　　在网络上，匿名FTP是一个很常用的服务，常用于软件下载网站，软件交流网站等，为了提高匿名FTP服务开放的过程中的安全性，我们就这一问题进行一些讨论。

　　以下的设定方式是由过去许多网站累积的经验与建议组成。我们认为可以让有个别需求的网站拥有不同设定的选择。

　　设定匿名FTP

　　A.FTP daemon

　　网站必须确定目前使用的是最新版本的FTP daemon。

　　B设定匿名FTP的目录

　　匿名ftp的根目录(~ftp)和其子目录的拥有者不能为ftp帐号，或与ftp相同群组的帐号。这是一般常见的设定问题。假如这些目录被ftp或与ftp相同群组的帐号所拥有，又没有做好防止写入的保护，入侵者便可能在其中增加文件(例如：.rhosts檔)或修改其它文件。许多网站?市硎褂胷oot帐号。让匿名FTP的根目录与子目录的拥有者是root，所属族群(group)为system?，如此只有root有写入的权力，这能帮助你维持FTP服务的安全?

　　以下是一个匿名ftp目录的设定范例：

　　drwxr-xr-x 7 root system 512 Mar 1 15:17 ./

　　drwxr-xr-x 25 root system 512 Jan 4 11:30 ../

　　drwxr-xr-x 2 root system 512 Dec 20 15:43 bin/

　　drwxr-xr-x 2 root system 512 Mar 12 16:23 etc/

　　drwxr-xr-x 10 root system 512 Jun 5 10:54 pub/ 　　　

　　所有的文件和链接库，特别是那些被FTP daemon使用和那些在 ~ftp/bin 与~ftp/etc 中的文

　　件，应该像上面范例中的目录做相同的保护。这些文件和链接库除了不应该被ftp帐号或与f

　　tp相同群组的帐号所拥有之外，也必须防止写入。
　
　　C.我们强烈建议网站不要使用系统中 /etc/passwd 做为~ftp/etc 目录中的密码文件或将系统

　　中 /etc/group 做为 ~ftp/etc目录中的群组文件。在~ftp/etc目录中放置这些文件会使得入

　　侵者取得它们。这些文件是可自定的而且不是用来做存取控制。　　　

　　我们建议你在 ~ftp/etc/passwd 与 ~ftp/etc/group 使用代替的文件。这些文件必须由roo

　　t所拥有。DIR命令会使用这代替的文件来显示文件及目录的拥有者和群组名称。网站必须确

　　定 ~/ftp/etc/passwd档中没有包含任何与系统中 /etc/passwd文件中相同的帐号名称。这些

　　文件应该仅仅包含需要显示的FTP阶层架构中文件与目录的拥有者与所属群组名称。此外，确

　　定密码字段是"整理"过的。例如使用「*」来取代密码字段。

　　以下为cert中匿名ftp的密码文件范例

　　ssphwg:*:3144:20:Site Specific Policy Handbook Working Group::

　　cops:*:3271:20:COPS Distribution::

　　cert:*:9920:20:CERT::

　　tools:*:9921:20:CERT Tools::

　　ftp:*:9922:90:Anonymous FTP::

　　nist:*:9923:90:NIST Files:: 　　　

　　以下为cert中匿名ftp的群组文件范例

　　cert:*:20:

　　ftp:*:90:

　　　　　II..在你的匿名ftp提供可写入的目录 　　　

　　让一个匿名ftp服务允许使用者储存文件是有风险存在的。我们强烈提醒网站不要自动建立一个上传目录，除非已考虑过相关的风险。CERT/CC的事件回报成员接获许多使用上传目录造成非法传输版权软件或交换帐号与密码信息的事件。也接获恶意地将系统文件灌报造成denialof service问题。　　　
　　本节在讨论利用三种方法来解决这个问题。第一种方法是使用一个修正过的FTP daemon。第二个方法是提供对特定目录的写入限制。第三种方法是使用独立的目录。　　

　　A. 修正过的FTP daemon

　　假如你的网站计划提供目录用来做文件上传，我们建议使用修正过的FTP daemon对文件上传的目录做存取的控制。这是避免使用不需要的写入区域的最好的方法。以下有一些建议：　　

　　1.限定上传的文件无法再被存取，如此可由系统管理者检测后，再放至于适当位置供人下载。

　　2.限制每个联机的上传资料大小。

　　3.依照现有的磁盘大小限制数据传输的总量。

　　4.增加登录记录以提前发现不当的使用。　　

　　若您欲修改FTP daemon，您应该可以从厂商那里拿到程序代码，或者您可从下列地方取得公开的FTP程序原始码:

　　wuarchive.wustl.edu ~ftp/packages/wuarchive-ftpd

　　ftp.uu.net ~ftp/systems/unix/bsd-sources/libexec/ftpd

[1] [2] [3] 下一页

上一篇:代理服务器应用基础知识

下一篇:AWStats在IIS中的配置步骤

巧妙设定匿名FTP的安全相关文章：

·IE浏览器再现严重安全漏洞微软紧急发补丁程序

·Windows 2003安全设置大全-IIS、终端服务、FTP、SQL的配置

·企业局域网安全解决方案

·使用Windows的安全802.11网络企业部署一

·如何进入QQ空间安全模式

·巧妙突破大容量邮箱附件大小限制

巧妙设定匿名FTP的安全相关软件：

·Kaspersky(卡巴斯基) Internet Security 安全套装 V6.0.2.621 中文版

·如何加固Windows XP 主机安全

·美萍安全卫士v12.3

·温瑞安全集

·2007网络安全黄皮书V1.0.0

·防骗安全教育片

·360安全卫士v3.2

·动网论坛 v6.0最新安全补丁 For SQL(0613)

·嗅探与安全大师V1.2.0.2

·水库大坝安全管理条例

特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员，我们尽快予以更正。
[打印本页] [关闭窗口] 转载请注明来源：http://www.viphot.com

	\| 帮助(？) \| 版权声明 \| 友情连接 \| 关于我们 \| 信息发布
Copyright 2007 www.viphot.com All Rights Reserved.	鄂ICP备05000083号Powered by:viphot