Sur le Web, FTP anonyme est un service très populaire, communément utilisés dans les sites de téléchargement de logiciels, logiciels, sites web, la communication, les services FTP anonymes pour améliorer le processus d'ouverture de sécurité, nous avons un débat sur cette question.
Ce qui suit est la configuration de nombreux sites de l'expérience passée et a proposé la formation. Nous pensons que nous pouvons faire individuels
Le site a des exigences différentes série de choix.
Set FTP anonyme
A. FTP daemon
Site doit déterminer le courant en utilisant la dernière version du démon FTP.
Ensemble B anonymes répertoire FTP
Anonyme répertoire racine FTP (~ ftp) et ses sous-répertoires pour les titulaires de comptes FTP ne peut pas, ou le même groupe avec le compte ftp. C'est
problème général de configuration courants. Si ces répertoires sont ftp ou ftp compte appartenant au même groupe, ils n'ont pas fait un bon travail pour empêcher la protection en écriture, dans lequel l'intrus peut augmenter le fichier (par exemple: fichier. Rhosts) ou de modifier d'autres fichiers. De nombreux sites? Ville, indiquant que son compte OOT manteau Xiong. Autoriser les connexions anonymes répertoire racine FTP et sous-répertoires appartenant à root, leur origine ethnique (en groupe) pour le système? ⑾ décodage ù Ai ∪? Comme chmod 0755), de sorte que seul root a le pouvoir écrire, ce qui peut vous aider à maintenir le FTP services, la sécurité? ?
Ce qui suit est un répertoire ftp anonyme à donner l'exemple:
drwxr-xr-x root système 7 512 1 mars 15:17. /
drwxr-xr-x root système de 25 512 le 4 janvier 11h30 ... ... /
drwxr-xr-x root système de 2 512 le 20 décembre 15h43 bin /
drwxr-xr-x root système de 2 512 le 12 mars 16h23 etc /
drwxr-xr-x root système de 10 512 le 5 juin 10h54 pub /
Tous les fichiers et les bibliothèques de liens, en particulier ceux qui utilisent le démon FTP et ceux dans ~ ftp / bin et ~ ftp / etc dans le fichier devrait ressembler à l'exemple ci-dessus dans le répertoire de faire la même protection. En plus de ces fichiers et les bibliothèques de liens ne doit pas être compte ftp ou ftp compte appartenant au même groupe, mais aussi pour éviter la radiation.
Nous recommandons fortement que les sites ne pas utiliser le système de fichier / etc / passwd ftp comme répertoire ~ / etc ou le fichier de mot de passe système / etc / group comme ~ ftp / etc dans le fichier de groupe. Dans le ftp répertoire ~ / etc au lieu de ces fichiers provoquera l'intrus pour les obtenir. Ces documents sont disponibles auprès de l'ensemble et non utilisés pour le contrôle d'accès.
Nous vous conseillons de ~ ftp / etc / passwd et ~ ftp / etc / group de fichier à utiliser au lieu de. Ces fichiers doivent appartenir à la racine. commande DIR seront utiliser à la place du fichier à afficher le fichier et propriétaire du répertoire et le nom du groupe. Site pour déterminer ~ / ftp / etc / passwd ne contient pas de système de fichier / etc / passwd le même nom de compte. Ces fichiers doivent contenir uniquement besoin d'afficher les fichiers FTP et la hiérarchie des répertoires du propriétaire et de nom de leur groupe. En outre, pour déterminer le champ mot de passe est "finition" avant. Par exemple, utilisez "*" pour remplacer le champ mot de passe.
Ce qui suit est le CERT dans le fichier d'exemple mot de passe FTP anonyme
ssphwg: *: 3144:20: site spécifique de la politique du Groupe de travail manuel::
flics: *: 3271:20: Distribution COPS::
CERT: *: 9920:20: CERT::
Outils: *: 9921:20: CERT Outils::
ftp: *: 9922:90: FTP Anonyme::
NIST: *: 9923:90: NIST Files::
Les fichiers cert suivantes dans le groupe par exemple FTP anonyme
CERT: *: 20:
ftp: *: 90:
. Dans votre répertoire ftp anonyme par écrit
Pour un service FTP anonyme permet aux utilisateurs de stocker des fichiers est un risque existe. Nous conseillons fortement de ne pas créer automatiquement un répertoire de téléchargement web site, sauf s'il est tenu compte des risques associés. CERT / CC a reçu de nombreux rapports d'événements en utilisant le répertoire de téléchargement causé le transfert illégal de logiciels ou d'échange de droits d'auteur nom d'utilisateur et mot de passe de l'événement. A également reçu un fichier malveillant dans le système d'irrigation a causé des problèmes de service denialof signalé.
