當(dāng)前位置 : 首頁>網(wǎng)絡(luò)\服務(wù)器>學(xué)堂>正文

三招提高FTP服務(wù)器安全性

http://m.yibo1263.com　2009-4-21 8:09:13 　來源:東北IT網(wǎng) 　編輯:葉子

FTP是一種文件傳輸協(xié)議。有時我們把他形象的叫做“文件交流集中地”。FTP文件服務(wù)器的主要用途就是提供文件存儲的空間，讓用戶可以上傳或者下載所需要的文件。在企業(yè)中，往往會給客戶提供一個特定的FTP空間，以方便跟可以進行一些大型文件的交流，如大到幾百兆的設(shè)計圖紙等等。同時，F(xiàn)TP還可以作為企業(yè)文件的備份服務(wù)器，如把數(shù)據(jù)庫等關(guān)鍵應(yīng)用在FTP服務(wù)器上實現(xiàn)異地備份等等。

可見，F(xiàn)TP服務(wù)器在企業(yè)中的應(yīng)用是非常廣泛的。真是因為其功能如此的強大，所以，很多黑客、病毒也開始“關(guān)注”他了。他們企圖通過FTP服務(wù)器為跳板，作為他們傳播木馬、病毒的源頭。同時，由于FTP服務(wù)器上存儲著企業(yè)不少有價值的內(nèi)容。在經(jīng)濟利益的誘惑下，F(xiàn)TP服務(wù)器也就成為了別人攻擊的對象。

所以，F(xiàn)TP服務(wù)器的安全性工作也逐漸顯得重要。筆者采用的FTP服務(wù)器是基于Linxu操作系統(tǒng)平臺上的Vsftpd軟件。筆者今天就以這個軟件為例，談?wù)勅绾稳粽誇TP服務(wù)器的安全設(shè)計。

一、誰可以訪問FTP服務(wù)器？

在考慮FTP服務(wù)器安全性工作的時候，第一步要考慮的就是誰可以訪問FTP服務(wù)器。在Vsftpd服務(wù)器軟件中，默認提供了三類用戶。不同的用戶對應(yīng)著不同的權(quán)限與操作方式。

一類是Real帳戶。這類用戶是指在FTP服務(wù)上擁有帳號。當(dāng)這類用戶登錄FTP服務(wù)器的時候，其默認的主目錄就是其帳號命名的目錄。但是，其還可以變更到其他目錄中去。如系統(tǒng)的主目錄等等。

第二類帳戶實Guest用戶。在FTP服務(wù)器中，我們往往會給不同的部門或者某個特定的用戶設(shè)置一個帳戶。但是，這個賬戶有個特點，就是其只能夠訪問自己的主目錄。服務(wù)器通過這種方式來保障FTP服務(wù)上其他文件的安全性。這類帳戶，在Vsftpd軟件中就叫做Guest用戶。擁有這類用戶的帳戶，只能夠訪問其主目錄下的目錄，而不得訪問主目錄以外的文件。

第三類帳戶是Anonymous（匿名）用戶，這也是我們通常所說的匿名訪問。這類用戶是指在FTP服務(wù)器中沒有指定帳戶，但是其仍然可以進行匿名訪問某些公開的資源。

在組建FTP服務(wù)器的時候，我們就需要根據(jù)用戶的類型，對用戶進行歸類。默認情況下，Vsftpd服務(wù)器會把建立的所有帳戶都歸屬為Real用戶。但是，這往往不符合企業(yè)安全的需要。因為這類用戶不僅可以訪問自己的主目錄，而且，還可以訪問其他用戶的目錄。這就給其他用戶所在的空間帶來一定的安全隱患。所以，企業(yè)要根據(jù)實際情況，修改用戶雖在的類別。

修改方法：

第一步：修改/etc/Vsftpd/vsftpd.conf文件。

默認情況下，只啟用了Real與Anonymous兩類用戶。若我們需要啟用Guest類用戶的時候，就需要把這個選項啟用。修改/etc/Vsftpd/vsftpd.conf文件，把其中的“chroot_list_enable=YES”這項前面的注釋符號去掉。去掉之后，系統(tǒng)就會自動啟用Real類型的帳戶。

第二步：修改/etc/vsftpd.conf文件。

若要把某個FTP服務(wù)器的帳戶歸屬為Guest帳戶，則就需要在這個文件中添加用戶。通常情況下，F(xiàn)TP服務(wù)器上沒有這個文件，需要用戶手工的創(chuàng)建。利用VI命令創(chuàng)建這個文件之后，就可以把已經(jīng)建立的FTP帳戶加入到這個文件中。如此的話，某個帳戶就屬于Real類型的用戶了。他們登錄到FTP服務(wù)器后，只能夠訪問自己的主目錄，而不能夠更改主目錄。

第三步：重新啟動FTP服務(wù)器。

按照上述步驟配置完成后，需要重新啟動FTP服務(wù)器，其配置才能夠生效。我們可以重新啟動服務(wù)器，也可以直接利用Restart命令來重新啟動FTP服務(wù)。

在對用戶盡心分類的時候，筆者有幾個善意的提醒。

一是盡量采用Guest類型的用戶，而減少Real類行的用戶。一般我們在建立FTP帳戶的時候，用戶只需要訪問自己的主目錄下的文件即可。當(dāng)給某個用戶的權(quán)限過大時，會對其他用戶文件的安全產(chǎn)生威脅。

二是盡量不要采用匿名類型的帳戶。因為他們在沒有授權(quán)的情況下，就可以訪問FTP服務(wù)器。雖然其訪問的資源受到一定的限制，但是，仍然具有危險性。故在沒有特殊需要的情況下，最好把匿名類型帳戶禁用掉。

本新聞共3頁,當(dāng)前在第1頁 1 2 3

【收藏】【打印】【進入論壇】