Auf der Web-, FTP anonym ist ein sehr beliebter Dienst, meist in der Software-Download-Sites, Software, Websites, Kommunikation, anonyme FTP-Dienste verwendet, um den Prozess der Öffnung Sicherheit zu erhöhen, haben wir einige Diskussion über dieses Thema.
Das Folgende ist die Einrichtung von vielen Seiten aus den bisherigen Erfahrungen und schlug die Bildung. Wir denken, wir können einzelne
Die Seite hat andere Anforderungen festgelegt Wahl.
Set anonymen FTP
A. FTP Daemon
Site muss für die aktuelle Verwendung der neuesten Version des FTP-Daemon.
B gesetzt anonyme FTP-Verzeichnis
Anonymous FTP-Root-Verzeichnis (~ ftp) und dessen Unterverzeichnisse für den FTP-Kontoinhabern können nicht, oder die gleiche Gruppe mit dem FTP-Account. Dies ist
Allgemein übliche Konfiguration Problem. Wenn diese Verzeichnisse FTP oder FTP-Account von der gleichen Gruppe im Besitz sind, haben sie nicht einen guten Job zu verhindern, den Schreibschutz, in dem der Eindringling zu erhöhen kann die Datei (zum Beispiel:. Rhosts) oder andere Dateien zu modifizieren. Viele Websites? City, darauf hinweist, dass Mantel Xiong oot Konto. Allow anonymous FTP Root-Verzeichnis und Unterverzeichnisse, die Root gehören, ihrer ethnischen (Gruppe) für das System? ⑾ Decoding ù Ai ∪? Wie chmod 0755), so dass nur root Schreibzugriff hat Macht, die Ihnen helfen, den FTP können Dienstleistungen, Sicherheit? ?
Das folgende ist ein anonymer FTP-Verzeichnis ein Beispiel geben:
drwxr-xr-x 7 root-System 512 1. März 15:17. /
drwxr-xr-x 25 root-System 512 4. Januar 11.30 Uhr ... ... /
drwxr-xr-x 2 root-System 512 20. Dezember 15.43 Uhr bin /
drwxr-xr-x 2 root-System 512 12. März 16.23 etc /
drwxr-xr-x 10 root-System 512 5. Juni 10.54 pub /
Alle Dateien und Link-Bibliotheken, insbesondere solche mit FTP-Daemon und die in ~ ftp / bin und ~ ftp / etc in der Datei sollte wie im obigen Beispiel das Verzeichnis auf den gleichen Schutz aussehen. Zusätzlich zu diesen Dateien und Link Libraries sollten nicht ftp-Account oder FTP-Account von der gleichen Gruppe gehören, sondern auch zu verhindern, zu schreiben.
Wir empfehlen dringend, dass Websites nicht nutzen das System / etc / passwd als ~ ftp / etc-Verzeichnis oder das System-Passwort-Datei / etc / group als ~ ftp / etc-Verzeichnis in der Datei group. In die ~ ftp / etc-Verzeichnis, um diese Dateien Ort wird der Eindringling führen, um sie zu erhalten. Diese Dokumente werden aus der Menge verfügbar und nicht für die Zutrittskontrolle verwendet.
Wir empfehlen Ihnen, ftp ~ / etc / passwd und ~ ftp / etc / group-Datei zu verwenden, statt. Diese Dateien müssen mit der Wurzel gehören. DIR-Befehl wird diese anstelle der Datei verwenden, um die Datei-und Verzeichnis-Eigentümer und die Gruppe Name angezeigt. Site auf ~ / ftp / etc / passwd-Datei enthält keine system / etc / passwd der gleichen Kontonamen Datei zu bestimmen. Diese Dateien enthalten sollte nur noch die FTP-Dateien anzeigen und Verzeichnis-Hierarchie des Eigentümers und deren Namen der Gruppe. Darüber hinaus wird das Passwort-Feld zu bestimmen, ist "Finishing" vor. Verwenden Sie zum Beispiel "*", um das Passwort-Feld ersetzen.
Die folgenden ist das CERT in den anonymen FTP-Passwort-Datei beispielsweise
ssphwg: *: 3144:20: Site Specific Policy Handbook Working Group::
Bullen: *: 3271:20: COPS Distribution:
CERT: *: 9920:20: CERT:
Tools *: 9921:20: CERT Tools::
ftp: *: 9922:90: Anonymous FTP:
NIST: *: 9923:90: NIST-Dateien:
Die folgenden Dateien cert in den anonymen FTP-Gruppe B.
cert: *: 20:
ftp: *: 90:
. In Ihrem anonymen FTP-Verzeichnis auf schriftliche
Um einen anonymen FTP-Dienst ermöglicht es Benutzern, Dateien zu speichern ist ein Risiko besteht. Wir raten nicht automatisch eine Website erstellen, Upload-Verzeichnis, es sei denn, die damit verbundenen Risiken betrachtet. CERT / CC hat viele Berichte von Veranstaltungen mit dem Upload-Verzeichnis erhalten verursacht die illegale Übertragung von Urheberrechten Software oder Austausch von Benutzername und Kennwort der Veranstaltung. Außerdem erhielt das System Datei böswillig verursacht gefüllt denialof Service-Probleme.
