En la Web, FTP anónimo es un servicio muy popular, de uso común en sitios de descarga de software, sitios web de software compartido, servicios de FTP anónimo para mejorar el proceso de apertura de seguridad, tenemos un debate sobre esta cuestión.
La siguiente es la configuración de muchos sitios de la experiencia del pasado y propuso la formación. Creemos que podemos hacer cada
El sitio tiene diferentes requisitos establecidos elección.
Establecer FTP anónimo
A. FTP demonio
El sitio debe determinar la corriente utilizando la última versión del demonio FTP.
Conjunto B directorio FTP anónimo
Anónimo directorio raíz de ftp (~ ftp) y sus subdirectorios no se puede titular de la cuenta ftp, o el mismo grupo con la cuenta de ftp. Es
General problema de configuración comunes. Si estos directorios FTP o una cuenta ftp propiedad del mismo grupo, no lo han hecho para evitar que la protección contra escritura, en la que el intruso puede aumentar el archivo (por ejemplo: el archivo. Rhosts) o modificar otros archivos. Muchos sitios de web? Ciudad, indicando que cuenta oot Xiong abrigo. Permita que el directorio raíz de FTP anónimo y subdirectorios propiedad raíz, su origen étnico (grupo) para el sistema? ⑾ Decodificación ù Ai ∪? Como chmod 0755), para que sólo root tenga permiso de escritura de poder, que puede ayudarle a mantener el FTP servicios, la seguridad? ?
El siguiente es un directorio de ftp anónimo a un ejemplo:
drwxr-xr-x 7 sistema radicular 512 01 de marzo 15:17. /
drwxr-xr-x 25 raíz del sistema 512 04 de enero 11:30 ... ... /
drwxr-xr-x 2 512 raíz del sistema 20 de diciembre 15:43 bin /
drwxr-xr-x 2 raíz del sistema 512 12 de marzo 16:23 etc /
drwxr-xr-x 10 raíz del sistema 512 05 de junio 10:54 pub /
Todos los archivos y bibliotecas de vínculos, especialmente aquellos que utilizan demonio FTP y aquellos en ~ ftp / bin y ~ ftp / etc en el archivo debe ser similar al ejemplo anterior, el directorio para hacer la misma protección. Además de estos archivos y bibliotecas de enlace no se deben tomar en cuenta ftp ftp o propiedad del mismo grupo, sino también para evitar la escritura.
Es muy recomendable que los sitios no utilizan el sistema / etc / passwd como ~ ftp / etc directorio o el archivo de sistema de contraseñas / etc / group como ftp directorio ~ / etc en el archivo de grupo. En el ~ ftp / etc directorio para colocar estos archivos hará que el intruso para obtenerlos. Estos documentos están disponibles a partir del conjunto y no utilizados para el control de acceso.
Le recomendamos ~ ftp / etc / passwd y ~ ftp / etc / group para utilizar en lugar de. Estos archivos deben estar en manos de la raíz. comando DIR utilizará este en lugar del archivo para mostrar el archivo y el propietario del directorio y el nombre del grupo. Sitio para determinar ~ / ftp / etc / passwd no contiene ningún sistema / etc / passwd el mismo nombre de cuenta. Estos archivos deben contener sólo tendrá que mostrar los archivos de FTP y jerarquía de directorios del propietario y su nombre de grupo. Además, para determinar el campo de la contraseña es "terminar" antes. Por ejemplo, utilice "*" para sustituir el campo de contraseña.
