Netværket, den anonyme FTP er en meget populær tjeneste, der almindeligvis anvendes i software download sites, software, kommunikation websteder for at forbedre anonym FTP service for åbningen af sikkerheden Xing, vi har nogle drøftelser om dette emne.
Følgende er opsætningen af mange websteder fra tidligere erfaringer og forslag til dannelse. Vi tror, vi kan foretage individuelle
Stedet har forskellige krav valg.
Set anonym FTP
A. FTP daemon
Webstedet skal bestemme den nuværende bruger den nyeste version af FTP dæmonen.
B sæt anonym FTP bibliotek
Anonym ftp rodmappen (~ ftp) og dens undermapper for ftp kontohavere kan ikke, eller den samme gruppe med ftp konto. Dette er
General fælles konfiguration problem. Hvis disse mapper er ftp eller ftp konto, der ejes af samme koncern, har de ikke et godt stykke arbejde for at forhindre skriv sikring, hvor uvedkommende kan øge filen (for eksempel:. Rhosts fil) eller ændre andre filer. Mange steder? City, der viser, at pelsen Xiong oot konto. Tillad anonym FTP rod bibliotek og undermapper, der ejes af root, deres etniske (gruppe) for systemet? ⑾ Afkodning ù Ai ∪? Såsom chmod 0755), således at kun root har skrive magt, som kan hjælpe dig med at vedligeholde den FTP tjenester, sikkerhed? ?
Det følgende er en anonym ftp bibliotek for at statuere et eksempel:
drwxr-xr-x 7 rodsystem 512 1 marts 15:17. /
drwxr-xr-x 25 root system 512 4 Jan 11:30 ... ... /
drwxr-xr-x 2 root system 512 20 december 15:43 bin /
drwxr-xr-x 2 root system 512 12 Mar 16:23 etc /
drwxr-xr-x 10 root system 512 5 juni 10:54 pub /
Alle filer og link biblioteker, især dem, der bruger FTP dæmonen og dem i ~ ftp / bin og ~ ftp / etc i den fil skal se ud som i eksemplet ovenfor den mappe til at gøre det samme beskyttelse. Ud over disse filer og linke biblioteker bør ikke ftp-konto eller ftp konto ejet af den samme gruppe, men også at forhindre skrive.
Vi anbefaler kraftigt, at websteder ikke anvender systemet / etc / passwd som ~ ftp / etc bibliotek eller systemet password filen / etc / group som ~ ftp / etc i gruppen fil. I ~ ftp / etc at placere disse filer vil forårsage ubuden gæst for at få dem. Disse dokumenter er tilgængelige fra sættet, og ikke anvendes til adgangskontrol.
Vi anbefaler, at du ~ ftp / etc / passwd og ~ ftp / etc / group fil til brug i stedet for. Disse filer skal være ejet af root. DIR kommando vil bruge dette i stedet for den fil til at vise filen og mappen ejer og gruppens navn. Site til at bestemme ~ / ftp / etc / passwd filen indeholder ikke noget system / etc / passwd filen det samme kontonavn. Disse filer bør indeholde skal kun vise FTP-filer og mappe hierarki af ejeren og deres gruppe navn. Hertil kommer, at bestemme password feltet er "efterbehandling" før. For eksempel bruger "*" for at erstatte den password feltet.
Nedenstående er CERT i det anonyme ftp password fil eksempel
ssphwg: *: 3144:20: Site Konkrete politiske håndbog arbejdsgruppen::
betjente: *: 3271:20: COPS Distribution::
cert: *: 9920:20: CERT::
værktøjer: *: 9921:20: CERT Værktøjer::
ftp: *: 9922:90: Anonym FTP::
NIST: *: 9923:90: NIST Files::
Følgende CERT filer i den anonyme ftp eksempel gruppe
cert: *: 20:
ftp: *: 90:
. I Deres anonym ftp bibliotek skriftligt
Til en anonym ftp service giver brugerne mulighed for at gemme filer er en risiko. Vi kraftigste råde til ikke automatisk at oprette en hjemmeside upload mappe, medmindre det skønnes de tilknyttede risici. CERT / CC har modtaget mange rapporter om begivenheder ved hjælp af upload mappe forårsaget ulovlig overførsel af copyright software eller udveksling af brugernavn og password for begivenheden. Også modtaget en ondsindet fil til kunstvanding system forårsaget denialof service indberettede problemer.
