På Internett, er anonym FTP en svært populær tjeneste, som vanligvis brukes i programvare nedlasting nettsteder, programvare, nettsteder og andre børser for å forbedre prosessen med anonym FTP-tjenesten, åpner sikkerhet, vi på dette spørsmålet en rekke 讨论.
Følgende er oppsettet av mange nettsteder fra tidligere erfaringer og forslag til formasjonen. Vi tror vi kan lage individuelle
Området har ulike krav satt valg.
Sett anonym FTP
A. FTP daemon
Site må bestemme gjeldende bruker den nyeste versjonen av FTP daemonen.
B satt anonym FTP-katalogen
Anonym ftp rotkatalogen (~ ftp) og dens undermapper for ftp kontoinnehavere kan ikke, eller den samme gruppen med ftp kontoen. Dette er
General vanlig konfigurasjon problem. Hvis disse katalogene er ftp-eller ftp-konto eid av den samme gruppen, gjorde de ikke gjøre en god jobb for å hindre det skrive sikringen, hvor inntrengeren kan øke filen (for eksempel:. Rhosts-fil) eller endre andre filer. Mange nettsteder? City, noe som indikerer at pelsen Xiong OOT konto. Tillat anonym FTP rot katalog og underkataloger eid av root, deres etniske (gruppe) for systemet? ⑾ dekoding ù Ai ∪? Slike som chmod 0755), slik at bare root har skrivetilgang kraft, som kan hjelpe deg å opprettholde FTP tjenester, sikkerhet? ?
Det følgende er en anonym ftp-katalog for å sette et eksempel:
drwxr-xr-x 7 rotsystem 512 1 mars 15:17. /
drwxr-xr-x 25 rotsystem 512 04.01 11:30 ... ... /
drwxr-xr-x 2 rotsystem 512 20.12 15:43 bin /
drwxr-xr-x 2 rotsystem 512 12 mars 16:23 etc /
drwxr-xr-x 10 rotsystem 512 05.06 10:54 pub /
Alle filer og koble sammen biblioteker, særlig de som bruker FTP daemon og de som i ~ ftp / bin og ~ ftp / etc i filen bør se ut som i eksempelet over katalogen til å gjøre det samme beskyttelse. I tillegg til disse filene og link biblioteker skal ikke ftp konto eller ftp-konto eid av den samme gruppen, men også for å hindre skrive.
Vi anbefaler sterkt at områder som ikke bruker systemet / etc / passwd som ~ ftp / etc katalogen eller systemet passord filen / etc / group som ~ ftp / etc mappen i gruppen filen. I ~ ftp / etc-katalog for å plassere disse filene vil føre til at inntrengeren å få dem. Disse dokumentene er tilgjengelige fra settet og ikke brukes for tilgangskontroll.
Vi anbefaler deg til ~ ftp / etc / passwd og ~ ftp / etc / group-fil for å bruke i stedet for. Disse filene må være eid av root. DIR-kommandoen vil bruke denne i stedet for filen for å vise filen og katalogen eier og gruppenavnet. For å finne ut ~ / ftp / etc / passwd filen inneholder ikke noe system / etc / passwd filen den samme kontoen navn. Disse filene skal inneholde bare må vise FTP filene og katalogen hierarki av eieren og deres gruppenavn. I tillegg til å bestemme passordfeltet er "ferdig" før. For eksempel bruke "*" for å erstatte passord-feltet.
Detter er absolutt i den anonyme ftp passordfila eksempel
ssphwg: *: 3144:20: Site Specific Policy Handbook Working Group::
Politiet: *: 3271:20: COPS Distribusjon::
sert: *: 9920:20: CERT::
verktøy: *: 9921:20: CERT Verktøy::
ftp: *: 9922:90: Anonym FTP::
NIST: *: 9923:90: NIST filer::
Følgende sert filer i den anonyme ftp eksempel gruppe
sert: *: 20:
ftp: *: 90:
. I ditt anonyme ftp folderen gi skriftlig
Til en anonym ftp tjeneste gjør at brukerne kan lagre filer er en risiko eksisterer. Vi anbefaler ikke å automatisk opprette en nettside laste opp katalogen, med mindre det anses tilhørende risikoer. CERT / CC har mottatt mange rapporter om hendelser ved hjelp av opplasting forårsaket ulovlig overføring av opphavsretten programvare eller bytte av brukernavn og passord informasjon om hendelsen. Fikk også en ondsinnet fil til vanning systemet forårsaket denialof service problemer rapportert.
