Op het web anonieme FTP is een zeer populaire dienst, vaak gebruikt in de software download sites, software, websites, communicatie, anonieme FTP-services aan het proces van openstelling van de beveiliging te verbeteren, voeren we een discussie over dit onderwerp.
Het volgende is de setup van de vele sites van de ervaringen uit het verleden en de voorgestelde formatie. We denken dat we kunnen individuele maken
De site heeft verschillende eisen keuze.
Stel anonieme FTP
A. FTP daemon
Site moet bepalen het huidige gebruik van de nieuwste versie van de FTP daemon.
B anonieme FTP-map
Anonieme FTP root directory (~ ftp) en de bijbehorende submappen kunt eigenaar van de account, of dezelfde groep niet met de ftp ftp-account. Dit is
Algemeen voorkomende probleem met de configuratie. Als deze directory's zijn ftp-of ftp-account in handen van dezelfde groep, hebben zij geen goed werk doen om te voorkomen dat de schrijfbeveiliging, waarin de indringer kan het bestand (bijvoorbeeld:. Rhosts-bestand) of andere bestanden te wijzigen. Veel sites? City, met vermelding van die jas Xiong OOT-account. Laat anonieme FTP root directory's en subdirectory's met root als eigenaar, hun etnische (groep) voor het systeem? ⑾ Decoding Kunstenaar Ai ∪? Als chmod 0755), zodat alleen root schrijfrechten heeft de macht, die u kan helpen handhaven van de FTP diensten, veiligheid? ?
Het volgende is een anonieme ftp-directory om een voorbeeld te geven:
drwxr-xr-x 7 root systeem 512 1.3 15:17. /
drwxr-xr-x 25 root systeem 512 1.4 11:30 ... ... /
drwxr-xr-x 2 root systeem 512 20 dec 15:43 bin /
drwxr-xr-x 2 root systeem 512 12.3 16:23 etc /
drwxr-xr-x 10 root systeem 512 05 06 10:54 pub /
Alle bestanden en link bibliotheken, met name die met behulp van FTP daemon en die in ~ ftp / bin en ~ ftp / etc in het bestand eruit moet zien het bovenstaande voorbeeld de map op dezelfde bescherming te doen. Naast deze koppeling van bestanden en bibliotheken mag niet worden ftp-account of FTP-account in handen van dezelfde groep, maar ook om te voorkomen dat het te schrijven.
We raden sterk aan dat niet sites van het systeem / etc / passwd als ~ ftp / etc directory of het systeem het wachtwoord bestand / etc / group als ~ ftp / etc directory in de groep bestand te gebruiken. In de ~ ftp / etc directory plaatst deze bestanden zal leiden tot de indringer om ze te verkrijgen. Deze documenten zijn beschikbaar op de set en niet gebruikt voor toegangscontrole.
Wij raden u aan ~ ftp / etc / passwd en ~ ftp / etc / group bestand te gebruiken in plaats van. Deze bestanden moeten eigendom zijn van de wortel. DIR commando zal deze in plaats van het bestand naar het bestand en directory eigenaar en naam van de groep weer te geven. Site te bepalen naar ~ / ftp / etc / passwd bestand bevat geen systeem / etc / passwd dezelfde account naam bestand. Deze bestanden dienen te bevatten moet alleen de FTP-bestanden weer te geven en de directory hiërarchie van de eigenaar en de naam van hun groep. Bovendien, om vast te stellen het wachtwoord veld is "afwerken" voor. Gebruik bijvoorbeeld "*" om het wachtwoord gebied te vervangen.
Het volgende is het cert in de anonieme ftp wachtwoord bestand bijvoorbeeld
ssphwg: *: 3144:20: Site Specifiek beleid Handboek Werkgroep::
politie: *: 3271:20: COPS Distributie::
cert: *: 9920:20: CERT::
Tools: *: 9921:20: CERT Tools::
ftp: *: 9922:90: Anonymous FTP::
NIST: *: 9923:90: NIST Files:
De volgende bestanden cert in de anonieme ftp-groep bijvoorbeeld
cert: *: 20:
ftp: *: 90:
. In uw anonieme ftp-directory van de schriftelijke
Om een anonieme FTP-service kunnen gebruikers bestanden opslaan is er een risico bestaat. Wij adviseren niet om automatisch een website upload directory, tenzij dit wordt geacht de bijbehorende risico's. CERT / CC heeft vele verslagen van evenementen met behulp van de upload directory veroorzaakt de illegale overdracht van het auteursrecht software of de uitwisseling van informatie gebruikersnaam en wachtwoord van het evenement. Ook ontving een kwaadaardig bestand van het irrigatiesysteem veroorzaakt denialof dienst gemelde problemen.
