Web上で匿名FTPは非常に人気のあるサービスは、一般的ソフトウェアのダウンロードサイト、ソフトウェア、ウェブサイト、コミュニケーション、匿名FTPサービスをセキュリティを開放のプロセスを改善するために使用され、我々は問題がいくつかの議論があります。
以下は、過去の経験から多くのサイトの設定され、形成を提案した。我々は、個々のことができると思う
サイトにはさまざまな要件を選択を設定しています。
設定匿名FTP
ÅのFTPデーモン
サイトは、FTPデーモンの最新バージョンを使用して電流を決定する必要があります。
Bは匿名FTPディレクトリを設定する
匿名ftpのルートディレクトリには、(〜FTP)とFTPアカウントの所有者のためのそのサブディレクトリのftpアカウントでできない、または同じグループ。これは
一般的な一般的な構成の問題。これらのディレクトリは、ftpやFTPアカウントと同じグループが所有している場合、彼らは良い仕事をし、その侵入者は、ファイル(例えば、増加する書込み保護:。rhostsファイル)または他のファイルを変更しないようにしませんでした。多くのサイト?市は、そのコート熊ootアカウントを示している。 、システムの民族グループ(グループ)?⑾復号Ù愛∪?のような0755 chmodの)、匿名のFTPルートディレクトリとサブディレクトリをルートが所有する許可ようにrootのみが、その場合は、FTPを維持することができますパワーを書き込みを持ってサービス、セキュリティ?か?
以下は、匿名ftpディレクトリの例を設定することです:
drwxr - xr - xに7根系512 3月1日15:17 /
drwxr - xr - xに25の根系512 1月4日午前11時30分... ... /
drwxr - xr - xに2根系512 12月20日午後03時43 binに/
drwxr - xr - xに2根系512 3月12日16時23等/
drwxr - xr - xに10の根系512 6月5日10時54分パブ/
すべてのファイルとリンクライブラリ、特にFTPデーモンを使用して、それらの〜ftpで/ binと〜ftpの/ファイルのディレクトリ上の例と同じ保護を行うようになるはずなど。これらのファイルとリンクライブラリに加えて、FTPアカウントやFTPアカウントと同じグループが所有するだけでなく、書くようにすべきではない。
私たちは強く、サイトシステムを/ /〜ftpとしてpasswdを/ etcディレクトリまたはシステムのパスワードファイル/ etc / groupを〜ftpとして/ etcディレクトリにグループファイル内の等を使用しないことをお勧め。 〜ftpで/ etcディレクトリにそれらを取得するために侵入者が発生しますこれらのファイルを配置します。これらの文書は入手可能セットからであり、アクセス制御に使用されていません。
私たちはあなたの/ etc / passwdと〜ftpの/ etc / groupを代わりに使用するファイルをftpを〜にお勧めします。これらのファイルは、rootによって所有される必要があります。 DIRコマンドは、ファイルの代わりにこのファイルとディレクトリの所有者とグループ名を表示するために使用されます。サイトは、/ etc / passwdファイルの任意のシステムを/ / passwdファイルは、同じアカウント名をファイルなどが含まれていない/ ftpの〜を決定する。これらのファイルは、所有者とそのグループ名のディレクトリ階層のFTPのファイルを表示する必要が含まれている必要があります。 ""前に仕上げ加えて、パスワードフィールドを決定することです。たとえば、パスワードフィールドを置き換えるために"*"を使用します。
以下は、匿名ftpのパスワードファイルの例で証明書です
ssphwg:*:3144:20:サイト固有のポリシーハンドブックワーキンググループ::
警官:*:3271:20:COPSの分布::
証明書:*:9920:20:CERTの::
ツール:*:9921:20:CERTのツール::
ftpを:*:9922:90:匿名FTP::
NISTは:*:9923:90:NISTのファイル::
匿名ftpの例グループ内の次の証明書ファイル
証明書:*:20:
ftpを:*:90:
。あなたの匿名ftpディレクトリに書き込ま提供
