在考慮FTP服務(wù)器安全性工作的時(shí)候,第一步要考慮的就是誰(shuí)可以訪問(wèn)FTP服務(wù)器��。在Vsftpd服務(wù)器軟件中�,默認(rèn)提供了三類(lèi)用戶(hù)。不同的用戶(hù)對(duì)應(yīng)著不同的權(quán)限與操作方式�。
一類(lèi)是Real帳戶(hù)。這類(lèi)用戶(hù)是指在FTP服務(wù)上擁有帳號(hào)�����。當(dāng)這類(lèi)用戶(hù)登錄FTP服務(wù)器的時(shí)候,其默認(rèn)的主目錄就是其帳號(hào)命名的目錄�����。但是���,其還可以變更到其他目錄中去��。如系統(tǒng)的主目錄等等�。
第二類(lèi)帳戶(hù)實(shí)Guest用戶(hù)����。在FTP服務(wù)器中,我們往往會(huì)給不同的部門(mén)或者某個(gè)特定的用戶(hù)設(shè)置一個(gè)帳戶(hù)����。但是,這個(gè)賬戶(hù)有個(gè)特點(diǎn)��,就是其只能夠訪問(wèn)自己的主目錄�����。服務(wù)器通過(guò)這種方式來(lái)保障FTP服務(wù)上其他文件的安全性。這類(lèi)帳戶(hù)����,在Vsftpd軟件中就叫做Guest用戶(hù)���。擁有這類(lèi)用戶(hù)的帳戶(hù)����,只能夠訪問(wèn)其主目錄下的目錄��,而不得訪問(wèn)主目錄以外的文件���。
第三類(lèi)帳戶(hù)是Anonymous(匿名)用戶(hù)���,這也是我們通常所說(shuō)的匿名訪問(wèn)。這類(lèi)用戶(hù)是指在FTP服務(wù)器中沒(méi)有指定帳戶(hù)�,但是其仍然可以進(jìn)行匿名訪問(wèn)某些公開(kāi)的資源。
在組建FTP服務(wù)器的時(shí)候�,我們就需要根據(jù)用戶(hù)的類(lèi)型,對(duì)用戶(hù)進(jìn)行歸類(lèi)���。默認(rèn)情況下��,Vsftpd服務(wù)器會(huì)把建立的所有帳戶(hù)都?xì)w屬為Real用戶(hù)�。但是,這往往不符合企業(yè)安全的需要��。因?yàn)檫@類(lèi)用戶(hù)不僅可以訪問(wèn)自己的主目錄���,而且�����,還可以訪問(wèn)其他用戶(hù)的目錄�。這就給其他用戶(hù)所在的空間 帶來(lái)一定的安全隱患��。所以�,企業(yè)要根據(jù)實(shí)際情況,修改用戶(hù)雖在的類(lèi)別�����。
修改方法:
第一步:修改/etc/Vsftpd/vsftpd.conf文件�����。
默認(rèn)情況下�����,只啟用了Real與Anonymous兩類(lèi)用戶(hù)。若我們需要啟用Guest類(lèi)用戶(hù)的時(shí)候�,就需要把這個(gè)選項(xiàng)啟用。修改/etc/Vsftpd/vsftpd.conf文件���,把其中的“chroot_list_enable=YES”這項(xiàng)前面的注釋符號(hào)去掉。去掉之后�,系統(tǒng)就會(huì)自動(dòng)啟用Real類(lèi)型的帳戶(hù)。
第二步:修改/etc/vsftpd.conf文件��。
若要把某個(gè)FTP服務(wù)器的帳戶(hù)歸屬為Guest帳戶(hù)�,則就需要在這個(gè)文件中添加用戶(hù)。通常情況下�,F(xiàn)TP服務(wù)器上沒(méi)有這個(gè)文件,需要用戶(hù)手工的創(chuàng)建��。利用VI命令創(chuàng)建這個(gè)文件之后���,就可以把已經(jīng)建立的FTP帳戶(hù)加入到這個(gè)文件中�。如此的話���,某個(gè)帳戶(hù)就屬于Real類(lèi)型的用戶(hù)了�����。他們登錄到FTP服務(wù)器后�,只能夠訪問(wèn)自己的主目錄,而不能夠更改主目錄���。
第三步:重新啟動(dòng)FTP服務(wù)器��。
按照上述步驟配置完成后�����,需要重新啟動(dòng)FTP服務(wù)器���,其配置才能夠生效。我們可以重新啟動(dòng)服務(wù)器�,也可以直接利用Restart命令來(lái)重新啟動(dòng)FTP服務(wù)。
在對(duì)用戶(hù)盡心分類(lèi)的時(shí)候����,筆者有幾個(gè)善意的提醒。
一是盡量采用Guest類(lèi)型的用戶(hù)��,而減少Real類(lèi)行的用戶(hù)。一般我們?cè)诮TP帳戶(hù)的時(shí)候��,用戶(hù)只需要訪問(wèn)自己的主目錄下的文件即可�����。當(dāng)給某個(gè)用戶(hù)的權(quán)限過(guò)大時(shí)�,會(huì)對(duì)其他用戶(hù)文件的安全產(chǎn)生威脅。
二是盡量不要采用匿名類(lèi)型的帳戶(hù)���。因?yàn)樗麄冊(cè)跊](méi)有授權(quán)的情況下,就可以訪問(wèn)FTP服務(wù)器���。雖然其訪問(wèn)的資源受到一定的限制���,但是,仍然具有危險(xiǎn)性�����。故在沒(méi)有特殊需要的情況下�����,最好把匿名類(lèi)型帳戶(hù)禁用掉�。
二���、哪些帳號(hào)不可以訪問(wèn)FTP服務(wù)器?