Dette afsnit om brugen af tre metoder til at løse dette problem. Den første metode er at bruge en modificeret ud FTP dæmonen. Den anden metode er at give en bestemt mappe til at skrive restriktioner. Den tredje metode er at bruge en separat mappe.
Ved den modificerede FTP dæmonen
Hvis dit websted har planer om at give mappen bruges til fil upload, anbefaler vi brug af den modificerede FTP dæmonen på filen upload mappe til at gøre adgangskontrol. Dette er for at undgå unødvendige bedste måde at skrive regionen. Her er nogle forslag:
1. Limit den uploadede fil ikke kan tilgås, tilsættes så efter at have testet af systemadministratoren, Som for et passende sted for folk at downloade.
2. Begrænse størrelsen af hver linje for at uploade data.
3. I overensstemmelse med eksisterende disk størrelse begrænser mængden af data overførsel.
4. Øge log registre for at opdage uhensigtsmæssig brug af forskud.
Hvis du ønsker at ændre FTP dæmonen, bør du være i stand til at få koden fra producenten, eller du kan få fra følgende steder open source FTP program:
wuarchive.wustl.edu ~ ftp / packages / wuarchive-ftpd
ftp.uu.net ~ ftp / systemer / unix / bsd-sources / libexec / ftpd
gatekeeper.dec.com ~ ftp / pub / DEC / gwtools / ftpd.tar.Z
Ikke formelt henvises til FTP dæmonen til at gøre afprøvning, vurdering eller godkendelse. Hvad FTP daemon til brug for den enkelte bruger eller organisation er ansvarlig for beslutninger, CERT / CC anbefaler, at hver myndighed til at bruge disse programmer, før du installerer, lave en grundig evaluering.
Brug bibliotek beskyttelse
Hvis du ønsker at uploade til din FTP står til at levere tjenesteydelser, og du behøver ikke finde en måde at ændre FTP dæmonen, kan vi bruge mere kompleks mappestruktur til at kontrollere adgangen. Denne metode kræver forudgående planlægning og kan ikke være 100% FTP kan skrives for at forhindre misbrug af regionen var, men mange stationer stadig bruge denne metode til FTP.
For at beskytte toppen af bibliotek (~ ftp / indkommende), vi kun give anonyme brugere adgang til den mappe tilladelser (chmod 751 ~ ftp / indkommende). Denne aktion vil gøre det muligt for brugere at ændre mappeplaceringen (cd), men tillader ikke brugere at se kataloget indholdet. Ex: drwxr-x - x 4 rodsystem 512 11 jun 13:29 indgående /
I ~ ftp / indkommende bruge nogle mappenavn du giver dem mulighed for at uploade kun dem, der kender. For at lade andre mennesker er ikke let at gætte mappenavn, kan vi opstille password regler for at indstille mappenavn. Undlad venligst at bruge dette eksempel på mappenavnet (for at undgå, er mennesker, der finder dit mappenavn, og uploade filer) drwxr-x-wx 10 rodsystem 512 11 jun 13:54 jAjwUth2 /
drwxr-x-wx 10 rodsystem 512 11 jun 13:54 MhaLL-iF /
Meget vigtigt punkt er, at når mappenavnet som forsætligt eller uforsætligt sive ud, så denne metode ville ingen beskyttelse. Så længe mappenavn er de fleste mennesker kender, kan du ikke beskytte dem, der ønsker at begrænse brugen af området. Hvis mappen navn er du ved, du er nødt til at vælge at fjerne eller ændre denne mappe navn.