El siguiente es el CERT en el ejemplo de archivo de ftp anónimo contraseña
ssphwg: *: 3144:20: Sitio Específico Manual de Políticas del Grupo de Trabajo::
policías: *: 3271:20: Distribución COPS::
CERT: *: 9920:20: CERT::
herramientas: *: 9921:20: CERT Herramientas::
ftp: *: 9922:90: FTP Anónimo::
NIST: *: 9923:90: NIST Archivos::
Los siguientes archivos de CERT en el grupo de ftp anónimos ejemplo
CERT: *: 20:
FTP: *: 90:
. En su directorio de ftp anónimo por escrito
Para un servicio de FTP anónimo permite a los usuarios almacenar archivos se corre el riesgo existe. Le recomendamos no crear automáticamente un sitio web directorio de carga, salvo que se considere los riesgos asociados. CERT / CC ha recibido numerosos informes de sucesos utilizando el directorio de carga causó la transferencia ilegal de software de intercambio de derechos de autor o nombre de usuario y la contraseña del evento. También recibió un archivo malintencionado a un sistema de riego causó problemas denialof informó el Servicio.
Esta sección sobre el uso de tres métodos para resolver este problema. El primer método consiste en utilizar una versión modificada fuera el demonio FTP. El segundo método consiste en proporcionar un directorio específico para escribir las restricciones. El tercer método es utilizar un directorio independiente.
Por la modificación demonio FTP
Si su sitio web tenga intención de realizar directorio utilizado para carga de archivos, recomendamos el uso de la modificada demonio de FTP en el directorio de subida de archivos para hacer el control de acceso. Esto es para evitar mejor manera innecesaria a escribir la región. He aquí algunas sugerencias:
1. Limitar el archivo cargado no se puede acceder, así que después de ensayos realizados por el administrador del sistema, agregue En cuanto al lugar apropiado para que la gente descarga.
2. Limitar el tamaño de cada línea para cargar los datos.
3. De acuerdo con el tamaño del disco los valores límite de la cantidad de datos.
4. Incrementar las entradas de registro para descubrir el uso inadecuado de antelación.
Si desea modificar el demonio de FTP, usted debería ser capaz para obtener el código del fabricante, o se puede obtener de las siguientes ubicaciones de código abierto programa de FTP:
wuarchive.wustl.edu ~ ftp / paquetes / wuarchive-ftpd
~ ftp ftp.uu.net / sistemas / unix / bsd-sources / libexec / ftpd
ftp gatekeeper.dec.com ~ / pub / DEC / gwtools / ftpd.tar.Z
No conoce de manera formal con el demonio de FTP para hacer la prueba, evaluación o aprobación. ¿Qué demonio de FTP para su uso por cada usuario u organización es responsable de las decisiones, CERT / CC recomienda que cada autoridad para usar estos programas antes de instalar, hacer una evaluación completa.
Usar la protección del directorio
Si quieres subir a su stand FTP para prestar los servicios, y no encuentra una forma para modificar el demonio FTP, podemos utilizar la estructura de directorios más complejo para controlar el acceso. Este método requiere una planificación anticipada y no puede ser 100% FTP puede ser escrito para evitar el uso indebido de la región, pero muchas estaciones todavía utilizan este método de FTP.
Con el fin de proteger la parte superior del directorio (~ ftp / incoming), no tenemos más que los usuarios anónimos en los permisos del directorio (chmod 751 ~ ftp / incoming). Esta acción permitirá a los usuarios para cambiar la ubicación del directorio (cd), pero no permite a los usuarios ver el contenido del directorio. Ejemplo: drwxr-x - x 4 raíz del sistema 512 11 de junio 13:29 entrantes /
En el ~ ftp / incoming usando un nombre de directorio que les permiten subir sólo los que saben. Con el fin de permitir que otras personas no es fácil de adivinar el nombre del directorio, podemos establecer las reglas de contraseña para establecer el nombre del directorio. Por favor no utilice este ejemplo del nombre del directorio (para evitar que la gente que encuentra el nombre del directorio, y subir archivos) drwxr-x-10 wx sistema radicular 512 11 de junio 13:54 jAjwUth2 /
drwxr-x-10 wx raíz del sistema 512 11 de junio 13:54 MhaLL-si /
punto muy importante es que una vez el nombre del directorio que intencionalmente o no filtrarse, a continuación, este método no protege. Mientras el nombre del directorio es la mayoría de la gente sabe, no puede proteger a aquellos que quieren limitar el uso de la zona. Si el nombre del directorio que se sabe, hay que elegir para quitar o cambiar el nombre de directorio.
