Sul Web, FTP anonimo è un servizio molto popolare, comunemente utilizzati in siti di download di software, siti web di scambio, i servizi FTP anonimo per migliorare il processo di apertura di sicurezza, abbiamo qualche discussione su questo tema.
Il seguente è la configurazione di numerosi siti dalle esperienze precedenti e ha proposto la formazione. Pensiamo di poter presentare singole
Il sito ha esigenze diverse serie scelta.
Impostare FTP anonimo
A. demone FTP
Il sito deve determinare la corrente utilizzando l'ultima versione del demone FTP.
Insieme B directory FTP anonimo
Anonimo ftp directory root (~ ftp) e le sue sottodirectory per i titolari di account FTP non possono, o il gruppo stesso con l'account ftp. Questo è
Generale problema di configurazione comuni. Se queste sono le directory FTP o account FTP di proprietà del gruppo stesso, non ha fatto un buon lavoro per prevenire la protezione da scrittura, in cui l'intruso può aumentare il file (ad esempio: file. Rhosts) o modificare altri file. Molti siti? citta ', che indica che OoT cappotto Xiong account. Consenti anonimo root directory e sottodirectory FTP di proprietà di root, la loro etnia (gruppo) per il sistema? ⑾ decodifica ù Ai ∪? Come ad esempio chmod 0755), in modo che solo root abbia scrivere potere, che può aiutare a mantenere l'FTP servizi, sicurezza? ?
Il seguente è una directory FTP anonimo a dare l'esempio:
drwxr-xr-x 7 root di sistema 512 1 Marzo 15:17 /.
Drwxr-xr-x 25 root di sistema 512 4 Gennaio 11:30 ... ... /
Drwxr-xr-x 2 root del sistema 512 20 Dicembre 15:43 bin /
Drwxr-xr-x 2 root del sistema 512 12 Marzo 16:23 etc /
Drwxr-xr-x 10 root di sistema 512 5 Giugno 10:54 pub /
Tutti i file e le librerie di collegamento, in particolare quelli che utilizzano demone FTP e quelli in ~ ftp / bin e ~ ftp / etc nel file dovrebbe apparire come l'esempio sopra la directory di fare la stessa protezione. Oltre a questi file e librerie di collegamento non devono essere account FTP o account FTP di proprietà del gruppo stesso, ma anche per prevenire la scrittura.
Si consiglia vivamente che i siti non si utilizza il sistema / etc / passwd come ~ ftp directory / etc o il file delle password di sistema / etc / group come ~ ftp / etc nel file di gruppo. Nel ~ ftp directory / etc di inserire questi file causerà l'intruso per ottenerli. Questi documenti sono disponibili sul set e non utilizzati per il controllo accessi.
Vi raccomandiamo di ~ ftp / etc / passwd e ~ ftp / etc / group il file da usare al posto di. Questi file devono essere di proprietà di root. comando DIR userà questo al posto del file per visualizzare il file e proprietario di directory e nome del gruppo. Sito per determinare ~ / ftp / etc / passwd non contiene alcun sistema / etc / passwd file con lo stesso nome account. Questi file dovrebbero contenere solo bisogno di visualizzare i file FTP e gerarchia di directory del proprietario e il loro nome del gruppo. Inoltre, per determinare il campo password è "finire" prima. Ad esempio, utilizzare "*" per sostituire il campo password.
Il seguente è il CERT nel anonima esempio file delle password ftp
ssphwg: *: 3144:20: Site Specific Policy Handbook Gruppo di lavoro::
poliziotti: *: 3271:20: Distribuzione COPS::
cert: *: 9920:20: CERT::
Strumenti: *: 9921:20: CERT Strumenti::
ftp: *: 9922:90: Anonimo FTP::
NIST: *: 9923:90: NIST Files::
I file cert seguito nel gruppo anonimo esempio ftp
cert: *: 20:
ftp: *: 90:
. Nella vostra directory FTP anonimo per iscritto
Per un servizio FTP anonimo consente agli utenti di memorizzare i file è un rischio esiste. Siamo fermamente consiglia di non creare automaticamente un sito web directory upload, a meno che non si considera i rischi associati. CERT / CC ha ricevuto molte segnalazioni di eventi utilizzando la directory di upload ha causato il trasferimento illecito di software d'autore o lo scambio di nome utente e password della manifestazione. Ha inoltre ricevuto un file dannoso per il sistema di irrigazione ha causato problemi di servizio denialof segnalati.
