På webben, är anonym FTP en mycket populär tjänst, vanligt förekommande i områden mjukvaran data, programvara, webbplatser, kommunikation, anonym FTP-avdelningar för att effektivisera processen för att öppna säkerhet har vi en del diskussioner i denna fråga.
Följande är installationen av många platser från tidigare erfarenheter och föreslagit bildandet. Vi tror att vi kan göra individuella
Sajten har olika krav som val.
Ställ in anonym FTP
A. FTP daemon
Webbplatsen måste fastställa den aktuella använda den senaste versionen av FTP-demon.
B som anonym FTP katalog
Anonym ftp root-katalogen (~ ftp) och dess underkataloger för innehavare ftp konto kan inte, eller samma grupp med ftp-konto. Detta är
Allmänna gemensamma konfiguration problem. Om dessa kataloger är ftp eller ftp-konto som tillhör samma grupp, har de inte ett bra jobb för att förhindra att skriva skydd, där inkräktare kan öka fil (till exempel:. Rhosts fil) eller ändra andra filer. Många webbplatser? City, vilket tyder på att pälsen Xiong oot konto. Tillåt anonym FTP rotkatalogen och underkataloger som ägs av root, etniskt (grupp) för systemet? ⑾ Avkodning ù Ai ∪? T.ex. chmod 0755), så att endast root har skrivrättigheter makt, som kan hjälpa dig att upprätthålla FTP tjänster, säkerhet? ?
Följande är en anonym ftp katalog med gott exempel:
drwxr-xr-x 7 rotsystem 512 1 mar 15:17. /
drwxr-xr-x 25 rotsystem 512 4 jan 11:30 ... ... /
drwxr-xr-x 2 rotsystem 512 20 december 15:43 bin /
drwxr-xr-x 2 rotsystem 512 12 mars 16:23 etc /
drwxr-xr-x 10 rotsystem 512 5 jun 10:54 pub /
Alla filer och bibliotek länk, särskilt de som använder FTP-demon och de i ~ ftp / bin och ~ ftp / etc i filen ska se ut som i exemplet ovan katalogen att göra samma skydd. Utöver dessa filer och bibliotek bör inte knytas ftp-konto eller ftp-konto som tillhör samma grupp, men också för att förhindra att skriva.
Vi rekommenderar att webbplatser som inte använder systemet / etc / passwd som ~ ftp / etc katalogen eller systemlösenordet filen / etc / group som ~ ftp / etc katalogen i gruppen filen. I ~ ftp / etc katalogen för att placera dessa filer kommer att göra inkräktare att erhålla dem. Dessa dokument finns tillgängliga från den inställda och inte används för åtkomstkontroll.
Vi rekommenderar att du ~ ftp / etc / passwd och ~ ftp / etc / group fil som ska användas i stället för. Dessa filer måste ägas av roten. DIR kommandot kommer att användas i stället för filen för att visa filer och kataloger, ägare och gruppnamn. Webbplats för att avgöra ~ / ftp / etc / passwd innehåller inte något system / etc / passwd samma konto namn. Dessa filer bör innehålla endast behöver visa FTP-filer och kataloghierarki ägarens och deras gruppnamn. Dessutom att bestämma lösenordet är "avslutande" innan. Använd till exempel "*" för att ersätta lösenordsfältet.
Följande är cert i den anonyma FTP Lösenord filen exempel
ssphwg: *: 3144:20: platsspecifika Policy Handbook Arbetsgrupp::
Polisen: *: 3271:20: COPS Distribution::
cert: *: 9920:20: CERT::
verktyg: *: 9921:20: CERT Verktyg::
ftp: *: 9922:90: Anonym FTP::
NIST: *: 9923:90: NIST Files::
Följande cert filer i anonym ftp exempel grupp
cert: *: 20:
ftp: *: 90:
. I ditt anonym FTP-servern att ge en skriftlig
För att en anonym ftp tjänst tillåter användare att lagra filer är en risk föreligger. Vi rekommenderar inte att automatiskt skapa en webbkatalog webbplats ladda upp, såvida det inte anses därmed sammanhängande risker. CERT / CC har fått många rapporter om händelser med hjälp av uppladdningskatalogen orsakade olaglig överföring av upphovsrätt programvara eller utbyte av användarnamn och lösenord information om händelsen. Också fått en skadlig fil till bevattningssystemet orsakade denialof service problem rapporterats.
Detta avsnitt om användningen av tre metoder för att lösa detta problem. Den första metoden är att använda en modifierad utanför FTP-demon. Den andra metoden är att ge en specifik katalog för att skriva restriktioner. Den tredje metoden är att använda en separat katalog.
Genom den ändrade FTP-demon
Om din webbplats planerar att tillhandahålla katalog användas för filuppladdning, rekommenderar vi användning av den modifierade FTP-demon på filen uppladdningskatalogen att göra åtkomstkontroll. Detta för att undvika onödig bästa sättet att skriva regionen. Här är några förslag:
1. Begränsa den uppladdade filen inte kan nås, så efter att ha testats av systemadministratören, lägg När en lämplig plats för människor att ladda ner.
2. Begränsa storleken på varje rad för att ladda upp data.
3. I enlighet med befintliga skivan storlek begränsar mängden dataöverföring.
4. Öka logg registreras att upptäcka olämplig användning av förskott.
Om du vill ändra FTP-demon, bör du kunna få koden från tillverkaren, eller så kan du få från följande platser öppen källkod FTP-program:
wuarchive.wustl.edu ~ ftp / packages / wuarchive-ftpd
ftp.uu.net ~ ftp / system / Unix / BSD-källor / libexec / ftpd
gatekeeper.dec.com ~ ftp / pub / DEC / gwtools / ftpd.tar.Z
Inte formellt hänvisade till FTP-demon att göra provning, utvärdering och godkännande. Vad FTP-demonen att användas av varje användare eller organisation som ansvarar för beslut, CERT / CC rekommenderar att varje myndighet att använda dessa program innan du installerar, gör en grundlig utvärdering.
