提高网络安全性:匿名FTP安全设定
发布时间:2008-08-03 16:54:00
匿名FTP的设定:匿名FTP若有正确地设定与管理,将是一项很有价值的服务。这份文件的第一节提供一般匿名FTP最起始的设定方式。第二节提出当一个网站要在匿名FTP下提供可写入目录区的相关议题与面临的问题。第三节提供CERT以前的FTP 相关Advisories信息。
以下的设定方式是由过去许多网站累积的经验与建议组成。我们认为可以让有个别需求的网站拥有不同设定的选择。
I.设定匿名FTP
A.FTP daemon
网站必须确定目前使用的是最新版本的FTP daemon。
B.设定匿名FTP的目录
匿名ftp的根目录(~ftp)和其子目录的拥有者不能为ftp帐号,或与ftp相同群组的帐号。这是一般常见的设定问题。假如这些目录被ftp或与ftp相同群组的帐号所拥有,又没有做好防止写入的保护,入侵者便可能在其中增加档案(例如:.rhosts檔)或修改其它档案。许多网站允许使用root帐号。让匿名FTP的根目录与子目录的拥有者是root,所属族群(group)为system,并限定存取权(如chmod 0755),如此只有root有写入的权力,这能帮助你维持FTP服务的安全。
以下是一个匿名ftp目录的设定范例:
drwxr-xr-x 7 root system 512 Mar 1 15:17 ./
drwxr-xr-x 25 root system 512 Jan 4 11:30 ../
drwxr-xr-x 2 root system 512 Dec 20 15:43 bin/
drwxr-xr-x 2 root system 512 Mar 12 16:23 etc/
drwxr-xr-x 10 root system 512 Jun 5 10:54 pub/
所有的档案和链接库,特别是那些被FTP daemon使用和那些在 ~ftp/bin 与~ftp/etc 中的档案,应该像上面范例中的目录做相同的保护。这些档案和链接库除了不应该被ftp帐号或与ftp相同群组的帐号所拥有之外,也必须防止写入。
C.使用合适的密码与群组档案
我们强烈建议网站不要使用系统中 /etc/passwd 做为~ftp/etc 目录中的密码档案或将系统中 /etc/group 做为 ~ftp/etc目录中的群组档案。在~ftp/etc目录中放置这些档案会使得入侵者取得它们。这些档案是可自定的而且不是用来做存取控制。
我们建议你在 ~ftp/etc/passwd 与 ~ftp/etc/group 使用代替的档案。这些档案必须由root所拥有。DIR命令会使用这代替的档案来显示档案及目录的拥有者和群组名称。网站必须确定 ~/ftp/etc/passwd档中没有包含任何与系统中 /etc/passwd文件中相同的帐号名称。这些档案应该仅仅包含需要显示的FTP阶层架构中档案与目录的拥有者与所属群组名称。此外,确定密码字段是"整理"过的。例如使用「*」来取代密码字段。
以下为cert中匿名ftp的密码档案范例:
ssphwg:*:3144:20:Site Specific Policy Handbook Working Group::
cops:*:3271:20:COPS Distribution::
cert:*:9920:20:CERT::
tools:*:9921:20:CERT Tools::
ftp:*:9922:90:Anonymous FTP::
nist:*:9923:90:NIST Files::
以下为cert中匿名ftp的群组档案范例:
cert:*:20:
ftp:*:90:
II.在你的匿名ftp提供可写入的目录
让一个匿名ftp服务允许使用者储存档案是有风险存在的。我们强烈提醒网站不要自动建立一个上传目录,除非已考虑过相关的风险。CERT/CC的事件回报成员接获许多使用上传目录造成非法传输版权软件或交换帐号与密码信息的事件。也接获恶意地将系统档案灌报造成denial of service问题。
猜你喜欢
- 中纪委监察部开通举报网站后广受关注,昨日下午网站登陆一直不顺畅,热线电话也一直忙音;到了晚上,相关服务才恢复正常,网民估计是太多人登陆所致。
- 1、准备,下载需要的文件。这里假定你已经正确安装配置好了JDK。到Apache官方网站下载所需要的文件:httpd-2.2.0.tar.gz
- 魔兽世界迎来五周年(腾讯科技配图)北京时间11月24日消息,据国外媒体报道,网络游戏《魔兽世界》11月23日(北京时间11月24日)迎来了五
- 概要本文介绍了如何配置“域名系统”(DNS) 服务器,使其承载可从外部访问(即从Internet 访
- 各大游戏厂商纷纷推出自己网页游戏产品,但是我们一直没有见腾讯有所动静,近日腾讯也终于按奈不住,推出首款策略战争类网页游戏《丝路英雄》,且已于
- 如何在WordPress程序中集成支付宝是实现WordPress电子商务化必须要突破的一个瓶颈。WordPress有很多的电子商务类插件,像
- 网站做了SEO优化,并且取得了好的搜索排名,如何让网站保持稳定排名防止被搜索引擎降权,是大多数站长关心的问题,今天向大家介绍一下如何防止网站
- 不同的站点对安全级别的要求不同,康盛创想(Comsenz)推出的Discuz!系统允许站点管理者,通过自定义配置文件中的 config.in
- 目前中国分类信息网的竞争可以说已经到了白炽化成程.口啤网目前来说还是处于导先地位,当然我今天不来批论这些网站的盈利情况.今天我们来看一下同城
- 大家都知道,刚刚建立好的WordPress,如果不做任何修改的话。是没有keywords,或者千篇一律的keywords、descripti
- 10月13日消息,记者获悉,第三方支付服务商——首信易支付 (PayEase) 近日荣获 &
- 淘宝推出B2C的淘宝商城已经有一段日子了,现在可能不少人在“淘宝”的同时也会偶尔到淘宝商城去逛逛。我们注意到淘宝商城跟淘宝个人网
- 6月4日至6月10日,短短5个交易日内,腾讯控股累积重挫15%,放量击穿年线,而同期香港恒生指数基本保持持平。拥有同时在线人数超过 1亿的Q
- 目前Google AdSense已经在国内测试电子银行转账支付服务,目前只在小部分用户种进行测试。取得测试资格的用户将可以直接通过银行账户收
- 一、使用 mod_vhost_alias1、简单的动态虚拟主机# 从 Host: 头中取得服务器名字 Server NameUseCanon
- 圣诞:the birthday of Jesus Christ圣诞节:Christmas day,Xm.,Xmas圣诞歌:Christmas
- 注意:入侵时目标如果是linux服务器,看切忌清理痕迹的时候别忘记history命令的记录哦!1、修改/etc/profile将HISTSI
- 最近跟一些站长交流了一下,根据他们及网络和自己的一些总结,归纳了合格站长应具备的基本条件,这几天也一直为自己的论坛忙的不可开胶,也一直在找关
- Apache的Mode Rewrite模块提供了一个基于正则表达式分析器的重写引擎来实时重写URL请求。在大多数情况下,它和.htacces
- 1、先修改member\do.php line:3 &nb