- 論壇徽章:
- 0
|
主要業(yè)務(wù)有{(1)域名的注冊(2)虛擬主機的購買(3)服務(wù)器的租用和托管(4)大帶寬的租用(5)整機柜的租用}
-------------------------------------------------------------------------------
FTP是一種文件傳輸協(xié)議�。有時我們把他形象的叫做“文件交流集中地”��。FTP文件服務(wù)器的主要用途就是提供文件存儲的空間,讓用戶可以上傳或者下載所需要的文件��。在企業(yè)中��,往往會給客戶提供一個特定的FTP空間����,以方便跟可以進行一些大型文件的交流,如大到幾百兆的設(shè)計圖紙等等����。同時,F(xiàn)TP還可以作為企業(yè)文件的備份服務(wù)器��,如把數(shù)據(jù)庫等關(guān)鍵應(yīng)用在FTP服務(wù)器上實現(xiàn)異地備份等等����。
可見,F(xiàn)TP服務(wù)器在企業(yè)中的應(yīng)用是非常廣泛的�。真是因為其功能如此的強大,所以����,很多黑客、病毒也開始“關(guān)注”他了。他們企圖通過FTP服務(wù)器為跳板����,作為他們傳播木馬、病毒的源頭�����。同時���,由于FTP服務(wù)器上存儲著企業(yè)不少有價值的內(nèi)容。在經(jīng)濟利益的誘惑下����,F(xiàn)TP服務(wù)器也就成為了別人攻擊的對象。
所以�����,F(xiàn)TP服務(wù)器的安全性工作也逐漸顯得重要�����。筆者采用的FTP服務(wù)器是基于Linxu操作系統(tǒng)平臺上的Vsftpd軟件�����。筆者今天就以這個軟件為例,談?wù)勅绾稳粽誇TP服務(wù)器的安全設(shè)計���。
一���、誰可以訪問FTP服務(wù)器?
在考慮FTP服務(wù)器安全性工作的時候�,第一步要考慮的就是誰可以訪問FTP服務(wù)器。在Vsftpd服務(wù)器軟件中���,默認提供了三類用戶���。不同的用戶對應(yīng)著不同的權(quán)限與操作方式。
一類是Real帳戶����。這類用戶是指在FTP服務(wù)上擁有帳號。當這類用戶登錄FTP服務(wù)器的時候��,其默認的主目錄就是其帳號命名的目錄����。但是��,其還可以變更到其他目錄中去�����。如系統(tǒng)的主目錄等等�����。
第二類帳戶實Guest用戶����。在FTP服務(wù)器中���,我們往往會給不同的部門或者某個特定的用戶設(shè)置一個帳戶。但是���,這個賬戶有個特點�����,就是其只能夠訪問自己的主目錄��。服務(wù)器通過這種方式來保障FTP服務(wù)上其他文件的安全性�。這類帳戶,在Vsftpd軟件中就叫做Guest用戶�。擁有這類用戶的帳戶,只能夠訪問其主目錄下的目錄�����,而不得訪問主目錄以外的文件�。
第三類帳戶是Anonymous(匿名)用戶,這也是我們通常所說的匿名訪問�����。這類用戶是指在FTP服務(wù)器中沒有指定帳戶�����,但是其仍然可以進行匿名訪問某些公開的資源�����。
在組建FTP服務(wù)器的時候�����,我們就需要根據(jù)用戶的類型��,對用戶進行歸類。默認情況下���,Vsftpd服務(wù)器會把建立的所有帳戶都歸屬為Real用戶�����。但是����,這往往不符合企業(yè)安全的需要�����。因為這類用戶不僅可以訪問自己的主目錄�����,而且����,還可以訪問其他用戶的目錄�����。這就給其他用戶所在的空間 帶來一定的安全隱患。所以��,企業(yè)要根據(jù)實際情況�,修改用戶雖在的類別。
修改方法:
第一步:修改/etc/Vsftpd/vsftpd.conf文件����。
