匿名FTP的安全设定.doc

匿名FTP的安全设定 555影视/ 在网络上，匿名FTP是一个很常用的服务，常用于软件下载网站，软件交流网站等，为了提高匿名FTP服务开放的过程中的安全性，我们就这一问题进行一些讨论。 　　以下的设定方式是由过去许多网站累积的经验与建议组成。我们认为可以让有个别 　　需求的网站拥有不同设定的选择。 　　设定匿名FTP 　　A.FTPdaemon 　　网站必须确定目前使用的是必威体育精装版版本的FTPdaemon。 　　B设定匿名FTP的目录 　　匿名ftp的根目录(~ftp)和其子目录的拥有者不能为ftp帐号，或与ftp相同群组的帐号。这是一般常见的设定问题。假如这些目录被ftp或与ftp相同群组的帐号所拥有，又没有做好防止写入的保护，入侵者便可能在其中增加文件(例如：.rhosts？n)或修改其它文件。许多网站?市硎褂？root帐号。让匿名FTP的根目录与子目录的拥有者是root，所属族群(group)为system?？并限定存取？?如chmod0755)，如此只有root有写入的权力，这能帮助你维持FTP服务的安?？？? 　　以下是一个匿名ftp目录的设定范例： 　　drwxr-xr-x7rootsystem512Mar115:17./ 　　drwxr-xr-x25rootsystem512Jan411:30 　　drwxr-xr-x2rootsystem512Dec2015:43bin/ 　　drwxr-xr-x2rootsystem512Mar1216:23etc/ 　　drwxr-xr-x10rootsystem512Jun510:54pub/ 　　所有的文件和链接库，特别是那些被FTPdaemon使用和那些在~ftp/bin与~ftp/etc中的文 　　件，应该像上面范例中的目录做相同的保护。这些文件和链接库除了不应该被ftp帐号或与f 　　tp相同群组的帐号所拥有之外，也必须防止写入。 　　C.使用合实拿苈胗肴鹤槲募?我们强烈建议网站不要使用系统中/etc/passwd做为~ftp/etc目录中的密码文件或将系统 　　中/etc/group做为~ftp/etc目录中的群组文件。在~ftp/etc目录中放置这些文件会使得入 　　侵者取得它们。这些文件是可自定的而且不是用来做存取控制。 　　我们建议你在~ftp/etc/passwd与~ftp/etc/group使用代替的文件。这些文件必须由roo 　　t所拥有。DIR命令会使用这代替的文件来显示文件及目录的拥有者和群组名称。网站必须确 　　定~/ftp/etc/passwd档中没有包含任何与系统中/etc/passwd文件中相同的帐号名称。这些 　　文件应该仅仅包含需要显示的FTP阶层架构中文件与目录的拥有者与所属群组名称。此外，确 　　定密码字段是整理过的。例如使用「*」来取代密码字段。 　　以下为cert中匿名ftp的密码文件范例 　　ssphwg:*:3144:20:SiteSpecificPolicyHandbookWorkingGroup:: 　　cops:*:3271:20:COPSDistribution:: 　　cert:*:9920:20:CERT:: 　　tools:*:9921:20:CERTTools:: 　　ftp:*:9922:90:AnonymousFTP:: 　　nist:*:9923:90:NISTFiles:: 　　以下为cert中匿名ftp的群组文件范例 　　cert:*:20: 　　ftp:*:90: 　　II..在你的匿名ftp提供可写入的目录 　　让一个匿名ftp服务允许使用者储存文件是有风险存在的。我们强烈提醒网站不要自动建立一 　　个上传目录，除非已考虑过相关的风险。CERT/CC的事件回报成员接获许多使用上传目录造成 　　非法传输版权软件或交换帐号与密码信息的事件。也接获恶意地将系统文件灌报造成denial 　　ofservice问题。 　　本节在讨论利用三种方法来解决这个问题。第一种方法是使用一个修正过的FTPdaemon。第 　　二个方法是提供对特定目录的写入限制。第三种方法是使用独立的目录。 　　A.修正过的FTPdaemon 　　假如你的网站计划提供目录用来做文件上传，我们建议使用修正过的FTPdaemon对文件上传 　　的目录做存取的控制。这是避免使用不需要的写入区域的最好的方法。以下有一些建议： 　　1.限定上传的文件无法再被存取，如此可由系统管理者检测后，再放至于适当位置供人下载 　　。 　　2.限制每个联机的上传资料大小。 　　3.依照现有的磁盘大小限制数据传输的总量。 　　4.增加登录记录以提前发现不当的使用。 　　若您欲修改FTPdaemon，您应该可以从厂商那里拿到程序代码，或者您可从下列地方取得 　　公