Dieser Abschnitt über den Einsatz der drei Methoden, um dieses Problem zu lösen. Die erste Methode ist die Verwendung eines von der FTP-Daemon geändert. Die zweite Methode ist in ein bestimmtes Verzeichnis stellen Beschränkungen zu schreiben. Die dritte Methode ist in einem separaten Verzeichnis zu verwenden.
Mit der modifizierten FTP-Daemon
Wenn Ihre Website will Verzeichnis zum Hochladen von Dateien verwendet liefern, empfehlen wir die Verwendung der durch die modifizierten FTP-Daemon auf dem Datei-Upload-Verzeichnis die Zugriffskontrolle zu tun. Dies ist, um unnötige beste Weg, um die Region zu schreiben vermeiden. Hier sind einige Vorschläge:
1. Begrenzen Sie die hochgeladene Datei kann nicht zugegriffen werden, so dass nach der Prüfung durch den Systemadministrator, wie für den geeigneten Ort für die Menschen zum Download hinzufügen.
2. Beschränken Sie die Größe jeder Zeile zum Hochladen von Daten.
3. In Übereinstimmung mit den bestehenden Festplattengröße begrenzt die Menge an Daten übertragen.
4. Steigern Sie die Protokolleinträge auf unsachgemäßen Gebrauch des Vorschusses zu entdecken.
Wenn Sie den FTP-Daemon ändern möchten, sollten Sie in der Lage sein, den Code direkt vom Anbieter zu erhalten, oder Sie können unter den folgenden Adressen zu erhalten Open-Source FTP-Programm:
wuarchive.wustl.edu ~ ftp / packages / wuarchive-ftpd
ftp.uu.net ~ ftp / Systeme / Unix / BSD-Quellen / libexec / ftpd
gatekeeper.dec.com ~ ftp / pub / DEC / gwtools / ftpd.tar.Z
Formal nicht auf den FTP-Daemon verwies auf die Prüfung, Bewertung oder Bestätigung zu tun. Was FTP Daemon von jedem Benutzer oder eine Organisation verwenden ist zuständig für Entscheidungen, CERT / CC empfiehlt, dass jede Behörde für diese Programme installieren, bevor Sie verwenden, müssen einer gründlichen Evaluierung.
Verwenden Sie das Verzeichnis Schutz
Wenn Sie zu Ihrem FTP-Upload stehen zur Erbringung der Dienstleistung wollen, aber ich habe einen Weg auf den FTP-Daemon zu ändern haben, können wir komplexere Verzeichnis-Struktur um den Zugang zu kontrollieren. Diese Methode erfordert eine vorausschauende Planung und kann nicht 100% FTP geschrieben, um missbräuchliche Verwendung der Region zu verhindern werden kann, aber viele Stationen noch mit dieser Methode der FTP.
In Hinblick auf den Schutz der Spitze des Verzeichnisses (~ ftp / incoming), geben wir nur anonyme Benutzer Zugriff auf das Verzeichnis (chmod 751 ~ ftp / incoming). Diese Aktion ermöglicht es Benutzern, das Verzeichnis Lage (cd) zu ändern, aber nicht damit Benutzer den Inhalt des Verzeichnisses anzuzeigen. Ex: drwxr-x - x 4 root-System 512 11 Juni 13.29 incoming /
In die ~ ftp / incoming-Verzeichnis mit einigen Namen man ihnen erlauben nur diejenigen, die wissen, hochladen. Um andere Menschen lassen ist nicht leicht zu erraten, den Namen des Verzeichnisses, können wir Passwort-Regeln, die Verzeichnis-Namen gesetzt. Bitte verwenden Sie nicht dieses Beispiel der Verzeichnis-Name (zur Vermeidung gibt Leute, die Ihren Verzeichnis-Namen zu finden, und Dateien hochladen) drwxr-x-WX 10 Root-System 512 11 Juni 13.54 jAjwUth2 /
drwxr-x-WX 10 Root-System 512 11 Juni 13.54 MhaLL-IF /
Sehr wichtiger Punkt ist, dass einmal den Namen des Verzeichnisses absichtlich oder unabsichtlich werden austreten, dann würde diese Methode keinen Schutz. Solange der Verzeichnis-Name ist den meisten Menschen kennen, können Sie nicht schützen diejenigen, die die Nutzung des Gebiets beschränken wollen. Wenn das Verzeichnis Name ist Sie wissen, Sie haben zu wählen, zu entfernen oder zu ändern, dass Verzeichnis-Namen.
