當(dāng)前位置 : 首頁(yè)>網(wǎng)絡(luò)\服務(wù)器>學(xué)堂>正文

巧妙設(shè)定安全的匿名FTP

http://www.yibo1263.com　2010/4/15 6:27:00 　來(lái)源:東北IT網(wǎng) 　編輯:葉子

　　ftp.uu.net ~ftp/systems/unix/bsd-sources/libexec/ftpd

　　gatekeeper.dec.com ~ftp/pub/DEC/gwtools/ftpd.tar.Z

　　CERT/CC 并沒(méi)有正式地對(duì)所提到的FTP daemon做檢測(cè)、評(píng)估或背書(shū)。要使用何種FTP daemon 由每個(gè)使用者或組織負(fù)責(zé)決定，而CERT/CC建議每個(gè)機(jī)關(guān)在安裝使用這些程序之前，能做一個(gè)徹底的評(píng)估。

　　B. 使用保護(hù)的目錄

　　假如你想要在你的FTP站提供上傳的服務(wù)，而你又沒(méi)辦法去修改FTP daemon，我們就可以使用較復(fù)雜的目錄架構(gòu)來(lái)控制存取。這個(gè)方法需要事先規(guī)劃并且無(wú)法百分之百防止FTP可寫(xiě)入?yún)^(qū)域遭不當(dāng)使用，不過(guò)許多FTP站仍使用此方法。

　　為了保護(hù)上層的目錄(~ftp/incoming)，我們只給匿名的使用者進(jìn)入目錄的權(quán)限(chmod 751~ftp/incoming)。這個(gè)動(dòng)作將使得使用者能夠更改目錄位置(cd)，但不允許使用者檢視目錄內(nèi)容。Ex:

　　drwxr-x--x 4 root system 512 Jun 11 13:29 incoming/

　　在~ftp/incoming使用一些目錄名只讓你允許他們上傳的人知道。為了要讓別人不易猜到目錄名稱，我們可以用設(shè)定密碼的規(guī)則來(lái)設(shè)定目錄名稱。請(qǐng)不要使用本文的目錄名稱范例(避免被有心人士發(fā)現(xiàn)您的目錄名，并上傳文件)

　　drwxr-x-wx 10 root system 512 Jun 11 13:54 jAjwUth2/

　　drwxr-x-wx 10 root system 512 Jun 11 13:54 MhaLL-iF/

　　很重要的一點(diǎn)是，一旦目錄名被有意無(wú)意的泄漏出來(lái)，那這個(gè)方法就沒(méi)什么保護(hù)作用。只要目錄名稱被大部分人知道，就無(wú)法保護(hù)那些要限定使用的區(qū)域。假如目錄名被大家所知道，那你就得選擇刪除或更改那些目錄名。

　　C. 只使用一顆硬盤(pán):

　　假如你想要在你的FTP站提供上傳的服務(wù)，而你又沒(méi)辦法去修改FTP daemon，您可以將所有上傳的資料集中在同一個(gè)掛(mount)在~ftp/incoming上的文件系統(tǒng)�？梢缘脑� ，將一顆單獨(dú)的硬盤(pán)掛(mount)在~ftp/incoming上。系統(tǒng)管理者應(yīng)持續(xù)檢視這個(gè)目錄(~ftp/incoming)，如此便可知道開(kāi)放上傳的目錄是否有問(wèn)題。

　　限制FTP用戶目錄

　　匿名FTP可以很好地限制用戶只能在規(guī)定的目錄范圍內(nèi)活動(dòng)，但正式的FTP用戶默認(rèn)不會(huì)受到這種限制，這樣，他可以自由在根目錄、系統(tǒng)目錄、其他用戶的目錄中讀取一些允許其他用戶讀取的文件。

　　如何才能把指定的用戶象匿名用戶一樣限制在他們自己的目錄中呢？以下我們以red hat和wu-ftp為例做一介紹。

　　1 創(chuàng)建一個(gè)組，用groupadd命令，一般可以就用ftp組，或者任何組名.

　　-----相關(guān)命令: groupadd ftpuser

　　-----相關(guān)文件: /etc/group

　　-----相關(guān)幫助: man groupadd

　　2 創(chuàng)建一個(gè)用戶，如testuser，建立用戶可用adduser命令.如果你已在先前建立了 testuser這個(gè)用戶，可以直接編輯/etc/passwd文件，把這個(gè)用戶加入到ftpuser這個(gè)組中.

　　-----相關(guān)命令: adduser testuser -g ftpuser

　　-----相關(guān)文件: /etc/passwd

　　-----相關(guān)幫助: man adduser

　　3 修改/etc/ftpaccess文件，加入guestgroup的定義： guestgroup ftpuser我是這樣改的，加的是最后5行

　　compress yes all

　　tar yes all

　　chmod no anonymous

　　delete no anonymous

　　overwrite no anonymous

　　rename no anonymous

　　chmod yes guest

　　delete yes guest

　　overwrite yes guest

　　rename yes guest

　　guestgroup ftpuser

　　除了加 guestgroup ftpuser 這行，其他4行也要加上，否則用戶登陸后，雖然可以達(dá)到用戶不能返回上級(jí)目錄的目的，但是卻只能上傳，不能覆蓋、刪除文件!

　　-----相關(guān)命令: vi /etc/ftpaccess

　　-----相關(guān)文件: /etc/ftpaccess

　　-----相關(guān)幫助: man ftpaccess，man chroot

　　4 向這個(gè)用戶的根目錄下拷貝必要的文件，拷貝ftp server自帶的目錄，把 /home/ftp/下的Ｂin，lib兩個(gè)目錄拷貝到這個(gè)用戶的根目錄下，因?yàn)橐恍┟?主要是ls)需要Lib支持，否則不能列目錄和文件.

本新聞共3頁(yè),當(dāng)前在第2頁(yè) 1 2 3

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费