Dette avsnittet om bruk av tre metoder for å løse dette problemet. Den første metoden er å bruke en endret av FTP-nissen. Den andre metoden er å gi en bestemt katalog å skrive restriksjoner. Den tredje metoden er å bruke en egen katalog.
Ved endret FTP daemonen
Hvis nettstedet planer om å gi katalogen brukes for opplasting, anbefaler vi bruk av ved endret FTP daemon på filopplasting katalogen å gjøre tilgangskontroll. Dette er for å unngå unødvendige beste måten å skrive regionen. Her er noen forslag:
En. Begrens opplastede filen kan ikke brukes, så etter testing av systemadministratoren, legger Som for riktig sted for folk å laste ned.
2. Begrense størrelsen på hver linje for å laste opp data.
Tre. I samsvar med eksisterende disk størrelse begrenser mengden dataoverføring.
4. Øke loggen postene å oppdage upassende bruk av forskudd.
Hvis du ønsker å endre FTP daemon, bør du kunne få koden fra produsenten, eller du kan få fra følgende steder åpen kildekode FTP-program:
wuarchive.wustl.edu ~ ftp / pakker / wuarchive-ftpd
ftp.uu.net ~ ftp / systemer / Unix / BSD-kilder / libexec / ftpd
gatekeeper.dec.com ~ ftp / pub / DEC / gwtools / ftpd.tar.Z
Ikke formelt henvist til FTP daemonen å gjøre testing, evaluering og godkjenning. Hva FTP daemonen å bruke ved hver bruker eller organisasjon er ansvarlig for beslutninger, CERT / CC anbefaler at hver myndighet til å bruke disse programmene før du installerer, gjøre en grundig evaluering.
Bruk katalogen beskyttelse
Hvis du vil laste opp til din FTP stå for å tilby tjenestene, og du ikke finne en måte å endre FTP daemon, kan vi bruke mer komplekse katalogstruktur for å kontrollere tilgang. Denne metoden krever forhånd planlegging og kan ikke være 100% FTP kan skrives for å hindre misbruk av regionen var, men mange stasjoner fortsatt bruke denne metoden av FTP.
For å beskytte toppen av katalog (~ ftp / innkommende), vi bare gi anonyme brukere tilgang til katalogen tillatelser (chmod 751 ~ ftp / innkommende). Denne handlingen vil tillate brukere å endre katalogplassering (cd), men ikke tillater brukere å vise katalogen innholdet. Ex: drwxr-x - x 4 rotsystem 512 11 juni 13:29 innkommende /
I ~ ftp / inngående ved hjelp av noen katalognavnet du tillater dem å laste opp bare de som vet. For å la andre mennesker er ikke lett å gjette katalognavn, kan vi sette passord for regler for å angi katalogen. Vennligst ikke bruk denne eksempel på katalognavnet (for å unngå er mennesker som finner katalognavn, og laste opp filer) drwxr-x-wx 10 rotsystem 512 11 juni 13:54 jAjwUth2 /
drwxr-x-wx 10 rotsystem 512 11 juni 13:54 MhaLL-iF /
Veldig viktig poeng er at når katalogen navnet som skal med vilje eller utilsiktet lekke ut, så denne metoden vil ingen beskyttelse. Så lenge katalogen heter de fleste vet, kan du ikke beskytte dem som ønsker å begrense bruken av området. Hvis katalogen navnet du vet, må du velge å fjerne eller endre den katalogen navn.
