提高网络安全性:匿名FTP安全设定
发布时间:2008-08-03 16:54:00
匿名FTP的设定:匿名FTP若有正确地设定与管理,将是一项很有价值的服务。这份文件的第一节提供一般匿名FTP最起始的设定方式。第二节提出当一个网站要在匿名FTP下提供可写入目录区的相关议题与面临的问题。第三节提供CERT以前的FTP 相关Advisories信息。
以下的设定方式是由过去许多网站累积的经验与建议组成。我们认为可以让有个别需求的网站拥有不同设定的选择。
I.设定匿名FTP
A.FTP daemon
网站必须确定目前使用的是最新版本的FTP daemon。
B.设定匿名FTP的目录
匿名ftp的根目录(~ftp)和其子目录的拥有者不能为ftp帐号,或与ftp相同群组的帐号。这是一般常见的设定问题。假如这些目录被ftp或与ftp相同群组的帐号所拥有,又没有做好防止写入的保护,入侵者便可能在其中增加档案(例如:.rhosts檔)或修改其它档案。许多网站允许使用root帐号。让匿名FTP的根目录与子目录的拥有者是root,所属族群(group)为system,并限定存取权(如chmod 0755),如此只有root有写入的权力,这能帮助你维持FTP服务的安全。
以下是一个匿名ftp目录的设定范例:
drwxr-xr-x 7 root system 512 Mar 1 15:17 ./
drwxr-xr-x 25 root system 512 Jan 4 11:30 ../
drwxr-xr-x 2 root system 512 Dec 20 15:43 bin/
drwxr-xr-x 2 root system 512 Mar 12 16:23 etc/
drwxr-xr-x 10 root system 512 Jun 5 10:54 pub/
所有的档案和链接库,特别是那些被FTP daemon使用和那些在 ~ftp/bin 与~ftp/etc 中的档案,应该像上面范例中的目录做相同的保护。这些档案和链接库除了不应该被ftp帐号或与ftp相同群组的帐号所拥有之外,也必须防止写入。
C.使用合适的密码与群组档案
我们强烈建议网站不要使用系统中 /etc/passwd 做为~ftp/etc 目录中的密码档案或将系统中 /etc/group 做为 ~ftp/etc目录中的群组档案。在~ftp/etc目录中放置这些档案会使得入侵者取得它们。这些档案是可自定的而且不是用来做存取控制。
我们建议你在 ~ftp/etc/passwd 与 ~ftp/etc/group 使用代替的档案。这些档案必须由root所拥有。DIR命令会使用这代替的档案来显示档案及目录的拥有者和群组名称。网站必须确定 ~/ftp/etc/passwd档中没有包含任何与系统中 /etc/passwd文件中相同的帐号名称。这些档案应该仅仅包含需要显示的FTP阶层架构中档案与目录的拥有者与所属群组名称。此外,确定密码字段是"整理"过的。例如使用「*」来取代密码字段。
以下为cert中匿名ftp的密码档案范例:
ssphwg:*:3144:20:Site Specific Policy Handbook Working Group::
cops:*:3271:20:COPS Distribution::
cert:*:9920:20:CERT::
tools:*:9921:20:CERT Tools::
ftp:*:9922:90:Anonymous FTP::
nist:*:9923:90:NIST Files::
以下为cert中匿名ftp的群组档案范例:
cert:*:20:
ftp:*:90:
II.在你的匿名ftp提供可写入的目录
让一个匿名ftp服务允许使用者储存档案是有风险存在的。我们强烈提醒网站不要自动建立一个上传目录,除非已考虑过相关的风险。CERT/CC的事件回报成员接获许多使用上传目录造成非法传输版权软件或交换帐号与密码信息的事件。也接获恶意地将系统档案灌报造成denial of service问题。
猜你喜欢
- 即日起,Robin主持点石你问我答,如果你有关SEO方面的问题需要咨询,不妨让我知道。你问我答每周举行一次,Robin会挑选3个具有典型性的
- 一.运行docker Linux内核版本需要在3.8以上,针对centos6.5 内核为2.6的系统需要先升级内核.不然会特别卡,退出容器.
- 如果有某个页面其中都多个链接指向一个域名,Google只会索引一个链接,最先发现这一点的是Michael Van DeMar, 这一点受到了
- 作为一种资源的组织和表达机制,Web已成为Internet最主要的信息传送媒介。因此Web的性能已经成为判断一个网站成功与否的一个重要评估标
- 从Discuz!官方了解到,目前QQ互联服务已经全面开放,无任何站点规模以及日发帖限制,使用Discuz!X2的站点可通过Discuz!云平
- 此文,是通过查阅各位大神的经验总结得出的小小的结论,只是为了记录自己在学习过程中,遇到的问题而写,假若能帮到大家,十分荣幸~当VMvare出
- 每次搜索引擎的算法改变时,导致一些网站的某些关键字排名明显下降,在搜索引擎算法改变或加强时、惩罚了某一些页面而不是整个网站。如果是网站的所有
- 以前黑站黑了很多,但是就没有想过会不会被追踪到,都没有想过怎么去擦自己的屁股,万万没想到在自己不再黑站的时候,却发现了自己的BBS被黑了。根
- 8月14日,PHPWind发布了PHPWind 7.5RC版本,同时PHPWind.com官方网站进行了改版。伴随7.5产品发布,PHPWi
- 把你的Web服务器与应用服务器、脚本语言进行无痛整合。对于WebBase服务器,把你的Web前端与数据库后端连接起来是件很轻松的事。使用Ex
- 昨天在听AdSense的一个网络会议的时候,主讲人提到了一个提高Adsense广告相关度的技巧,可供那些感觉广告匹配度不高、广告点击率低的A
- 12月2日消息, 56网近日宣布推出广告分成系统,视频内容方加入该系统,可以分享视频广告收益。用户分享广告价值 有效解决版权争端此次56网推
- 本文环境:操作系统:Windows XP SP3Git客户端:TortoiseGit-1.8.8.0-32bit一、安装Git客户端全部安装
- 由于中国伟大的防火墙所在,美国主机的IP经常被封,Godaddy的主机也不例外,下面介绍几种解决办法。1.最简单的办法:马上购买独立IP ,
- 这几天在忙着招聘一些网站编辑,有意在招聘信息中强调了编辑的专题策划能力。作为内容整合的专题,由于关键词集中,能起到很好的SEO效果;而作为营
- 国内著名Java站点JavaEye托管的主机近日遭遇ARP攻击,导致网站访问出现多次中断,还有用户报告被挂马。近日JavaEye在网站上发布
- 最近在用wordpress做一个小型的娱乐cms网站,并针对wordpress进行优化,基本ok了。但是wordpress看起来是很适合在l
- 非常高兴鞭牛士邀请我和大家分享自己的经验,也感谢大家在周五晚上来听我讲一些网络编辑方面的东西。我简单介绍一下我的情况吧,我是93年毕业,毕业
- nt4.0下,如果将文件拷贝到别处,则文件的acl欣喜就丢失了,必须借助resource kit里面的scopy.exe程序,而WIN200
- 本文介绍的是如何安装ubuntu下C++接口的opencv1.安装准备:1.1安装cmakesudo apt-get install cma