In dit hoofdstuk over het gebruik van drie methoden om dit probleem op te lossen. De eerste methode is het gebruik van een gemodificeerde uit de FTP daemon. De tweede methode is om een bepaalde map te verstrekken aan beperkingen te schrijven. De derde methode is het gebruik van een aparte directory.
Door de gewijzigde FTP daemon
Als uw site van plan om te voorzien directory gebruikt voor het uploaden van bestanden, adviseren wij het gebruik van door de gewijzigde FTP daemon op het bestand upload directory access control te doen. Dit is om te voorkomen dat onnodige beste manier om de regio te schrijven. Hier zijn enkele suggesties:
1. Limit het geüploade bestand kan niet worden geopend, dus na het testen door de systeembeheerder, toe te voegen als voor de juiste plek voor mensen om te downloaden.
2. Beperk de grootte van elke lijn om gegevens te uploaden.
3. In overeenstemming met de bestaande schijf grootte beperkt het bedrag van de data-overdracht.
4. Verhoging van de log gegevens om oneigenlijk gebruik van tevoren te ontdekken.
Als u de FTP daemon wijzigen, moet u in staat om de code te krijgen van de fabrikant, of u kunt krijgen van de volgende locaties open source FTP-programma:
wuarchive.wustl.edu ~ ftp / packages / wuarchive-ftpd
ftp.uu.net ~ ftp / systemen / unix / bsd-bronnen / libexec / ftpd
gatekeeper.dec.com ~ ftp / pub / DEC / gwtools / ftpd.tar.Z
Niet formeel voorgelegd aan de FTP daemon aan de testen, de beoordeling of goedkeuring te doen. Welke FTP-daemon te gebruiken door elke gebruiker of organisatie verantwoordelijk is voor beslissingen, CERT / CC beveelt aan dat elke autoriteit om deze programma's te installeren voordat u gebruikt, heb een grondige evaluatie.
Gebruik de directory bescherming
Als u wilt uploaden naar uw FTP staan om de diensten te verlenen, en je hoeft niet een manier vinden om de FTP daemon te wijzigen, kunnen we meer complexe directory-structuur om de toegang te controleren. Deze methode vereist planning vooraf en kan niet worden 100% FTP kan worden geschreven om oneigenlijk gebruik van de regio te voorkomen, maar veel stations nog steeds deze methode gebruiken van FTP.
Met het oog op de top van de directory (~ ftp / incoming) te beschermen, geven we alleen anonieme gebruikers toegang tot de map permissies (chmod 751 ~ ftp / incoming). Deze actie maakt het mogelijk gebruikers naar de map locatie (cd) veranderen, maar staat niet toe dat gebruikers inhoud van de directory te bekijken. Ex: drwxr-x - x 4 root systeem 512 11/06 13:29 inkomende /
In de ~ ftp / incoming directory met behulp van enkele naam die u hen in staat stellen om alleen degenen die weten te uploaden. Om te laten andere mensen is niet gemakkelijk aan de directory naam raden, kunnen we vergeten regels aan de directory naam in te stellen. Gelieve geen gebruik maken van dit voorbeeld van de directory naam (om te voorkomen dat zijn mensen die vinden je directory naam, en het uploaden van bestanden) drwxr-x-WX 10 root systeem 512 11/06 13:54 jAjwUth2 /
drwxr-x-WX 10 root systeem 512 11-6 13:54 MhaLL-als /
Zeer belangrijk punt is dat zodra de directory naam al dan niet opzettelijk lekken worden, dan zouden met deze methode geen bescherming. Zolang de directory naam is de meeste mensen weten, kun je niet beschermen degenen die willen het gebruik van het gebied te beperken. Als de directory naam is die je kent, moet je kiezen te verwijderen of die map de naam te veranderen.