Brug kun én harddisk
Hvis du ønsker at uploade til din FTP står til at levere tjenesteydelser, og du behøver ikke finde en måde at ændre FTP dæmonen, kan du uploade orientering for alle koncentreret i et enkelt link (mount) i ~ ftp / indgående på filsystemet . Hvis jeg kan, til en separat harddisk hænge (mount) i ~ ftp / indgående om. Systemadministratorer bør fortsætte med at se denne mappe (~ ftp / indkommende), så biblioteket kan uploades at vide, om der er et åbent spørgsmål.
Begræns FTP bruger biblioteket
Anonym FTP brugere kan være godt kun begrænses inden for rammerne af bestemmelserne i den mappe, men den formelle standard FTP brugeren vil ikke blive begrænset, så han er fri i rodmappen, system bibliotek, et bibliotek af andre brugere til at læse Nogle tillader andre brugere at læse dokumenter.
Hvordan kan brugeren angive de samme restriktioner som den anonyme bruger i deres egen mappe? Her er vores røde hat og wu-ftp som et eksempel til at gøre en introduktion.
1 til at oprette en gruppe med groupadd kommando, kan den almindelige bruger ftp-koncernen, eller enhver gruppe navn.
----- Related kommando: groupadd ftpuser
----- Relaterede dokumenter: / etc / group
----- Hjælp: Mand groupadd
2 Opret en bruger, som testuser, kan brugeren oprette adduser kommandoen. Hvis du tidligere har oprettet en testuser brugeren direkte kan redigere / etc / passwd filen til brugeren at ftpuser denne gruppe.
----- Related kommando: adduser testuser-g ftpuser
----- Relaterede dokumenter: / etc / passwd
----- Hjælp: Mand adduser
3 ændre / etc / ftpaccess fil og tilføjer guestgroup definition: guestgroup ftpuser jeg var en sådan ændring, og tilføjede de sidste 5 rækker komprimere ja alle
tar ja alle
chmod ingen anonyme
slette ikke anonym
overskrive ingen anonyme
omdøbe ingen anonyme
chmod ja gæst
slette ja gæst
overskrive ja gæst
omdøbe ja gæst
guestgroup ftpuser
Tilføj guestgroup ftpuser Ud over denne linje, bør de øvrige fire linjer tilføjes, ellers bruger efter landing, selv om brugeren ikke kan nå målet om at vende tilbage til rodbiblioteket, men kan kun uploade, kan ikke overskrive, slette filer!
----- Related kommando: vi / etc / ftpaccess
----- Relaterede dokumenter: / etc / ftpaccess
----- Hjælp: Mand ftpaccess, mand chroot
4 til brugerens rodmappe kopi de nødvendige filer, kopiere ftp server, der kommer med bibliotek, / home / ftp / under bin, lib kopi to mapper til brugerens rodmappen, fordi nogle kommandoer (hovedsagelig ls) har brug Lib støtte, eller ikke notering af telefonbøger og filer.
----- Related kommando: cp-rf / home / ftp / lib / home / testuser; cp-rf / home / ftp / bin / home / testuser
5 Heller ikke glemme at slukke brugerens telnet ret, da vi ellers affald en oh. Hvordan tillader ikke brugere at telnet? Er enkel: i / etc / shells Riga line / dev / null, så kan du direkte redigere / etc / passwd fil, brugerens shell sat til / dev / null på den.
----- Related kommando: vi / etc / passwd
Dette trin kan skabes i trin 2, når en bruger først godt.
----- Related kommando: adduser testuser-g ftpuser-s / dev / null
Lidt erfaring: så længe / home / ftp lib mappe under bin og cp til / etc / skel bibliotek, efter den nye bruger vil automatisk CP bin og lib bibliotek for brugeren bibliotek, men du kan også tilføje public_html mappe og cgi -bin bibliotek.
Efter disse indstillinger, testuser brugeren alle FTP aktioner vil blive begrænset til hans / home / testuser bibliotek.