Bruk bare én harddisk
Hvis du vil laste opp til din FTP stå for å tilby tjenestene, og du ikke finne en måte å endre FTP daemon, kan du laste opp informasjon om alle konsentrert i en enkelt kobling (mount) i ~ ftp / innkommende på filsystemet . Hvis jeg kan, til en separat harddisk henge (mount) i ~ ftp / innkommende på. Systemadministratorer bør fortsette å vise denne katalog (~ ftp / innkommende), slik at katalogen kan lastes opp å vite om det er et åpent spørsmål.
Begrens FTP bruker katalogen
Anonym FTP-brukere kan godt begrenses bare innenfor rammen av bestemmelsene i katalogen, men den formelle standard FTP-brukeren vil ikke bli begrenset, så han er fri i rotkatalogen, system katalog, en katalog over andre brukere å lese Noen tillater andre brukere å lese dokumenter.
Hvordan kan brukeren til å angi de samme restriksjonene som anonym bruker i sin egen katalog? Her er vår rød lue og Wu-ftp som et eksempel å gjøre en introduksjon.
1 til å opprette en gruppe med groupadd kommando, kunne den generelle bruke ftp-gruppen, eller en gruppe navn.
----- Relatert kommando: groupadd ftpuser
----- Relaterte dokumenter: / etc / group
----- Hjelp: mann groupadd
2 Lag en bruker, for eksempel testuser, kan brukeren sette opp adduser kommandoen. Hvis du tidligere har opprettet en testuser brukeren kan direkte redigere / etc / passwd filen til brukeren å ftpuser denne gruppen.
----- Relatert kommandoen: adduser testuser-g ftpuser
----- Relaterte dokumenter: / etc / passwd
----- Hjelp: mann adduser
3 endre / etc / ftpaccess filen, legger guestgroup definisjon: guestgroup ftpuser Jeg var en slik endring, og lagt de siste 5 rader komprimere ja alle
tjære ja alle
chmod ingen anonym
slett ingen anonym
overskrive ingen anonym
endre navn ingen anonym
chmod ja gjest
slett ja gjest
overskrive ja gjest
endre navn ja gjest
guestgroup ftpuser
Legg guestgroup ftpuser tillegg til denne linjen, bør de andre fire linjene legges til, ellers bruker etter landing, selv om brukeren ikke kan oppnå det formål å vende tilbake til den overordnede katalogen, men kan bare laste opp, kan ikke overskrive, slette filer!
----- Relatert kommando: vi / etc / ftpaccess
----- Relaterte dokumenter: / etc / ftpaccess
----- Hjelp: mann ftpaccess, mann chroot
4 til brukerens rotkatalogen kopiere de nødvendige filene, kopierer ftp server som har katalogen, / home / ftp / under bin, lib kopiere to kataloger til brukerens rotkatalogen, fordi enkelte kommandoer (hovedsakelig ls) trenger Lib støtte, eller ikke liste over kataloger og filer.
----- Relatert kommandoen: cp-rf / home / ftp / lib / home / testuser, cp-rf / home / ftp / bin / home / testuser
5 Også ikke glem å slå av brukerens telnet rett, ellers kan vi kaste bort en oh. Hvordan tillater ikke brukere å telnet? Er enkel: i / etc / shells Riga linje / dev / null, så kan du direkte redigere / etc / passwd fil, brukerens skall satt til / dev / null på den.
----- Relatert kommando: vi / etc / passwd
Dette trinnet kan bli opprettet i trinn 2, når en bruker første brønnen.
----- Relatert kommandoen: adduser testuser-g ftpuser-s / dev / null
Liten erfaring: så lenge det / home / ftp lib under bin og CP til / etc / skel katalog, etter at den nye brukeren automatisk CP bin og lib til brukeren katalogen, men du kan også legge til public_html katalogen og cgi -bin-katalog.
Etter disse innstillingene, testuser brukeren alle FTP handlingene vil være begrenset til hans / home / testuser katalogen.