Använd katalogen skydd
Om du vill ladda upp till din FTP står för att tillhandahålla de tjänster, och du behöver inte hitta ett sätt att ändra FTP-demon, kan vi använda mer komplex katalogstruktur för att kontrollera åtkomsten. Metoden kräver framförhållning och kan inte vara 100% FTP kan skrivas för att förhindra missbruk av regionen var, men många stationer använder fortfarande denna metod för FTP.
För att skydda toppen av katalogen (~ ftp / inkommande), vi bara ger anonyma användare tillgång till den katalog behörigheter (chmod 751 ~ ftp / inkommande). Denna åtgärd kommer att tillåta användare att ändra katalog (cd), men inte tillåta användare att se katalogen innehåll. Ex: drwxr-x - x 4 rotsystem 512 11 juni 13:29 inkommande /
I ~ ftp / inkommande med några katalognamn du tillåter dem att ladda upp bara de som vet. För att låta andra människor är inte lätt att gissa katalogen namn kan vi sätta lösenord regler för att ställa in katalognamnet. Använd inte detta exempel på katalognamnet (för att undvika det människor som hittar din katalog namn och ladda upp filer) drwxr-x-wx 10 rotsystem 512 11 juni 13:54 jAjwUth2 /
drwxr-x-wx 10 rotsystem 512 11 juni 13:54 MhaLL-om /
Mycket viktig punkt är att när katalognamnet utgöra avsiktligt eller oavsiktligt läcka ut, då denna metod skulle något skydd. Så länge katalognamnet är de flesta vet så kan du inte skydda dem som vill begränsa användningen av området. Om katalogen heter ni vet har du välja att ta bort eller ändra den katalogen namn.
Använd endast en hårddisk
Om du vill ladda upp till din FTP står för att tillhandahålla de tjänster, och du behöver inte hitta ett sätt att ändra FTP-demon kan du ladda upp information till alla samlas i en enda länk (mount) i ~ ftp / inkommande på filsystemet . Om jag kan, till en separat hårddisk hänga (Mount) i ~ ftp / inkommande på. Systemadministratörer bör fortsätta att se katalogen (~ ftp / inkommande), så att katalogen kan laddas upp till veta om det är en öppen fråga.
Begränsa FTP användarkatalog
Anonym FTP användare kan väl begränsas endast omfattas av bestämmelserna i katalogen, men det formella standard FTP-användare kommer inte att begränsas, så han är fri i rotkatalogen, system katalog, en katalog av andra användare att läsa Vissa tillåter andra användare att läsa dokument.
Hur kan användaren specificera samma begränsningar som den anonyma användaren i sin egen katalog? Här är våra röda hatt och wu-ftp som exempel att göra en introduktion.
1 för att skapa en grupp med groupadd kommando kan den generella använda ftp gruppen eller någon grupp namn.
----- Relaterade kommando: groupadd ftpuser
----- Relaterade dokument: / etc / group
----- Hjälp: man groupadd
2 Skapa en användare, såsom testuser, kan användaren ställa upp adduser kommandot. Om du tidigare har etablerat en testuser användaren direkt kan redigera / etc / passwd till användaren att ftpuser denna grupp.
----- Relaterade kommando: adduser testuser-g ftpuser
----- Relaterade dokument: / etc / passwd
----- Hjälp: man adduser
3 ändra / etc / ftpaccess fil, lägga guestgroup definition: guestgroup ftpuser jag var en sådan förändring, och la den sista 5 raderna komprimera ja alla
tjära ja alla
chmod ingen anonym
ta bort någon anonym
skriv inte över någon anonym
byta namn på någon anonym
chmod ja gäst
ta bort ja gäst
skriva ja gäst
byta namn ja gäst
guestgroup ftpuser
Lägg guestgroup ftpuser Utöver denna linje, bör de andra fyra rader läggas till, annars användaren efter landning, även om användaren inte kan uppnå det syfte att återvända till överordnad katalog, men kan bara ladda upp, kan inte skriva över, radera filer!
----- Relaterade kommando: vi / etc / ftpaccess
----- Relaterade dokument: / etc / ftpaccess
----- Hjälp: man ftpaccess, man chroot
4 till användarens rotkatalog kopiera de nödvändiga filerna, kopiera FTP-server som kommer med katalogen / home / ftp / under bin, lib kopiera två kataloger till användarens rotkatalog, eftersom vissa kommandon (främst ls) behöver Lib stöd eller inte listning av kataloger och filer.
----- Relaterade kommando: cp-rf / home / ftp / lib / home / testuser, cp-rf / home / ftp / bin / home / testuser
5 Också glöm inte att stänga av användarens telnet rätt, annars vi slösar en oh. Hur tillåter inte att användare telnet? Är enkel: i / etc / shells Riga linje / dev / null, sedan kan du direkt redigera / etc / passwd, användarens skal inställd på / dev / null på den.
----- Relaterade kommando: vi / etc / passwd
Detta steg kan skapas i steg 2, när en användare första brunnen.
----- Relaterade kommando: adduser testuser-g ftpuser-s / dev / null
Liten erfarenhet: så länge som / home / ftp lib under bin och cp / etc / skel katalog, efter den nya användaren automatiskt CP bin och lib-katalogen till användaren katalogen, men du kan också lägga till public_html-katalog och cgi -bin katalog.
Efter dessa inställningar testuser användaren alla FTP-åtgärder kommer att begränsas till hans / home / testuser katalog.