默認情況下,只啟用了Real與Anonymous兩類用戶��。若我們需要啟用Guest類用戶的時候���,就需要把這個選項啟用�����。修改/etc/Vsftpd/vsftpd.conf文件���,把其中的“chroot_list_enable=YES”這項前面的注釋符號去掉。去掉之后��,系統(tǒng)就會自動啟用Real類型的帳戶�����。
第二步:修改/etc/vsftpd.conf文件。
若要把某個FTP服務(wù)器的帳戶歸屬為Guest帳戶�,則就需要在這個文件中添加用戶。通常情況下�,F(xiàn)TP服務(wù)器上沒有這個文件,需要用戶手工的創(chuàng)建���。利用VI命令創(chuàng)建這個文件之后���,就可以把已經(jīng)建立的FTP帳戶加入到這個文件中。如此的話�,某個帳戶就屬于Real類型的用戶了。他們登錄到FTP服務(wù)器后�,只能夠訪問自己的主目錄,而不能夠更改主目錄��。
第三步:重新啟動FTP服務(wù)器�。
按照上述步驟配置完成后,需要重新啟動FTP服務(wù)器��,其配置才能夠生效�����。我們可以重新啟動服務(wù)器��,也可以直接利用Restart命令來重新啟動FTP服務(wù)����。
在對用戶盡心分類的時候,筆者有幾個善意的提醒���。 )
一是盡量采用Guest類型的用戶����,而減少Real類行的用戶����。一般我們在建立FTP帳戶的時候,用戶只需要訪問自己的主目錄下的文件即可�����。當給某個用戶的權(quán)限過大時�����,會對其他用戶文件的安全產(chǎn)生威脅�����。
二、哪些帳號不可以訪問FTP服務(wù)器�����?
在以下幾種情況下����,我們要禁止這些賬戶訪問FTP服務(wù)器,以提高服務(wù)器的安全���。
一是某些系統(tǒng)帳戶�。如ROOT帳戶�。這個賬戶默認情況下是Linxu系統(tǒng)的管理員帳戶,其對系統(tǒng)具有最高的操作與管理權(quán)限��。若允許用戶以這個賬戶為賬戶名進行登陸的話�����,則用戶不但可以訪問Linux系統(tǒng)的所有資源��,而且��,還好可以進行系統(tǒng)配置�。這對于FTP服務(wù)器來說,顯然危害很大��。所以����,往往不允許用戶以這個Root等系統(tǒng)帳戶身份登陸到FTP服務(wù)器上來。
第二類是一些臨時賬戶��。有時候我們出于臨時需要��,為開一些臨時賬戶���。如需要跟某個客戶進行圖紙上的交流�����,而圖紙本身又比較大時�����,F(xiàn)TP服務(wù)器就是一個很好的圖紙中轉(zhuǎn)工具���。在這種情況下,就需要為客戶設(shè)立一個臨時賬戶。這些賬戶用完之后����,一般就加入到了黑名單。等到下次需要再次用到的時候�,再啟用他。
在vstftpd服務(wù)器中���,要把某些用戶加入到黑名單�����,也非常的簡單����。在Vsftpd軟件中���,有一個/etc/vsftpd.user_lise配置文件���。這個文件就是用來指定哪些賬戶不能夠登陸到這個服務(wù)器。我們利用vi命令查看這個文件�,通常情況下,一些系統(tǒng)賬戶已經(jīng)加入到了這個黑名單中�。FTP服務(wù)器管理員要及時的把一些臨時的或者不再使用的帳戶加入到這個黑名單中�����。從而才可以保證未經(jīng)授權(quán)的賬戶訪問FTP服務(wù)器。在配置后��,往往不需要重新啟動FTP服務(wù)�����,配置就會生效���。
不過�,一般情況下�����,不會影響當前會話�。也就是說,管理員在管理FTP服務(wù)器的時候����,發(fā)現(xiàn)有一個非法賬戶登陸到了FTP服務(wù)器。此時��,管理員馬上把這個賬戶拉入黑名單。但是���,因為這個賬戶已經(jīng)連接到FTP服務(wù)器上�����,所以�����,其當前的會話不會受到影響�。當其退出當前會話����,下次再進行連接的時候,就不允許其登陸FTP服務(wù)器了�����。所以���,若要及時的把該賬戶禁用掉的話�,就需要在設(shè)置好黑名單后�����,手工的關(guān)掉當前的會話。