在以下幾種情況下����,我們要禁止這些賬戶(hù)訪問(wèn)FTP服務(wù)器,以提高服務(wù)器的安全���。
一是某些系統(tǒng)帳戶(hù)���。如ROOT帳戶(hù)。這個(gè)賬戶(hù)默認(rèn)情況下是Linxu系統(tǒng)的管理員帳戶(hù)��,其對(duì)系統(tǒng)具有最高的操作與管理權(quán)限�。若允許用戶(hù)以這個(gè)賬戶(hù)為賬戶(hù)名進(jìn)行登陸的話,則用戶(hù)不但可以訪問(wèn)Linux系統(tǒng)的所有資源�,而且,還好可以進(jìn)行系統(tǒng)配置��。這對(duì)于FTP服務(wù)器來(lái)說(shuō)����,顯然危害很大。所以,往往不允許用戶(hù)以這個(gè)Root等系統(tǒng)帳戶(hù)身份登陸到FTP服務(wù)器上來(lái)����。
第二類(lèi)是一些臨時(shí)賬戶(hù)。有時(shí)候我們出于臨時(shí)需要�����,為開(kāi)一些臨時(shí)賬戶(hù)�。如需要跟某個(gè)客戶(hù)進(jìn)行圖紙上的交流,而圖紙本身又比較大時(shí)�����,F(xiàn)TP服務(wù)器就是一個(gè)很好的圖紙中轉(zhuǎn)工具����。在這種情況下�����,就需要為客戶(hù)設(shè)立一個(gè)臨時(shí)賬戶(hù)�����。這些賬戶(hù)用完之后,一般就加入到了黑名單����。等到下次需要再次用到的時(shí)候,再啟用他���。
在vstftpd服務(wù)器中��,要把某些用戶(hù)加入到黑名單�,也非常的簡(jiǎn)單���。在Vsftpd軟件中�,有一個(gè)/etc/vsftpd.user_lise配置文件����。這個(gè)文件就是用來(lái)指定哪些賬戶(hù)不能夠登陸到這個(gè)服務(wù)器。我們利用vi命令查看這個(gè)文件��,通常情況下����,一些系統(tǒng)賬戶(hù)已經(jīng)加入到了這個(gè)黑名單中。FTP服務(wù)器管理員要及時(shí)的把一些臨時(shí)的或者不再使用的帳戶(hù)加入到這個(gè)黑名單中�����。從而才可以保證未經(jīng)授權(quán)的賬戶(hù)訪問(wèn)FTP服務(wù)器。在配置后�����,往往不需要重新啟動(dòng)FTP服務(wù)�����,配置就會(huì)生效����。
不過(guò),一般情況下���,不會(huì)影響當(dāng)前會(huì)話�����。也就是說(shuō),管理員在管理FTP服務(wù)器的時(shí)候����,發(fā)現(xiàn)有一個(gè)非法賬戶(hù)登陸到了FTP服務(wù)器�。此時(shí)���,管理員馬上把這個(gè)賬戶(hù)拉入黑名單�����。但是��,因?yàn)檫@個(gè)賬戶(hù)已經(jīng)連接到FTP服務(wù)器上�,所以��,其當(dāng)前的會(huì)話不會(huì)受到影響�。當(dāng)其退出當(dāng)前會(huì)話,下次再進(jìn)行連接的時(shí)候��,就不允許其登陸FTP服務(wù)器了�����。所以����,若要及時(shí)的把該賬戶(hù)禁用掉的話,就需要在設(shè)置好黑名單后��,手工的關(guān)掉當(dāng)前的會(huì)話。