Questa sezione sull'uso di tre metodi per risolvere questo problema. Il primo metodo è quello di utilizzare una versione modificata fuori il demone FTP. Il secondo metodo è quello di fornire una directory specifica per scrivere restrizioni. Il terzo metodo è quello di utilizzare una directory separata.
Con la modifica demone FTP
Se il tuo sito piani per fornire directory utilizzata per il caricamento di file, si consiglia l'uso di modifica dal demone FTP sulla directory di upload file per fare il controllo dell'accesso. Questo per evitare inutili modo migliore per scrivere la regione. Ecco alcuni suggerimenti:
1. Limitare il file caricato non può essere letta, così dopo aver testato l'amministratore di sistema, aggiungere quanto riguarda il luogo adatto per le persone a scaricare.
2. Limitare le dimensioni di ogni riga per caricare i dati.
3. In conformità con le dimensioni del disco esistente limita la quantità di trasferimento dei dati.
4. Aumentare i record di log per scoprire l'uso improprio di anticipo.
Se si desidera modificare il demone FTP, si dovrebbe essere in grado di ottenere il codice del produttore, oppure si può ottenere nei seguenti siti open source programma FTP:
wuarchive.wustl.edu ~ ftp / pacchetti / wuarchive-ftpd
ftp.uu.net ~ ftp / sistemi / unix / bsd-sources / libexec / ftpd
Gatekeeper.dec.com ~ ftp / pub / DEC / gwtools / ftpd.tar.Z
Non formalmente di cui il demone FTP per fare il test, valutazione o approvazione. Cosa demone FTP per l'uso da parte di ogni utente o l'organizzazione è responsabile delle decisioni, CERT / CC raccomanda che ogni autorità a usare questi programmi prima di installare, fare una valutazione approfondita.
Utilizzare la protezione di directory
Se si vuole caricare al vostro stand FTP per fornire i servizi, e voi non trovate uno modo per modificare il demone FTP, si può utilizzare la struttura directory più complex di controllo di accesso. Questo metodo richiede una pianificazione preliminare e non può essere al 100% FTP possono essere scritte per impedire un uso improprio della regione è stato, ma le stazioni molti usano ancora questo metodo di FTP.
Al fine di tutelare in cima alla directory (~ ftp / incoming), si limita a fornire agli utenti l'accesso anonimo alle autorizzazioni di directory (chmod 751 ~ ftp / incoming). Questa azione consentirà agli utenti di modificare il percorso di directory (cd), ma non permette agli utenti di visualizzare il contenuto delle directory. Es: drwxr-x - x 4 root del sistema 512 11 Giugno 13:29 incoming
Nel ~ ftp / incoming utilizzando alcuni nomi di directory per permettere loro di caricare solo a persone che conosci. Al fine di permettere alle altre persone non è facile da indovinare il nome della directory, è possibile impostare regole per le password per impostare il nome della directory. Si prega di non utilizzare questo esempio del nome della directory (per evitare la gente che trovare il vostro nome di directory e file upload) drwxr-x-10 wx sistema della radice 512 11 Giugno 13:54 jAjwUth2 /
drwxr-x-10 wx principale di sistema 512 11 Giugno 13:54 MhaLL-se /
punto molto importante è che una volta il nome della directory di essere intenzionalmente o non intenzionalmente le perdite, quindi questo metodo non sarebbe di protezione. Finché il nome della directory è più la gente sappia, non è possibile proteggere coloro che vogliono limitare l'uso della zona. Se il nome della directory che si sa, si deve scegliere di rimuovere o modificare tale nome di directory.