對于一些以后不再需要使用的帳戶時�����,管理員不需要把他加入黑名單�����,而是直接刪除用戶為好���。同時,在刪除用用戶的時候��,要記得把用戶對應(yīng)的主目錄也一并刪除�。不然主目錄越來越多,會增加管理員管理的工作量��。在黑名單中��,只保留那些將來可能利用的賬戶或者不是用作FTP服務(wù)器登陸的賬戶���。這不但可以減少服務(wù)器管理的工作量�����,而且�����,還可以提高FTP服務(wù)器的安全性�。
三、匿名賬戶也可以上傳文件
在系統(tǒng)默認配置下����,匿名類型的用戶只可以下載文件,而不能夠上傳文件��。雖然這不是我們推薦的配置�����,但是���,有時候出于一些特殊的需要����,確實要開啟這個功能���。如筆者以前在企業(yè)中�����,利用這個功能實現(xiàn)了對用戶終端文件進行備份的功能���。為了設(shè)置的方便����,就在FTP服務(wù)器上開啟了匿名訪問����,并且允許匿名訪問賬戶網(wǎng)某個特定的文件夾中上傳某個文件�����。
若要讓匿名用戶上傳文件�����,則首先要建立一個目錄��,并且把這個目錄指定為匿名用戶具有更新的權(quán)限����。以后匿名用戶需要上傳文件的時候��,只能夠王這個文件夾中傳�。而不能夠像Real用戶那樣���,網(wǎng)其他用戶的文件夾中上傳文件��。
文件目錄設(shè)置好之后��,再修改/etc/vsftpd/vsftpd.conf配置文件�。把這個文件下的有關(guān)匿名賬戶的功能啟用�。默認情況下,跟匿名賬戶相關(guān)的功能���,如更新�、增加目錄等功能都是被注釋掉的�����。管理員需要把這個注釋符號去掉�����,匿名賬戶才能夠網(wǎng)特定的賬戶中上傳文件。
筆者再次重申一遍����,一般情況下,是不建議用戶開啟匿名賬戶的文件上傳功能�。因為很難保證匿名賬戶上傳的文件中,不含有一些破壞性的程序���,如病毒或者木馬等等���。有時候,雖然開啟了這個功能����,但是往往會在IP上進行限制��。如只允許企業(yè)內(nèi)部IP可以進行匿名訪問并上傳文件�����,其他賬戶則不行�。如此的話,可以防止外部用戶未經(jīng)授權(quán)匿名訪問企業(yè)的FTP服務(wù)器�����。若用戶具有合法的賬戶,就可以在外網(wǎng)中登陸到FTP服務(wù)器上�����。
總之��,在FTP服務(wù)器安全管理上��,主要關(guān)注三個方面的問題����。一是未經(jīng)授權(quán)的用戶不能往FTP空間上上傳文件;二是用戶不得訪問未經(jīng)授權(quán)的目錄�,以及對這些目錄的文件進行更改,包括刪除與上傳�����;三是FTP服務(wù)器本身的穩(wěn)定性��。以上三個問題中的前兩部分內(nèi)容����,都可以通過上面的三個方法有效的解決��。相信管理員靈活采用如上的方法����,可以在保障企業(yè)應(yīng)用的前期下����,提高FTP服務(wù)器的安全性。
二是盡量不要采用匿名類型的帳戶����。因為他們在沒有授權(quán)的情況下,就可以訪問FTP服務(wù)器�。雖然其訪問的資源受到一定的限制,但是��,仍然具有危險性��。故在沒有特殊需要的情況下�,最好把匿名類型帳戶禁用掉,
服務(wù)器租用托管等����,誠信為客戶,質(zhì)量贏生存!
QQ:349724240 |
|
免費注冊
發(fā)表于 2009-04-03 10:43