提高网络安全性：匿名FTP安全设定

cops:*:3271:20:COPSDistribution::
cert:*:9920:20:CERT::
tools:*:9921:20:CERTTools::
ftp:*:9922:90:AnonymousFTP::
nist:*:9923:90:NISTFiles::

　　
　　以下为cert中匿名ftp的群组档案范例：

cert:*:20:
ftp:*:90:



　　II.在你的匿名ftp提供可写入的目录

　　让一个匿名ftp服务允许使用者储存档案是有风险存在的。我们强烈提醒网站不要自动建立一个上传目录，除非已考虑过相关的风险。CERT/CC的事件回报成员接获许多使用上传目录造成非法传输版权软件或交换帐号与密码信息的事件。也接获恶意地将系统档案灌报造成denialofservice问题。

　　本节在讨论利用三种方法来解决这个问题。第一种方法是使用一个修正过的FTPdaemon。第二个方法是提供对特定目录的写入限制。第三种方法是使用独立的目录。

　　A.修正过的FTPdaemon

　　假如你的网站计划提供目录用来做档案上传，我们建议使用修正过的FTPdaemon对档案上传的目录做存取的控制。这是避免使用不需要的写入区域的最好的方法。以下有一些建议：

　　1.限定上传的档案无法再被存取，如此可由系统管理者检测后，再放至于适当位置供人下载。

dedecms.com

　　2.限制每个联机的上传资料大小。

　　3.依照现有的磁盘大小限制数据传输的总量。

　　4.增加登录记录以提前发现不当的使用。

　　若您欲修改FTPdaemon，您应该可以从厂商那里拿到程序代码，或者您可从下列地方取得公开的FTP程序原始码：

wuarchive.wustl.edu~ftp/packages/wuarchive-ftpd
ftp.uu.net~ftp/systems/unix/bsd-sources/libexec/ftpd
gatekeeper.dec.com~ftp/pub/DEC/gwtools/ftpd.tar.Z



　　CERT/CC并没有正式地对所提到的FTPdaemon做检测、评估或背书。要使用何种FTPdaemon由每个使用者或组织负责决定，而CERT/CC建议每个机关在安装使用这些程序之前，能做一个彻底的评估。

　　B.使用保护的目录

　　假如你想要在你的FTP站提供上传的服务，而你又没办法去修改FTPdaemon，我们就可以使用较复杂的目录架构来控制存取。这个方法需要事先规划并且无法百分之百防止FTP可写入区域遭不当使用，不过许多FTP站仍使用此方法。

　　为了保护上层的目录(~ftp/incoming)，我们只给匿名的使用者进入目录的权限(chmod751~ftp/incoming)。这个动作将使得使用者能够更改目录位置(cd)，但不允许使用者检视目录内容。Ex:drwxr-x--x4rootsystem512Jun1113:29incoming/在~ftp/incoming使用一些目录名只让你允许他们上传的人知道。为了要让别人不易猜到目录名称，我们可以用设定密码的规则来设定目录名称。请不要使用本文的目录名称范例(避免被有心人士发现您的目录名，并上传档案)

看完这篇，您有何感觉呢？

上一篇：如何保证文件传输伺服器FTP的安全   下一篇：FTP站点的建立与维护

用户名(必填) 新注册

密码(必填) 匿名评论