匿名ftpサービスにファイルを保存するユーザーはリスクができますが存在します。それが関連付けられているリスクを考えられている場合を除き私たちは強く、自動的にWebサイトのアップロードのディレクトリを作成するではなく、お勧めします。 CERT / CCは、イベントの多くのレポートをアップロードディレクトリを使用して受けている著作権ソフトウェアまたはユーザ名とパスワードのイベントの情報交換の不法譲渡が発生します。また、灌漑システムにdenialofサービスの問題が報告による悪意のあるファイルを受け取った。
3つの方法の使用このセクションでは、この問題を解決するために。最初のメソッドが使用するFTPデーモンをオフに変更されます。2番目のメソッドは、制約を記述する特定のディレクトリを提供することです。 3番目のメソッドは、別のディレクトリを使用することです。
変更されたFTPデーモンで
あなたのサイトには、ディレクトリをファイルのアップロードのためのused提供to計画する場合、我々は、ファイルのアップロードのディレクトリに変更されたのFTPデーモンBYの使用をアクセス制御を行うにお勧めします。これは、不必要な最良の方法は地域を書いて避けるためです。ここではいくつかの提案があります:
1。制限アップロードしたファイルにアクセスすることはできませんので、システム管理者がテストした後、人々のための適切な場所をダウンロードするためとして追加します。
2。制限は、各ラインのサイズのデータをアップロードする。
3。既存のディスクのサイズに基づいて、データ転送量を制限します。
4事前の不適切な使用を発見するログレコードを増やします。
あなたは、FTPデーモンをmodifyする場合は、製造元からコードを取得するか、次の場所からopenソースFTPプログラムobtain canできるはずです:
wuarchive.wustl.edu〜のftp /パッケージ/ UNIX系OS - ftpdの
ftp.uu.net〜ftpの/システム/ UNIXの/のbsd -ソース/ libexecに/ ftpdの
gatekeeper.dec.comの〜のftpの/ pub / 12月/ gwtools / ftpd.tar.Z
まだ正式にFTPデーモンをテスト、評価や支持を行うにはならない。各ユーザーまたは組織によって何をFTPのデーモンが使用する決定のためのresponsible is、CERTは/ CCは、各機関は、徹底した評価を行うには、これらのプログラムををインストールする前に使用するrecommends。
ディレクトリの保護を使用して
あなたがFTPのスタンドにサービスを提供するためにアップロードする場合に、方法をFTPデーモンを変更する必要はない、我々がアクセスを制御する、より複雑なディレクトリ構造を使用できます。このメソッドは、事前の計画が必要ですFTPは地域だったの不適切な使用を防ぐために書き込むことができますが100%することはできませんが、多くの駅はまだFTPのこのメソッドを使用します。
順)、私たちは)ディレクトリのアクセス許可(751〜ftpを/着信chmodは、匿名ユーザーがアクセス権を与えるディレクトリ(〜ftpの/着信の上部を保護するために。このアクションは、ユーザーがディレクトリの場所を移動(cd)を変更するが、できるようになりますディレクトリの内容を表示するためにユーザを許可していません。例:drwxr - xの - × 4の根系512 6月11日13時29着信/
〜ftpを/あなたはそれらをだけを知らない人アップロードできるようにいくつかのディレクトリ名を使用して受信します。 、我々は、ディレクトリ名を設定するためのパスワードルールを設定することができますために他の人にできるようにディレクトリ名を推測することは容易でない。ご避けるためにディレクトリ名のこの例では(使用しないディレクトリの名前を見つけるの人々は、ファイルのアップロード)drwxr - xの- wxの10の根系512 6月11日午後01時54 jAjwUth2 /
drwxr - xの- wxの10の根系512 6月11日午後01時54分MhaLL -場合は、/
非常に重要な点は、かつてのディレクトリ名が故意または誤って漏れ出し、このメソッドと保護されないことです。としてディレクトリ名はほとんどの人が知っている限り、あなたは人々を地域の使用を制限する保護することはできません。ディレクトリ名はあなたが知っている場合は、削除する選択するか、そのディレクトリ名を変更しました。
のみを使用し1つのハードドライブ
