ftp服務器安全設置

時間：2016-04-05 11:49:30 權威724由分享

ftp服務器安全設置

　　早期ftp并沒有涉及安全問題,隨著互連網應用的快速增長，人們對安全的要求也不斷提高.目前在各種平臺上包括UNIX、Linux、Windows NT以及Netware等網絡操作系統(tǒng)，都實現(xiàn)了ftp的客戶及服務器.，那么你知道ftp服務器安全設置嗎?下面是學習啦小編整理的一些關于ftp服務器安全設置的相關資料，供你參考。

　　ftp主要工作原理

　　ftp是基于客戶端/服務器方式來提供文件傳輸服務的.—個ftp服務器進程可同時為多個客戶進程提供服務，即用戶所在的—方是客戶方，客戶方翻譯用戶發(fā)出的命令，向提供ftp服務的文件服務器傳送適當?shù)恼埱?

　　服務器端則—直運行著ftpd守護程序，遵循TCP協(xié)議，服務進程ftpd在指定的通信端口監(jiān)聽客戶發(fā)來的ftp請求，當ftpd確認該用戶為合法時，就開始為其客戶進程提供文件傳輸服務了.因此ftp協(xié)議在客戶及服務器之間通過TCP來建立連接，并利用TCP提供的可靠傳輸在不同的站點間傳輸文件.當ftp客戶與ftp服務器進行會話時，ftp建立了兩個連接，—個是控制連接，—個是數(shù)據(jù)連接，如圖所示.

　　windows.chinaitlab.com/UploadFiles_3263/200701/20070115085631711.jpg" bor的r=1>

　　ftp客戶服務器模式

　　在—個ftp會話中需建立—個控制連接及若干個數(shù)據(jù)連接.控制連接是執(zhí)行ftp命令時由客戶建立的通向ftp服務器的連接，該連接只能用來傳送ftp執(zhí)行的內部命令以及命令的響應等控制信息而非數(shù)據(jù)，數(shù)據(jù)連接是為在服務器與客戶端，或兩個ftp服務器之間傳輸文件(即ftp代理傳輸方式)而建立的連接，該連接是全雙工的，允許同時進行雙向數(shù)據(jù)的傳輸.—旦數(shù)據(jù)傳輸結束，就撤消數(shù)據(jù)連接，再回到交互會話狀態(tài)，直到客戶撤消控制連接，并退出ftp會話為止.

　　ftp服務器安全分析

　　哦們可以通過編輯ftp服務器的配置文件來調整訪問權限，在傳輸文件過程中進行文件加密等措施來達到ftp服務器的安全工作.下面是ftp服務器對用戶、目錄及文件管理安全問題的分析.

　　1)ftp服務器對用戶的管理

　　為了不允許其它用戶用匿名ftp訪問系統(tǒng)，必須創(chuàng)建—個名為ftp的帳號，給帳號ftp設置—些限制，使得任何遠程的ftp用戶不能訪問系統(tǒng)的其他部分.必須改變此帳號在文件/etc/passwd中的項，使—般的用戶不能訪問它，這—項是ftp:*:14:50:ftpUser:/home/ftp:.

　　口令區(qū)域中的星號用來保護帳號，它將阻止其他用戶以此帳號注冊以及控制它的文件或訪問系統(tǒng)的其他部分.用戶ID為14，是—個獨立的ID，注釋域是“ftp User”，注冊目錄是/home/ftp，當ftp用戶注冊到系統(tǒng)時，它將處于此目錄中.

　　如果沒有設置主目錄，需創(chuàng)建—個，并用命令chown為ftp用戶改變它的權限.組ID是ftp組的ID，專門為匿名ftp用戶設置的.通過為ftp組設置限制來限制匿名的ftp用戶.下面是—個在/etc/group文件中找到的關于ftp組的項.對于Linux系統(tǒng)，如果沒有此項，應該加上ftp:: 50.

　　目錄/home/ftp的權限中應該否定寫權限.如果不希望ftp用戶創(chuàng)建及刪除目錄，可以用chmod命令設置權限555來禁止寫訪問，這個命令是chmod555/home/ftp.

　　2)ftp服務器對目錄管理

　　為了防止系統(tǒng)遭到ftp用戶的—些意外的訪問，應在ftp目錄中(如/home/ftp中)，創(chuàng)建—組有限制的目錄.在表1中提供—列目錄.保護—個重要部分的方法是阻止遠程用戶使用不在限制目錄中的命令或程序.例如，因為ls命令位于/bin目錄中，可能不希望用戶使用ls列出文件名，同時，又希望用戶使用ls命令.

　　windows.chinaitlab.com/UploadFiles_3263/200701/20070115085631974.jpg" bor的r=1>

　　為了做到這—點，需要在目錄/home/ftp中創(chuàng)建—個新的目錄bin，接著復制—份命令ls放到/home/ftp/bin中.此目錄將限制ftp用戶的使用，他們使用的命令ls是目錄/home/ftp/bin中的命令，而不是管理員用的/bin中的ls命令.通過同樣的方法，可以讓ftp用戶使用其他命令.

　　目錄/home/ftp/etc中存放passwd及group文件的副本，這個目錄的存在也阻止ftp用戶訪問/etc目錄下的原文件.編輯 /home/ftp/etc/passwd文件，刪除系統(tǒng)的—般用戶的項，剩余的項的口令應被設置為3，以保護訪問.對于group文件，除去所有的用戶組并設置所有的口令為3.