Utilice sólo una unidad de disco duro
Si quieres subir a su stand FTP para prestar los servicios, y no encuentra una forma para modificar el demonio de FTP, puede subir la información de todos concentrados en un solo enlace (montar) en ~ ftp / entrantes en el sistema de archivos . Si puedo, en un disco duro independiente colgar (montar) en ~ ftp / entrante. Los administradores de sistemas deben seguir para acceder a este directorio (~ ftp / incoming), por lo que el directorio se pueden subir a saber si hay una pregunta abierta.
Restringir el directorio de usuario FTP
Anónimo usuarios de FTP puede estar muy restringida sólo dentro del ámbito de aplicación de las disposiciones del directorio, pero el defecto formal de usuario FTP no será restringida, por lo que es libre en el directorio raíz, el directorio de sistema, un directorio de otros usuarios a leer Algunos que otros usuarios puedan leer los documentos.
¿Cómo puede el usuario especifique las mismas restricciones que el usuario anónimo en su propio directorio? Aquí está nuestro sombrero rojo y ftp wu-como un ejemplo para hacer una introducción.
1 para crear un grupo con el comando groupadd, el general podía utilizar el grupo de ftp, o cualquier nombre de grupo.
----- Relacionada: ftpuser groupadd
----- Documentos relacionados: / etc / group
----- Ayuda: "el hombre groupadd
2 Cree un usuario, como testuser, el usuario puede configurar comando adduser. Si ya ha establecido un testuser el usuario puede editar directamente el archivo / etc / passwd para que el usuario ftpuser al grupo.
----- Relacionada: ftpuser testuser adduser-g
----- Documentos relacionados: / etc / passwd
----- Ayuda: adduser hombre
3 modifican archivo / etc / ftpaccess, añadiendo guestgroup definición: ftpuser guestgroup yo era un cambio, y añadió en los últimos 5 filas comprimir sí todos los
tar si todos los
chmod no anónimo
eliminar ningún anónimo
sobreescribir ningún anónimo
cambiar el nombre de ningún anónimo
chmod sí resultados
resultados eliminar sí
sobrescribir sí resultados
cambiar el nombre de sí resultados
guestgroup ftpuser
Añadir guestgroup ftpuser Además de esta línea, las otras cuatro líneas hay que añadir, de lo contrario el usuario después del aterrizaje, aunque el usuario no puede conseguir el objetivo de volver al directorio principal, pero puede subir solo, no puede sobrescribir, borrar archivos!
----- Relacionada: vi / etc / ftpaccess
----- Documentos relacionados: / etc / ftpaccess
----- Ayuda: ftpaccess hombre, el hombre chroot
4 a los usuarios copiar el directorio raíz los archivos necesarios, el servidor de copia ftp que viene con el directorio, el directorio / home / ftp / bajo el bin, copia lib dos directorios al directorio raíz del usuario, debido a que algunos comandos (principalmente ls) necesitan apoyo Lib, o no listado de directorios y archivos.
----- Relacionada: cp-rf / home / ftp / lib / home / testuser; cp-rf / home / ftp / bin / home / testuser
5 Tampoco se olvide de apagar el derecho del usuario de telnet, de lo contrario perdemos oh. ¿Cómo no se permite a los usuarios de telnet? Es simple: en / etc / shells línea de Riga / dev / null, entonces usted puede corregir directamente el archivo / etc / passwd, concha del usuario definido en / dev / null en él.
----- Relacionada: vi / etc / passwd
Este paso puede ser creado en el paso 2, cuando un usuario primero también.
----- Comandos relacionados: adduser s ftpuser testuser-g-/ dev / null
poca experiencia: siempre y cuando el directorio / home / ftp lib en el depósito y cp a / etc / skel, después de que el nuevo usuario automáticamente bin CP y el directorio lib al directorio de usuario, pero también puede agregar el directorio public_html y cgi -bin.
Después de estos ajustes, el usuario testuser todas las acciones FTP se limitará a su directorio / home / testuser.