Utilizzare un solo hard disk
Se si desidera caricare il tuo stand FTP per fornire i servizi, e non trovare un modo per modificare il demone FTP, è possibile caricare le informazioni di tutti concentrati in un solo link (monte) in ~ ftp / incoming sul file system . Se posso, in un disco rigido separato appendere (monte) in ~ ftp / in arrivo su. Gli amministratori di sistema dovrebbe continuare a visualizzare questa directory (~ ftp / incoming), quindi la directory può essere caricato per sapere se vi è una questione aperta.
Limitare l'utente directory FTP
Anonimo utenti FTP può essere molto limitata solo nel campo di applicazione delle disposizioni della directory, ma l'utente predefinito formale FTP non sarà limitato, così egli è libero nella directory principale, directory di sistema, una directory di altri utenti a leggere Alcuni consentire ad altri utenti di leggere i documenti.
Come può l'utente di specificare le stesse restrizioni come l'utente anonimo nella loro directory? Ecco il nostro cappello rosso e con l'esempio wu-ftp è stato elaborato.
1 per creare un gruppo con il comando groupadd, il generale potrebbe utilizzare il gruppo ftp, o qualsiasi altro nome del gruppo.
----- Correlati comando: ftpuser groupadd
----- Documenti correlati: / etc / group
----- Aiuto: man groupadd
2 Creare un utente, ad esempio testuser, l'utente può impostare il comando adduser. Se è già stato stabilito un testuser l'utente può modificare direttamente il file / etc / passwd per l'utente a ftpuser questo gruppo.
----- Correlati comando: adduser ftpuser testuser-g
----- Documenti correlati: / etc / passwd
----- Aiuto: adduser uomo
3 modificare file / etc / ftpaccess, aggiungendo guestgroup definizione: ftpuser guestgroup Sono stato un tale cambiamento, e ha aggiunto gli ultimi 5 righe comprimere sì tutti
tar sì tutti
chmod non anonimo
eliminare no anonimo
sovrascrivere non anonimo
rinominare non anonimo
chmod sì ospite
ospite cancellare sì
sovrascrivere sì ospite
rinominare sì ospite
guestgroup ftpuser
Aggiungi guestgroup ftpuser Oltre a questa linea, gli altri quattro linee dovrebbero essere aggiunte, in caso contrario l'utente dopo l'atterraggio, anche se l'utente non può ottenere l'effetto di ritorno alla directory principale, ma può caricare solo, non può sovrascrivere, eliminare i file!
----- Correlati comando: vi / etc / ftpaccess
----- Documenti correlati: / etc / ftpaccess
----- Aiuto: ftpaccess uomo, uomo chroot
4 per l'utente root directory della copia i file necessari, ftp server copia che viene fornito con directory, / home / ftp / sotto il bin, lib copia due directory di root directory dell'utente, in quanto alcuni comandi (soprattutto ls) Lib bisogno di sostegno, o non lista di file e directory.
----- Correlati comando: cp-rf / home / ftp / lib / home / testuser; cp-rf / home / ftp / bin / home / testuser
5 Inoltre, non dimenticare di spegnere destra telnet dell'utente, altrimenti i rifiuti a oh. Come non consentono agli utenti di fare telnet? È semplice: in / etc / line conchiglie Riga / dev / null, quindi è possibile modificare direttamente file / etc / passwd, la shell dell'utente impostato a / dev / null su di essa.
----- Correlati comando: vi / etc / passwd
Questo passaggio può essere creato nel passaggio 2, quando un utente primo pozzetto.
----- Comando correlati: adduser testuser ftpuser-g-s / dev / null
poca esperienza: finché la directory / home / ftp lib sotto il bidone e cp a / etc / skel, dopo che il nuovo utente sarà automaticamente bin e la directory lib della directory utente CP, naturalmente, è possibile aggiungere directory public_html e CGI -bin directory.
Dopo queste impostazioni, l'utente testuser tutte le azioni FTP sarà limitata alla sua directory / home / testuser.