Gebruik slechts een harde schijf
Als u wilt uploaden naar uw FTP staan om de diensten te verlenen, en je hoeft niet een manier vinden om de FTP daemon wijzigen, kunt u het uploaden van de informatie van alle geconcentreerd in een enkele link (mount) in ~ ftp / incoming op het bestandssysteem . Als ik kan, om een aparte harde schijf hangen () te monteren ~ ftp / incoming op. Systeembeheerders moeten blijven naar deze directory (~ ftp / inkomende bekijken), dus de directory kan worden geüpload om te weten of er is een open vraag.
Beperken FTP user directory
Anonieme FTP-gebruikers kunnen ook alleen worden beperkt binnen de werkingssfeer van de bepalingen van de directory, maar de formele standaard FTP-gebruiker zal niet worden beperkt, dus hij is vrij in de root-directory, het systeem map, een map van andere gebruikers te lezen Sommige toestaan dat andere gebruikers toe om documenten te lezen.
Hoe kan de gebruiker aan dezelfde beperkingen als de anonieme gebruiker in hun eigen directory opgeven? Hier is onze rode hoed en wu-ftp als een voorbeeld om te doen een inleiding.
1 tot en met een groep met groupadd commando voor het aanmaken, het algemeen zou de ftp-groep, of een groep naam te gebruiken.
----- Gerelateerde commando: groupadd ftpuser
----- Gerelateerde documenten: / etc / group
----- Help: man groupadd
2 Maak een gebruiker, zoals testuser, kan de gebruiker ingestelde commando adduser gebruiken. Als u al eerder is een testuser kan de gebruiker het bestand / etc / passwd bestand rechtstreeks bewerken van de gebruiker om deze groep ftpuser.
----- Gerelateerde opdracht: adduser-g testuser ftpuser
----- Gerelateerde documenten: / etc / passwd
----- Help: man adduser
3 te wijzigen / etc / ftpaccess bestand toe te voegen guestgroup definitie: guestgroup ftpuser Ik was een dergelijke wijziging, aangevuld met de laatste 5 rijen ja comprimeert alle
tar jazeker, alle
chmod geen anonieme
verwijderen geen anonieme
overschrijven geen anonieme
hernoemen geen anonieme
chmod ja beoordelingen
verwijderen ja beoordelingen
overschrijven ja beoordelingen
hernoemen ja beoordelingen
guestgroup ftpuser
Voeg ftpuser Naast deze lijn guestgroup, moeten de andere vier lijnen worden toegevoegd, anders wordt de user na de landing, hoewel de gebruiker kan niet worden bereikt het oog op terugkeer naar bovenliggende map, maar kan alleen uploaden, kan niet overschrijven, bestanden verwijderen!
----- Gerelateerde commando: vi / etc / ftpaccess
----- Gerelateerde documenten: / etc / ftpaccess
----- Help: ftpaccess man, man chroot
4 tot en met de gebruiker root directory de benodigde bestanden te kopiëren, te kopiëren ftp-server die wordt geleverd met directory, de / home / ftp / onder de bin, lib twee mappen te kopiëren naar root directory van de gebruiker, omdat sommige commando's (voornamelijk ls) Lib nodig te ondersteunen, of niet in het lijstje van mappen en bestanden.
----- Gerelateerde commando: cp-rf / home / ftp / lib / home / testuser; cp-rf / home / ftp / bin / home / testuser
5 Vergeet ook niet het uitschakelen van de gebruiker telnet recht, anders kunnen we een Oh-afval. Hoe staan niet toe dat gebruikers telnet? Is eenvoudig: in / etc / shells Riga lijn / dev / null, dan kunt u rechtstreeks bewerken / etc / passwd bestand, shell van de gebruiker ingesteld op / dev / null op.
----- Gerelateerde commando: vi / etc / passwd
Deze stap kan worden gemaakt in stap 2, wanneer een gebruiker eerst goed.
----- Gerelateerde opdracht: adduser testuser ftpuser-g-s / dev / null
Weinig ervaring: zo lang als de / home / ftp lib directory onder de bak en cp / etc / skel directory, nadat de nieuwe gebruiker automatisch bin en de lib directory van de gebruiker CP map, natuurlijk kunt u public_html directory en cgi -bin directory.
Na deze instellingen, testuser de gebruiker alle FTP acties zullen beperkt blijven tot zijn / home / testuser directory.