提高网络安全性：匿名FTP安全设定

　　匿名FTP的设定：匿名FTP若有正确地设定与管理，将是一项很有价值的服务。这份文件的第一节提供一般匿名FTP最起始的设定方式。第二节提出当一个网站要在匿名FTP下提供可写入目录区的相关议题与面临的问题。第三节提供CERT以前的FTP相关Advisories信息。
　　以下的设定方式是由过去许多网站累积的经验与建议组成。我们认为可以让有个别需求的网站拥有不同设定的选择。
　　I.设定匿名FTP
　　A.FTPdaemon
　　网站必须确定目前使用的是最新版本的FTPdaemon。
　　B.设定匿名FTP的目录
　　匿名ftp的根目录(~ftp)和其子目录的拥有者不能为ftp帐号，或与ftp相同群组的帐号。这是一般常见的设定问题。假如这些目录被ftp或与ftp相同群组的帐号所拥有，又没有做好防止写入的保护，入侵者便可能在其中增加档案(例如：.rhosts檔)或修改其它档案。许多网站允许使用root帐号。让匿名FTP的根目录与子目录的拥有者是root，所属族群(group)为system，并限定存取权(如chmod0755)，如此只有root有写入的权力，这能帮助你维持FTP服务的安全。
　　以下是一个匿名ftp目录的设定范例：
drwxr-xr-x7rootsystem512Mar115:17./
drwxr-xr-x25rootsystem512Jan411:30../
drwxr-xr-x2rootsystem512Dec2015:43bin/
drwxr-xr-x2rootsystem512Mar1216:23etc/
drwxr-xr-x10rootsystem512Jun510:54pub/

　　所有的档案和链接库，特别是那些被FTPdaemon使用和那些在~ftp/bin与~ftp/etc中的档案，应该像上面范例中的目录做相同的保护。这些档案和链接库除了不应该被ftp帐号或与ftp相同群组的帐号所拥有之外，也必须防止写入。
　　C.使用合适的密码与群组档案
　　我们强烈建议网站不要使用系统中/etc/passwd做为~ftp/etc目录中的密码档案或将系统中/etc/group做为~ftp/etc目录中的群组档案。在~ftp/etc目录中放置这些档案会使得入侵者取得它们。这些档案是可自定的而且不是用来做存取控制。
　　
　　我们建议你在~ftp/etc/passwd与~ftp/etc/group使用代替的档案。这些档案必须由root所拥有。DIR命令会使用这代替的档案来显示档案及目录的拥有者和群组名称。网站必须确定~/ftp/etc/passwd档中没有包含任何与系统中/etc/passwd文件中相同的帐号名称。这些档案应该仅仅包含需要显示的FTP阶层架构中档案与目录的拥有者与所属群组名称。此外，确定密码字段是"整理"过的。例如使用「*」来取代密码字段。
　　以下为cert中匿名ftp的密码档案范例：

ssphwg:*:3144:20:SiteSpecificPolicyHandbookWorkingGroup::

看完这篇，您有何感觉呢？

上一篇：如何保证文件传输伺服器FTP的安全   下一篇：FTP站点的建立与维护

用户名(必填) 新注册

密码(必填) 匿名评论