對(duì)于一些以后不再需要使用的帳戶(hù)時(shí)����,管理員不需要把他加入黑名單,而是直接刪除用戶(hù)為好�。同時(shí),在刪除用戶(hù)的時(shí)候��,要記得把用戶(hù)對(duì)應(yīng)的主目錄也一并刪除��。不然主目錄越來(lái)越多��,會(huì)增加管理員管理的工作量���。在黑名單中���,只保留那些將來(lái)可能利用的賬戶(hù)或者不是用作FTP服務(wù)器登陸的賬戶(hù)。這不但可以減少服務(wù)器管理的工作量���,而且�,還可以提高FTP服務(wù)器的安全性�。
三���、匿名賬戶(hù)也可以上傳文件��。
在系統(tǒng)默認(rèn)配置下�,匿名類(lèi)型的用戶(hù)只可以下載文件,而不能夠上傳文件�。雖然這不是我們推薦的配置,但是���,有時(shí)候出于一些特殊的需要�����,確實(shí)要開(kāi)啟這個(gè)功能����。如筆者以前在企業(yè)中��,利用這個(gè)功能實(shí)現(xiàn)了對(duì)用戶(hù)終端文件進(jìn)行備份的功能�����。為了設(shè)置的方便�,就在FTP服務(wù)器上開(kāi)啟了匿名訪問(wèn),并且允許匿名訪問(wèn)賬戶(hù)網(wǎng)某個(gè)特定的文件夾中上傳某個(gè)文件����。
若要讓匿名用戶(hù)上傳文件�,則首先要建立一個(gè)目錄�,并且把這個(gè)目錄指定為匿名用戶(hù)具有更新的權(quán)限。以后匿名用戶(hù)需要上傳文件的時(shí)候����,只能夠王這個(gè)文件夾中傳。而不能夠像Real用戶(hù)那樣��,網(wǎng)其他用戶(hù)的文件夾中上傳文件����。
文件目錄設(shè)置好之后,再修改/etc/vsftpd/vsftpd.conf配置文件��。把這個(gè)文件下的有關(guān)匿名賬戶(hù)的功能啟用�。默認(rèn)情況下,跟匿名賬戶(hù)相關(guān)的功能�����,如更新����、增加目錄等功能都是被注釋掉的�����。管理員需要把這個(gè)注釋符號(hào)去掉,匿名賬戶(hù)才能夠網(wǎng)特定的賬戶(hù)中上傳文件����。
筆者再次重申一遍,一般情況下�����,是不建議用戶(hù)開(kāi)啟匿名賬戶(hù)的文件上傳功能���。因?yàn)楹茈y保證匿名賬戶(hù)上傳的文件中�����,不含有一些破壞性的程序���,如病毒或者木馬等等。有時(shí)候��,雖然開(kāi)啟了這個(gè)功能,但是往往會(huì)在IP上進(jìn)行限制�����。如只允許企業(yè)內(nèi)部IP可以進(jìn)行匿名訪問(wèn)并上傳文件����,其他賬戶(hù)則不行。如此的話�����,可以防止外部用戶(hù)未經(jīng)授權(quán)匿名訪問(wèn)企業(yè)的FTP服務(wù)器����。若用戶(hù)具有合法的賬戶(hù),就可以在外網(wǎng)中登陸到FTP服務(wù)器上�����。
總之��,在FTP服務(wù)器安全管理上�����,主要關(guān)注三個(gè)方面的問(wèn)題。一是未經(jīng)授權(quán)的用戶(hù)不能往FTP空間上上傳文件�;二是用戶(hù)不得訪問(wèn)未經(jīng)授權(quán)的目錄,以及對(duì)這些目錄的文件進(jìn)行更改�,包括刪除與上傳;三是FTP服務(wù)器本身的穩(wěn)定性���。以上三個(gè)問(wèn)題中的前兩部分內(nèi)容�����,都可以通過(guò)上面的三個(gè)方法有效的解決。相信管理員靈活采用如上的方法����,可以在保障企業(yè)應(yīng)用的前期下,提高FTP服務(wù)器的安全性����。
