Sådan Secure en FTP-server på Linux

November 5

Sådan Secure en FTP-server på Linux


Den File Transfer Protocol, eller FTP, er en populær løsning til deling af filer over internettet. Oprettet i 1980, forbliver FTP aktivt indsat i dag, fordi den støttes indbygget i alle operativsystemer og tilbyder pålidelig levering af vilkårligt store filer.

Fordi FTP er designet før virus, orme og denial-of-service-angreb blev almindeligt på internettet, protokollen giver mulighed for en række potentielt farlige aktiviter.

Før du kører en FTP-server på Linux-systemet, skal du sikre dig, at du har forhærdet din konfiguration.

Instruktioner

1 Deaktiver anonym FTP.

Anonym FTP lader brugerne oprette forbindelse til din server og downloade filer uden en adgangskode. Hvis du forventer dine brugere at uploade filer, så tillader anonym FTP er en unødvendig risiko. Hvis du har brug for at lade folk downloade filer anonymt, så skal du bruge en webserver.

2 Aktiver "chroot ()" støtte.

FTP brugere har tilladelse til at se alle filerne på serveren, ikke kun indholdet af deres eget hjem mappe. En ondsindet bruger kan være i stand til at stjæle følsomme data, hvis systemets filrettigheder er indstillet forkert.

De fleste FTP-servere mindske denne risiko ved at give en "chroot ()" miljø. I denne tilstand, serveren låser sig selv efter en bruger logger ind. Inde i chroot () fængsel, kan brugeren få adgang til sine egne filer og intet andet.

Indstil "chroot_local_user = YES" i /etc/vsftpd.conf at aktivere chroot () støtte på vsftpd serveren.

3 Aktiver kryptering.

Fordi FTP giver ingen sikkerhed for sin egen, er det muligt for en lurer at opsnappe en brugers adgangskode uden at blive fanget.

Tjek din server dokumentation for at finde sine krypteringsindstillinger. De kryptering funktioner kan være opført under "SSL", "TLS" eller "FTPS."

For at aktivere kryptering på vsftpd kører på Ubuntu Linux, indstille "ssl_enable = YES" i /etc/vsftpd.conf.

4 Deaktiver systemkonti.

Mange konti på Linux-systemer er kun beregnet til at blive brugt af systemet selv. Hvis nogen af ​​de "rod" eller "dæmonen" eller "bin" brugere logger på, for eksempel, så er det sandsynligt, at nogen forsøger at angribe din FTP-server.

For at holde disse brugere i at få adgang, tilføje deres navne, én pr linje, til filen / etc / ftpusers. Du bør også tilføje brugernavne legitime brugere, som ikke har behov for at få adgang til FTP-serveren.

5 Tildel brugere dummy skaller.

FTP-konti kan gøre mere end uploade filer: de har også tilladelse til at fjernstyre logge på din Linux-system. Enhver konto med et gyldigt shell kan logge på interaktivt.

Programmet / bin / sandt, er en egnet dummy shell: det straks returnerer kontrollen til operativsystemet. For at tillade / bin / sandt som en dummy shell, redigere filen "/ etc / shells" og tilføje "/ bin / true" til listen.

For hver FTP bruger, skal du bruge kommandoen "chsh" for at ændre brugerens shell til dummy shell. For at ændre JohnJensens shell, for eksempel udstede kommandoen "chsh -s / bin / true JohnJensen."

TIPS

  • FTP kræver, at trafikken ikke opfanget af en firewall - en urimelig anmodning på nutidens internet. Du kan løse problemet ved at bruge en stateful firewall med understøttelse af FTP trafik. På Cisco firewalls, bruge kommandoen "fixup protocol ftp"; på Linux firewall, "modprobe nf_conntrack_ftp; modprobe nf_nat_ftp."
  • Anonym FTP er farligt, hvis venstre usikrede. Hvis du skal tillade anonym FTP-adgang, skal du sørge for, at du forhindre anonyme brugere at uploade filer. Usikrede anonyme FTP-servere er en favorit vektor, som at dele ulovligt copywritten materiale.

relaterede artikler