Linux系統(tǒng) 改善FTP服務(wù)器的安全性

2019-11-02 16:32:19

字體：大中小

供稿：網(wǎng)友

如何防止攻擊者通過非法手段竊取FTP服務(wù)器中的重要信息;如何防止攻擊者利用FTP服務(wù)器來傳播木馬與病毒等等。這些都是系統(tǒng)管理員所需要關(guān)注的問題。這次我就已Linux操作系統(tǒng)平臺上使用的最廣泛的VSFTP為例，談?wù)勅绾蝸硖岣逨TP服務(wù)器的安全性。

　　一、禁止系統(tǒng)級別用戶來登錄FTP服務(wù)器。

　　為了提高FTP服務(wù)器的安全，系統(tǒng)管理員最好能夠為員工設(shè)置單獨的FTP帳號，而不要把系統(tǒng)級別的用戶給普通用戶來使用，這會帶來很大的安全隱患。在VSFTP服務(wù)器中，可以通過配置文件vsftpd.ftpusers來管理登陸帳戶。不過這個帳戶是一個黑名單，列入這個帳戶的人員將無法利用其帳戶來登錄FTP服務(wù)器。部署好VSFTP服務(wù)器后，我們可以利用vi命令來查看這個配置文件，發(fā)現(xiàn)其已經(jīng)有了許多默認(rèn)的帳戶。其中，系統(tǒng)的超級用戶root也在其中。可見出于安全的考慮，VSFTP服務(wù)器默認(rèn)情況下就是禁止root帳戶登陸FTP服務(wù)器的。如果系統(tǒng)管理員想讓root等系統(tǒng)帳戶登陸到FTP服務(wù)器，則知需要在這個配置文件中將root等相關(guān)的用戶名刪除即可。不過允許系統(tǒng)帳戶登錄FTP服務(wù)器，會對其安全造成負(fù)面的影響，為此我不建議系統(tǒng)管理員這么做。對于這個文件中相關(guān)的系統(tǒng)帳戶管理員最好一個都不要改，保留這些帳號的設(shè)置。

　　如果出于其他的原因，需要把另外一些帳戶也禁用掉，則可以把帳戶名字加入到這個文件中即可。如在服務(wù)器上可能同時部署了FTP服務(wù)器與數(shù)據(jù)庫服務(wù)器。那么為了安全起見，把數(shù)據(jù)庫管理員的帳戶列入到這個黑名單，是一個不錯的做法。

　　二、加強對匿名用戶的控制。

　　匿名用戶是指那些在FTP服務(wù)器中沒有定義相關(guān)的帳戶，而FTP系統(tǒng)管理員為了便于管理，仍然需要他們進(jìn)行登陸。但是他們畢竟沒有取得服務(wù)器的授權(quán)，為了提高服務(wù)器的安全性，必須要對他們的權(quán)限進(jìn)行限制。在VSFTP服務(wù)器上也有很多參數(shù)可以用來控制匿名用戶的權(quán)限。系統(tǒng)管理員需要根據(jù)FTP服務(wù)器的安全級別，來做好相關(guān)的配置工作。需要說明的是，匿名用戶的權(quán)限控制的越嚴(yán)格，F(xiàn)TP服務(wù)器的安全性越高，但是同時用戶訪問的便利性也會降低。故最終系統(tǒng)管理員還是需要在服務(wù)器安全性與便利性上取得一個均衡。

　　下面是我推薦的幾個針對匿名用戶的配置，大家若不清楚該如何配置的話，可以參考這些配置。這些配置兼顧了服務(wù)器的安全與用戶的使用便利。

　　一是參數(shù)anon_world_readable_only。這個參數(shù)主要用來控制匿名用戶是否可以從FTP服務(wù)器上下載可閱讀的文件。如果FTP服務(wù)器部署在企業(yè)內(nèi)部，主要供企業(yè)內(nèi)部員工使用的話，則最好把這個參數(shù)設(shè)置為YES。然后把一些企業(yè)常用表格等等可以公開的文件放置在上面，讓員工在匿名的情況下也可以下載這些文件。這即不會影響到FTP服務(wù)器的安全，而且也有利于其他員工操作的便利性上。

　　二是參數(shù)anon_upload_enable。這個參數(shù)表示匿名用戶能否在匿名訪問的情況下向FTP服務(wù)器上傳文件。通常情況下，應(yīng)該把這個參數(shù)設(shè)置為No。即在匿名訪問時不允許用戶上傳文件。否則的話，隨便哪個人都可以上傳文件的話，那對方若上傳一個病毒文件，那企業(yè)不是要遭殃了。故應(yīng)該禁止匿名用戶上傳文件。但是這也有例外。如有些企業(yè)通過FTP協(xié)議來備份文件。此時如果企業(yè)網(wǎng)絡(luò)的安全性有所保障的話，可以把這個參數(shù)設(shè)置為YES，即允許操作系統(tǒng)調(diào)用FTP命令往FTP服務(wù)器上備份文件。在這種情況下，為了簡化備份程序的部署，往往采用匿名訪問。故需要在FTP服務(wù)器上允許匿名用戶上傳文件。

　　三是參數(shù)anon_other_write_enable與參數(shù)anon_mkdir_write_enable。這兩個參數(shù)主要涉及到匿名用戶的一些比較高級的權(quán)限。如第一個參數(shù)表示匿名用戶具有上傳和建立子目錄之外的權(quán)限，如可以更改FTP服務(wù)器上文件的名字等等。而第二個參數(shù)則表示匿名用戶可以在特定的情況下建立子目錄。這些功能都會影響到FTP服務(wù)器的安全與文件的安全。為此除非有特別需要的原因，否則的話都應(yīng)該把這些權(quán)限禁用掉。即把這些參數(shù)的值設(shè)置為NO。我認(rèn)為，除非FTP服務(wù)器是系統(tǒng)管理員拿來玩玩的，可以開啟這些參數(shù)。否則的話，還是把這些參數(shù)設(shè)置為NO為好，以提高FTP服務(wù)器的安全。

上一篇：Linux FTP服務(wù)器配置第1/2頁

下一篇：linux備份與恢復(fù)基礎(chǔ)知識