あなたがFTPのスタンドにサービスを提供するためにアップロードする場合に、方法をFTPデーモンを変更する必要はない場合は、すべての〜ftpで1つのリンク(マウント)の/ファイルシステム上の着信集中の情報をアップロードすることができます。別のハードディスク私ができる場合は、(ハングマウント)〜ftpで/着信。システム管理者)は、このディレクトリ(〜ftpの/着信表示するには続けなければならないので、ディレクトリがあるかどうか未解決の問題を知るにアップロードすることができます。
制限FTPユーザディレクトリ
匿名FTPユーザがよくディレクトリの規定の範囲内でのみ、が制限されることが、彼は、ルートディレクトリは、システムディレクトリ、他のユーザーのディレクトリを読み込むために無料なので正式な既定のFTPユーザは、制限されません。いくつかの他のユーザーがドキュメントを読むことができます。
どのようにユーザーが自分のディレクトリに匿名ユーザーと同じ制限を指定するには?ここで例として、私たちの赤い帽子とのwu - ftpの導入を行うことです。
1は、一般的なftpのグループ、または任意のグループ名を使用することがgroupaddコマンドでグループを作成します。
-----関連コマンド:groupaddのftpuser
-----関連文書:/ etc / groupを
-----のヘルプ:男groupaddの
2を作成するユーザーは、testuserとなど、ユーザーはadduserコマンドを設定できます。以前にtestuserと、ユーザが直接ユーザにこのグループにftpuserに/ etc / passwdファイルを編集することができます確立している場合。
-----関連コマンド:adduserのtestuserと- gをftpuser
-----関連文書:/ etc / passwdの
-----のヘルプ:男のadduserを
3は、変更は、/ etc / ftpaccessファイルを追加、定義guestgroup:guestgroupのftpuser私がそのような変更され、最後の5行がyes圧縮追加したすべての
タールはい、すべての
chmodはない匿名
削除は、匿名
上書きは、匿名
名前は、匿名
はいゲストchmodを
はい削除ユーザー
はいゲスト上書き
名前はいゲスト
ftpuserをguestgroup
ユーザーが親ディレクトリに戻るの目的を達成することはできませんが、この行にftpuser追加guestgroup追加、他の4行は、それ以外の場合着陸後に、ユーザ、が追加される必要がありますのみアップロードで許可、削除のファイルを上書きすることはできません!
-----関連コマンド:viのの/ etc / ftpaccess指令
-----関連文書:の/ etc / ftpaccess指令
-----のヘルプ:男ftpaccess指令を、男のchrootを
4ユーザのルートディレクトリにコピーに必要なファイル、ディレクトリbinに/の下には、/ home / ftpを付属のコピーのftpサーバは、ユーザのルートディレクトリにlibにコピー2つのディレクトリため、いくつかのコマンド(主にlsは)Libのサポート、またはディレクトリとファイルの一覧をする必要はありません。
-----関連コマンド:cpは-高周波/ libに/ホーム/ testuserとの/ home / ftpを、cpは-高周波/ binに/ホーム/ testuserと/ home / ftpへ
5はまた、ユーザのtelnetの権利、それ以外の我々は廃棄物をオフにすることを忘れないでくださいオハイオ州。どのようにユーザがtelnetで接続することはできませんか?簡単です:/ etc / shellsにリガライン/ dev / nullには、その後、直接編集することができます/ etc / passwdファイルは、ユーザーのシェル/ nullを/ devにそれを設定します。
-----関連コマンド:viの/ etc / passwdの
この手順は、ステップ2、ユーザーが最初よく作成することができます。
-----関連コマンド:adduserのtestuserと- gをftpuser - sを/ dev / nullに
binと、新しいユーザーの後の/ etc / skelディレクトリ、自動的にユーザーのCPディレクトリにlibディレクトリは、もちろんのbinされますにcpは下リトル経験:として/ homeの限り/ ftpのlibディレクトリにする場合は、public_htmlディレクトリとcgiを追加することができます- binディレクトリの。
これらの設定後、testuserとユーザーがすべてのFTPのアクションは、彼/ホーム/ testuserとディレクトリ制限されます。