Cette section sur l'utilisation de trois méthodes pour résoudre ce problème. La première méthode consiste à utiliser une modification hors le démon FTP. La deuxième méthode est de fournir un répertoire spécifique pour écrire des restrictions. La troisième méthode consiste à utiliser un répertoire distinct.
Par le démon modification de FTP
Si votre site prévoit de fournir répertoire utilisé pour transférer le fichier, nous vous recommandons l'utilisation de la modification par le démon FTP sur le répertoire d'upload de fichier pour faire du contrôle d'accès. Il s'agit d'éviter d'inutiles meilleure façon d'écrire de la région. Voici quelques suggestions:
1. Limitez le fichier téléchargé ne peut pas être consulté, alors après l'essai par l'administrateur système, ajouter Quant à l'endroit approprié pour les personnes à télécharger.
2. Limiter la taille de chaque ligne pour télécharger des données.
3. Conformément à la taille du disque en vigueur limite le montant de transfert de données.
4. Augmenter les enregistrements du journal pour découvrir l'utilisation inappropriée de l'avance.
Si vous souhaitez modifier le démon FTP, vous devriez être en mesure d'obtenir le code du fabricant, ou vous pouvez obtenir à partir des emplacements suivants open source logiciel FTP:
wuarchive.wustl.edu ~ ftp / packages / wuarchive-ftpd
ftp.uu.net ~ ftp / systèmes / Unix / BSD-sources / libexec / ftpd
~ ftp gatekeeper.dec.com / pub / DEC / gwtools / ftpd.tar.Z
Pas formellement mentionné au démon FTP pour faire le test, d'évaluation ou d'approbation. Quel démon FTP à utiliser par chaque utilisateur ou de l'organisation est responsable des décisions, CERT / CC recommande que chaque autorité d'utiliser ces programmes avant d'installer, faire une évaluation approfondie.
Utilisez la protection de répertoire
Si vous souhaitez télécharger sur votre stand FTP pour fournir les services et vous ne trouvez pas un moyen de modifier que le démon FTP, nous pouvons utiliser la structure de répertoires plus complexes de contrôle d'accès. Cette méthode exige une planification préalable et ne peut pas être 100% FTP peut être écrit pour éviter l'utilisation abusive de la région a été, mais de nombreuses stations utilisent encore cette méthode de FTP.
Afin de protéger le haut de l'annuaire (~ ftp / incoming), nous ne donnons l'accès anonyme aux utilisateurs de les permissions du répertoire (chmod 751 ~ ftp / incoming). Cette action permettra aux utilisateurs de modifier l'emplacement du répertoire (cd), mais ne permet pas aux utilisateurs de visualiser le contenu du répertoire. Ex: drwxr-x - x 4 système de racine de 512 le 11 juin 13h29 entrants /
Dans le ~ ftp / incoming en utilisant des nom de répertoire que vous leur permettre de ne télécharger que ceux qui savent. Afin de laisser d'autres personnes n'est pas facile à deviner le nom du répertoire, on peut établir des règles de mot de passe pour définir le nom du répertoire. S'il vous plaît ne pas utiliser cet exemple du nom de répertoire (à éviter sont les personnes qui trouvent le nom de votre répertoire, et transférer des fichiers) drwxr-x-wx 10 Système de racine de 512 le 11 juin 13h54 jAjwUth2 /
drwxr-x-wx 10 Système de racine de 512 le 11 juin 13h54-MhaLL si /
Très point important est qu'une fois le nom du répertoire à intentionnellement ou non des fuites, cette méthode serait d'aucune protection. Tant que le nom du répertoire est la plupart des gens savent, vous ne pouvez pas protéger ceux qui veulent limiter l'utilisation de l'espace. Si le nom du répertoire est vous le savez, vous devez choisir de supprimer ou de changer ce nom de répertoire.
