Sådan sikres en FTP-server på Linux

Indlæg af Hanne Mølgaard Plasc

 

1.

Deaktiver anonym FTP.



Anonym FTP giver brugere mulighed for at oprette forbindelse til din server og downloade filer uden adgangskode. Hvis du forventer, at dine brugere skal uploade filer, så tillader anonym FTP en unødvendig risiko. Hvis du skal lade folk downloade filer anonymt, skal du bruge en webserver.

2.

Aktivér 'chroot ()' support.



FTP-brugere har lov til at se alle filerne på serveren, ikke kun indholdet i deres eget hjemmekatalog. En ondsindet bruger kan muligvis stjæle følsomme data, hvis systemets filtilladelser er indstillet forkert.



De fleste FTP-servere formindsker denne risiko ved at give en 'chroot () 'miljø. I denne tilstand låses serveren selv efter en bruger logger ind. Inden for chroot () fængsel kan brugeren få adgang til sine egne filer og intet andet.



Indstil 'chroot\_local\_user = YES' i /etc/vsftpd.conf for at aktivere chroot () support på vsftpd-serveren.

3.

Aktivér kryptering.



Fordi FTP ikke tilbyder nogen egen sikkerhed, er det muligt for en eavesdropper at opfange brugerens adgangskode uden at blive fanget.


< br /> Tjek dokumentationen til din server for at finde dens krypteringsindstillinger. Krypteringsfunktionerne kan være angivet under 'SSL', 'TLS' eller 'FTPS.'



For at aktivere kryptering på vsftpd, der kører på Ubuntu Linux, skal du indstille 'ssl\_enable = YES 'i /etc/vsftpd.conf.

4.

Deaktiver systemkontiene.



Mange konti på Linux systemer er beregnet til kun at blive brugt af selve systemet. Hvis en af ​​brugerne 'root' eller 'daemon' eller 'bin' logger ind, for eksempel, så er det sandsynligt, at nogen forsøger at angribe din FTP-server.


< br /> For at forhindre at brugerne får adgang, tilføj deres navne, en pr. linje, til filen / etc / ftpusers. Du skal også tilføje brugernavne af legitime brugere, der ikke behøver adgang til FTP-serveren.




FTP-konti kan gøre mere end at uploade filer: de har også tilladelse til eksternt logfiler.

videre til dit Linux-system. Enhver konto med en gyldig shell kan logge ind interaktivt.



Programmet / bin / true er en passende dummy shell: den returnerer straks kontrollen til operativsystemet. For at tillade / bin / true som en dummy shell skal du redigere filen '/ etc / shells' og tilføje '/ bin / true' til listen.



For hver FTP-bruger, skal du bruge kommandoen 'chsh' til at ændre brugerens shell til dummy shell. For at ændre johndoe's shell, skal du f.eks. Udstede kommandoen 'chsh -s / bin / true johndoe.'

p>

Tips og advarsler

  • FTP kræver, at dets trafik ikke opfanges af en firewall - en urimelig forespørgsel på dagens internet. For at løse problemet skal du bruge en stateful firewall med understøttelse af FTP-trafik. På Cisco firewalls, brug kommandoen 'fixup protocol ftp'; på Linux firewall 'modprobe nf\_conntrack\_ftp; modprobe nf\_nat\_ftp. '
  • Anonym FTP er farlig, hvis den ikke er sikret. Hvis du skal tillade anonym FTP-adgang, skal du sørge for, at du forhindrer anonyme brugere i at uploade filer. Usikrede anonyme FTP-servere er en yndlingsvektor til at dele ulovligt copywritten materiale.
  • Filoverførselsprotokollen eller FTP er en populær løsning til deling af filer på tværs af internettet. Opret i 1980, forbliver FTP aktivt implementeret i dag, fordi det understøttes indbygget i alle operativsystemer og tilbyder pålidelig levering af vilkårligt store filer.



    Fordi FTP blev designet før virus, orme og angreb på benægtelser blev almindeligt på internettet, giver protokollen mulighed for en række potentielt farlige aktiviteter.



    Før du kører en FTP-server på din Linux-system, skal du sikre dig, at du har hærdet din konfiguration.