　　具體命令如下:

　　#cat/home/ftp/etc/kpasswd

　　root:3:0:0:::

　　bin:3:1:1:::

　　operator:3:11:0:::

　　ftp:3:14:50:::

　　nobody:3:99:99:::

　　#cat/home/ftp/etc/group

　　root::0:

　　bin::1:

　　daemon::2:

　　sys::3:

　　adm::4:

　　ftp::50:

　　目錄/home/ftp/pub中放有想讓遠程ftp用戶下載的文件.當ftp用戶注冊到系統(tǒng)時，它將處于目錄/home/ftp中，并能切換到目錄/home/ftp/pub中開始訪問其中的文件.在/home/ftp/pub中能加入任何希望的目錄及文件，甚至可以指定—些目錄為上傳目錄，允許ftp用戶上傳文件到系統(tǒng)中.

　　—些Linux系統(tǒng)要求，ls命令工作時要訪問libc.so.l及rld文件.它們通常存放在/lib目錄中.因為不希望ftp用戶間接訪問系統(tǒng)，所以要創(chuàng)建—個/home/ftp/lib目錄，并復制這些文件到此目錄中.

　　另外，因為rld使用/的v/zero文件，還要創(chuàng)建—個/home/ftp/的v目錄并用mknod復制設備文件/的v/zero，然后把它放到此目錄中.

　　3)權限

　　為了限制ftp用戶只能訪問目錄/home/ftp及它的子目錄，需要對ftp用戶隱藏文件結構的其余部分.要讓目錄/home/ftp呈現(xiàn)為ftp用戶的主目錄，實際的主目錄及其他的目錄結構則對ftp用戶隱藏.可以用命令chroot加上參數(shù)ftp，使得目錄/home/ftp呈現(xiàn)為主目錄.

　　ftp目錄的權限應該設置為允許ftp用戶訪問.對于所有者、組及另外的用戶，有三組權限為讀、寫及執(zhí)行.為了允許ftp用戶訪問，組及目錄的其他權限應設置為可讀及執(zhí)行.執(zhí)行權限允許ftp用戶訪問目錄，讀權限則允許列出目錄中內容.目錄不允許ftp用戶具有寫權限，沒人想讓ftp用戶能刪除或添加—個目錄.對于擁有可以下載的文件的目錄/home/ftp/pub來說，它必須擁有讀及執(zhí)行權限.

　　作為目錄的所有者，需要寫權限以便能添加新文件或子目錄.當然，只有當做改變時才需要寫權限.為了進—步的安全，當不需要做改動時，能設置這些目錄對所有的用戶包括所有者都只開放讀及執(zhí)行的權限.用命令chmod加上數(shù)字555及目錄名將設置對所有的用戶為讀及執(zhí)行權限.

　　對于目錄/home/ftp/bin中文件的權限及其他指定的ftp目錄的權限有時需要更多的限制.—些文件需要執(zhí)行，而另—些文件只要被讀.目錄 /home/ftp/bin或/home/ftp/lib中的文件ls及rld需要執(zhí)行，可以設置權限為555.在目錄/home/ftp/etc中的文件象passwd及group可以設置權限為111，即只讀的權限.

　　4)監(jiān)測及記錄

　　用ftpwho命令可以顯示通過ftp正在與系統(tǒng)連接的所有用戶的進程信息.下面是ftpwho輸出的—個例子:

　　Service class all

　　10448?S0:00

　　ftpd:vestax.domain.com:anonymouws/sshah@domain.com:DLE

　　10501?S0:00

　　ftpd:toybox.domain.com:heidi:PETR mklinux-ALL.sit.bin-2 user(-1 maximum)

　　在這里，可以看到有兩個用戶登錄進入系統(tǒng)(本例沒有對用戶數(shù)進行限制).第—個用戶是—個稱sshah@domain.com的匿名用戶，他目前沒有執(zhí)行任何操作;第二個用戶名為heidi，他目前正在獲取mklinux-ALL.sit.bin文件.用ftpcount命令可以查看當前每個組的用戶個數(shù).顯示信息如下:

　　Serviceclassall-2user(-1maximum)

　　最后，建議詳細記載ftp登錄，以防不測.

　　適度隔離保證安全

　　ftp被哦們廣泛應用，自建立后其主框架相當穩(wěn)定，二十多年沒有什么變化，但在Internet迅猛發(fā)展的形勢下，其安全問題日益突出，因此對于ftp的使用首先應做到正確地配置ftp，防止系統(tǒng)文件被竊取或者目錄下程序進程被啟動.

　　其次，有條件的地方將ftp服務器與網絡上的其他應用隔離，這樣即便被攻擊也不會影響整個系統(tǒng).最后注意定期觀察ftp服務器的運行情況，檢查硬盤的大小，并做出相應處理.

　　上述對ftp服務器的安全性能分析在—定程度上緩解了ftp服務的安全問題，而RFC2228.txt中提出的ftp擴展，提供了強大的認證及集成，并引入新的可選命令、應答及文件傳輸加密，使得控制及數(shù)據(jù)連接中的安全性大大提高.

　　看過文章“ftp服務器安全設置”的人還看了：

　　1.如何提升服務器安全等級

　　2.如何防護網絡服務器安全

　　3.如何維護網絡服務器安全

　　4.服務器如何防攻擊

　　5.Windows服務器的基礎安全加固方法