Verwenden Sie nur eine Festplatte
Wenn Sie zu Ihrem FTP stehen Upload zu erbringen wollen, und Sie müssen nicht einen Weg finden, auf den FTP-Daemon zu ändern, können Sie laden Sie die Informationen aller in einem einzigen Link (mount) in ~ ftp konzentrierten / incoming auf dem Dateisystem . Wenn ich kann, auf einer separaten Festplatte hängen (mount) in ~ ftp / incoming auf. Systemadministratoren sollten auch weiterhin auf dieses Verzeichnis (~ ftp / incoming Profil), so kann das Verzeichnis hochgeladen zu wissen, ob es eine offene Frage sein.
Beschränken FTP-Benutzer-Verzeichnis
Anonyme FTP-Benutzer können auch nur im Rahmen der Bestimmungen des Verzeichnisses beschränkt sein, sondern die formale Standard-FTP-Benutzer wird nicht eingeschränkt werden, so dass er frei in der Root-Verzeichnis, System-Verzeichnis, ein Verzeichnis der anderen Nutzer zu lesen ist Einige damit andere Benutzer Dokumente zu lesen.
Wie kann der Benutzer angeben, die gleichen Einschränkungen wie der anonyme Benutzer in ihrem eigenen Verzeichnis? Hier ist unsere Red Hat und wu-ftp als Beispiel für eine Einführung zu tun.
1, um eine Gruppe mit groupadd-Kommando, der General konnte den FTP-Gruppe oder einer Gruppe zu verwenden.
----- Verwandter Befehl: groupadd ftpuser
----- Dokumente zum Thema: / etc / group
----- Hilfe: Mann groupadd
2 Erstellen Sie einen Benutzer, wie zB testuser, kann der Benutzer einzurichten adduser-Kommando. Wenn Sie zuvor einen testuser kann der Anwender direkt die Datei / etc / passwd-Datei an den Benutzer zu dieser Gruppe ftpuser etabliert.
----- Stehende Kommando: adduser testuser-g ftpuser
----- Dokumente zum Thema: / etc / passwd
----- Hilfe: Mann adduser
3 Ändern / etc / ftpaccess, indem guestgroup Definition: guestgroup ftpuser Ich war so zu ändern, hat die letzten 5 Zeilen komprimiert ja alle
tar ja alle
chmod keine anonymen
Löschen Sie keine anonyme
überschreibt keine anonymen
Benennen Sie keine anonyme
chmod Ja Bewertung
Ja löschen Gast
Ja überschreiben Gast
Ja umbenennen Gast
guestgroup ftpuser
Add ftpuser Neben dieser Linie guestgroup, sollten die anderen vier Zeilen hinzugefügt werden, da sonst der Benutzer nach der Landung, obwohl der Benutzer nicht erreichen kann, den Zweck der Rückkehr in das übergeordnete Verzeichnis, sondern kann nur hochladen, können Sie nicht überschreiben, löschen Dateien!
----- Verwandter Befehl: vi / etc / ftpaccess
----- Dokumente zum Thema: / etc / ftpaccess
----- Hilfe: Mann ftpaccess, Mann chroot
4 bis der Benutzer das Root-Verzeichnis kopieren Sie die erforderlichen Dateien, FTP-Server kopieren, die mit Verzeichnis kommt, die / home / ftp / unter der bin, lib kopieren zwei Verzeichnisse für den Benutzer Root-Verzeichnis, weil einige Befehle (hauptsächlich ls) müssen Lib unterstützen, oder nicht Inserat von Verzeichnissen und Dateien.
----- Verwandter Befehl: cp-rf / home / ftp / lib-home / testuser; cp-rf / home / ftp / bin / home / testuser
5. Und vergessen Sie nicht, schalten Sie den Telnet-Benutzer-Recht, da wir sonst verschwenden oh. Wie nicht erlauben Benutzern, Telnet? Ist einfach: in / etc / shells Linie Riga / dev / null, dann können Sie direkt bearbeiten / etc / passwd, die Shell des Benutzers auf / dev / null auf sie.
----- Verwandter Befehl: vi / etc / passwd
Dieser Schritt kann in Schritt 2, wenn ein Benutzer zum ersten Mal auch angelegt werden.
----- Stehende Kommando: adduser testuser-g ftpuser-s / dev / null
Wenig Erfahrung: solange die / home / ftp-Verzeichnis unter bin und lib cp / etc / skel-Verzeichnis, nachdem der neue Benutzer wird automatisch CP bin und lib Verzeichnis, Benutzer-Verzeichnis, natürlich public_html Verzeichnis hinzufügen können und cgi -bin-Verzeichnis.
Nachdem Sie diese Einstellungen, den Benutzer testuser alle FTP-Aktionen wird zu seinem / home / testuser Verzeichnis beschränkt werden.