当前位置: 首页 > 图文教程 > 服务器 > 安全防护 > 教你如何巧妙设定匿名FTP的安全(2)

安全防护
2003服务器防止海洋木马的安全设置(1)
2003服务器防止海洋木马的安全设置(2)
2003服务器防止海洋木马的安全设置(3)
加固脆弱的IIS服务
linux操作系统的优化及安全配置(1)
linux操作系统的优化及安全配置(2)
linux操作系统的优化及安全配置(3)
Server2003 DNS服务安装篇(2)
Server2003 DNS服务安装篇(3)
Server2003 DNS服务安装篇(4)
WindowsServer2003安全事件ID分析(1)
WindowsServer2003安全事件ID分析(2)
打造安全的Windows 2003系统(5)
Win2003 Server手动设置全攻略(1)
Win2003 Server手动设置全攻略(2)
Win2003 Server手动设置全攻略(3)
Win2003 Server手动设置全攻略(4)
搜索型注入之我看
为Windows 2003安全—层层设防(1)
为Windows 2003安全—层层设防(2)

安全防护 中的 教你如何巧妙设定匿名FTP的安全(2)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-29   浏览: 44 ::
收藏到网摘: n/a

 A. 修正过的FTP daemon
  
  假如你的网站计划提供目录用来做文件上传,我们建议使用修正过的FTP daemon对文件上传的目录做存取的控制。这是避免使用不需要的写入区域的最好的方法。以下有一些建议:
  
  1.限定上传的文件无法再被存取, 如此可由系统管理者检测后,再放至于适当位置供人下载。
  
  2.限制每个联机的上传资料大小。
  
  3.依照现有的磁盘大小限制数据传输的总量。
  
  4.增加登录记录以提前发现不当的使用。
  
  若您欲修改FTP daemon, 您应该可以从厂商那里拿到程序代码, 或者您可从下列地方取得公开的FTP程序原始码:
  
  wuarchive.wustl.edu ~ftp/packages/wuarchive-ftpd
  
  ftp.uu.net ~ftp/systems/unix/bsd-sources/libexec/ftpd
  
  gatekeeper.dec.com ~ftp/pub/DEC/gwtools/ftpd.tar.Z
  
  CERT/CC 并没有正式地对所提到的FTP daemon做检测、评估或背书。要使用何种FTP daemon 由每个使用者或组织负责决定,而CERT/CC建议每个机关在安装使用这些程序之前, 能做一个彻底的评估。
  
  B. 使用保护的目录
  
  假如你想要在你的FTP站提供上传的服务, 而你又没办法去修改FTP daemon, 我们就可以使用较复杂的目录架构来控制存取。这个方法需要事先规划并且无法百分之百防止FTP可写入区域遭不当使用, 不过许多FTP站仍使用此方法。
  
  为了保护上层的目录(~ftp/incoming), 我们只给匿名的使用者进入目录的权限(chmod 751~ftp/incoming)。这个动作将使得使用者能够更改目录位置(cd),但不允许使用者检视目录内容。Ex:
  
  drwxr-x--x 4 root system 512 Jun 11 13:29 incoming/
  
  在~ftp/incoming使用一些目录名只让你允许他们上传的人知道。为了要让别人不易猜到目录名称, 我们可以用设定密码的规则来设定目录名称。请不要使用本文的目录名称范例(避免被有心人士发现您的目录名, 并上传文件)
  
  drwxr-x-wx 10 root system 512 Jun 11 13:54 jAjwUth2/
  
  drwxr-x-wx 10 root system 512 Jun 11 13:54 MhaLL-iF/
  
  很重要的一点是,一旦目录名被有意无意的泄漏出来, 那这个方法就没什么保护作用。只要目录名称被大部分人知道, 就无法保护那些要限定使用的区域。假如目录名被大家所知道,那你就得选择删除或更改那些目录名。
  
  C. 只使用一颗硬盘:
  
  假如你想要在你的FTP站提供上传的服务, 而你又没办法去修改FTP daemon,您可以将所有上传的资料集中在同一个挂(mount)在~ftp/incoming上的文件系统。可以的话 ,将一颗单独的硬盘挂(mount)在~ftp/incoming上。系统管理者应持续检视这个目录(~ftp/incoming), 如此便可知道开放上传的目录是否有问题。
  
  限制FTP用户目录
  
  匿名FTP可以很好地限制用户只能在规定的目录范围内活动,但正式的FTP用户默认不会受到这种限制,这样,他可以自由在根目录、系统目录、其他用户的目录中读取一些允许其他用户读取的文件。
  
  如何才能把指定的用户象匿名用户一样限制在他们自己的目录中呢?以下我们以red hat和wu-ftp为例做一介绍。
  
  1 创建一个组,用groupadd命令,一般可以就用ftp组,或者任何组名.
  
  -----相关命令: groupadd ftpuser
  
  -----相关文件: /etc/group
  
  -----相关帮助: man groupadd
  
  2 创建一个用户,如testuser,建立用户可用adduser命令.如果你已在先前建立了 testuser这个用户,可以直接编辑/etc/passwd文件,把这个用户加入到ftpuser这个组中.
  
  -----相关命令: adduser testuser -g ftpuser
  
  -----相关文件: /etc/passwd
  
  -----相关帮助: man adduser