev/zero,然后把它放到此书目中。3)权限 为了限制ftp用户只能访问书目/home/ftp和它的子书目,须要对ftp用户隐藏文件结构的其余部分。要让书目/home/ftp呈现为ftp用户的主书目,实际的主书目和其他的书目结构则对ftp用户隐藏。可以用吩咐chroot加上参数ftp,使得书目/home/ftp呈现为主书目。 ftp书目的权限应当设置为允许ftp用户访问。对于全部者、组和另外的用户,有三组权限为读、写和执行。为了允许ftp用户访问,组和书目的其他权限应设置为可读和执行
10、。执行权限允许ftp用户访问书目,读权限则允许列出书目中内容。书目不允许ftp用户具有写权限,没人想让ftp用户能删除或添加一个书目。对于拥有可以下载的文件的书目/home/ftp/pub来说,它必需拥有读和执行的权限。 作为书目的全部者,须要写权限以便能添加新文件或子书目。当然,只有当做变更时才须要写权限。为了进一步的平安,当不须要做改动时,能设置这些书目对全部的用户包括全部者都只开放读和执行的权限。用吩咐chmod加上数字555和书目名将设置对全部的用户为读和执行权限。 对于书目/home/ftp/bin中文件的权限和其他指定的ftp书目的权限有时须要更多的限制。一些文件须要执行,而另一些
11、文件只要被读。书目 /home/ftp/bin或/home/ftp/lib中的文件ls和rld须要执行,可以设置权限为555。在书目/home/ftp/etc中的文件象passwd和group可以设置权限为111,即只读的权限。 4)监测和记录 用ftpwho吩咐可以显示通过FTP正在与系统连接的全部用户的进程信息。下面是ftpwho输出的一个例子: Service class all 10448?S0:00 ftpd:anonymouws/sshah:DLE 10501?S0:00 ftpd:heidi:PETR mklinux-ALL.sit.bin-2 user(-1 maximum)
12、在这里,可以看到有两个用户登录进入系统(本例没有对用户数进行限制)。第一个用户是一个称sshah的匿名用户,他目前没有执行任何操作;其次个用户名为heidi,他目前正在获得mklinux-ALL.sit.bin文件。用ftpcount吩咐可以查看当前每个组的用户个数。显示信息如下:Serviceclassall-2user(-1maximum) 最终,建议具体记载ftp登录,以防不测。适度隔离保证平安 FTP被我们广泛应用,自建立后其主框架相当稳定,二十多年没有什么改变,但在Internet迅猛发展的形势下,其平安问题日益突出,因此对于FTP的运用首先应做到正确地配置FTP,防止系统文件被窃取
13、或者书目下程序进程被启动。 其次,有条件的地方将FTP服务器与网络上的其他应用隔离,这样即便被攻击也不会影响整个系统。最终留意定期视察FTP服务器的运行状况,检查硬盘的大小,并做出相应处理。 上述对FTP服务器的平安性能分析在肯定程度上缓解了FTP服务的平安问题,而RFC2228.txt中提出的FTP扩展,供应了强大的认证和集成,并引入新的可选吩咐、应答和文件传输加密,使得限制和数据连接中的平安性大大提高。本文来源:网络收集与整理,如有侵权,请联系作者删除,谢谢!第7页 共7页第 7 页 共 7 页第 7 页 共 7 页第 7 页 共 7 页第 7 页 共 7 页第 7 页 共 7 页第 7 页 共 7 页第 7 页 共 7 页第 7 页 共 7 页第 7 页 共 7 页第 7 页 共 7 页