Utiliser un seul disque dur
Si vous souhaitez télécharger sur votre stand FTP pour fournir le service, mais j'ai un moyen de modifier le démon FTP, vous pouvez télécharger l'information de tous concentrés dans un seul lien (mount) dans ~ ftp / incoming sur le système de fichiers . Si je peux, sur un disque dur séparé bloquer (monter) dans ~ ftp / incoming sur. Les administrateurs système doivent continuer à afficher ce répertoire (~ ftp / incoming), de sorte que le répertoire peut être transféré à savoir s'il ya une question ouverte.
Restreindre l'utilisateur répertoire FTP
Anonyme utilisateurs FTP peut être bien limitée que dans le cadre des dispositions de l'annuaire, mais le défaut formelle utilisateur FTP ne sera pas limitée, alors il est libre dans le répertoire racine, le répertoire système, un répertoire des autres utilisateurs de lire Certains permettre aux autres utilisateurs de lire des documents.
Comment l'utilisateur de spécifier les mêmes restrictions que l'utilisateur anonyme dans leur propre répertoire? Voici notre chapeau rouge et wu-ftp comme un exemple de faire une introduction.
1 pour créer un groupe avec la commande groupadd, le général ne pouvait utiliser le groupe ftp, ou tout autre nom de groupe.
----- Connexes commande: groupadd ftpuser
----- Documents connexes: / etc / group
----- Aide: homme groupadd
2 Créez un utilisateur, tels que testuser, l'utilisateur peut configurer commande adduser. Si vous avez déjà créé un testuser l'utilisateur peut éditer directement le fichier / etc / passwd pour l'utilisateur de ftpuser ce groupe.
----- Connexes commande: adduser ftpuser testuser-g
----- Documents connexes: / etc / passwd
----- Aide: adduser homme
3 Modifier fichier / etc / ftpaccess, ajoutant guestgroup définition: ftpuser guestgroup j'étais un tel changement, et a ajouté les 5 dernières lignes de compresser tous les oui
tar oui tous
chmod pas anonymes
supprimer pas anonymes
écraser pas anonymes
renommez pas anonymes
chmod oui guest
Scores supprimer oui
Oui remplacer guest
renommer oui guest
guestgroup ftpuser
Ajouter guestgroup ftpuser plus de cette ligne, les quatre autres lignes doivent être ajoutées, sans quoi l'utilisateur après l'atterrissage, même si l'utilisateur ne peut pas atteindre l'objectif de retour au répertoire parent, mais ne peut télécharger, ne peut pas écraser, effacer des fichiers!
----- Connexes de commande: vi / etc / ftpaccess
----- Documents connexes: / etc / ftpaccess
----- Aide: ftpaccess l'homme, l'homme chroot
4 à l'utilisateur copie le répertoire racine les fichiers nécessaires, serveur ftp copie qui vient avec le répertoire, le répertoire / home / ftp / dans le cadre du bin, copiez lib deux répertoires dans le répertoire racine de l'utilisateur, car certaines commandes (essentiellement ls) ont besoin de soutien Lib, ou non la liste des répertoires et des fichiers.
----- Connexes commande: cp-rf / home / ftp / lib / home / testuser; cp-rf / home / ftp / bin / home / testuser
5 Aussi n'oubliez pas de désactiver telnet droit de l'utilisateur, sinon on perd oh. Comment ne pas permettre aux utilisateurs de telnet? Est simple: dans / ligne / etc obus Riga / dev / null, vous pouvez directement éditer le fichier / etc / passwd, shell de l'utilisateur sur / dev / null à ce sujet.
----- Connexes de commande: vi / etc / passwd
Cette étape peut être créé à l'étape 2, lorsque l'utilisateur le premier puits.
----- Connexes commande: adduser ftpuser testuser-g-s / dev / null
Peu d'expérience: tant que le répertoire / home / ftp lib sous le bac et cp / etc / skel, après le nouvel utilisateur sera automatiquement bin et le répertoire lib dans le répertoire de l'utilisateur PC, bien sûr, vous pouvez ajouter le répertoire public_html et CGI répertoire de la poubelle.
Après ces réglages, l'utilisateur testuser toutes les actions FTP sera limitée à son / home répertoire testuser /.