返回
如何巧妙设定安全的匿名ftp

如何巧妙设定安全的匿名ftp

ID:20887016

大小:56.00 KB

页数:4页

时间:2018-10-17

如何巧妙设定安全的匿名ftp_第1页
如何巧妙设定安全的匿名ftp_第2页
如何巧妙设定安全的匿名ftp_第3页
如何巧妙设定安全的匿名ftp_第4页
资源描述:

《如何巧妙设定安全的匿名ftp》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、如何巧妙设定安全的匿名FTP  以下的设定方式是由过去许多网站累积的经验与建议组成。我们认为可以让有个别需求的网站拥有不同设定的选择。  设定匿名FTP  A.FTPdaemon  网站必须确定目前使用的是最新版本的FTPdaemon。  B设定匿名FTP的目录  匿名ftp的根目录(~ftp)和其子目录的拥有者不能为ftp帐号,或与ftp相同群组的帐号。这是一般常见的设定问题。假如这些目录被ftp或与ftp相同群组的帐号所拥有,又没有做好防止写入的保护,入侵者便可能在其中增加文件或修改其它文件。现在许多网站都拥有root帐号,如

2、果让匿名FTP的根目录与子目录的拥有者是root,所属族群(group)为system?,如此只有root有写入的权力,这能帮助你维持FTP服务的安全???  以下是一个匿名ftp目录的设定范例:  dr512Mar115:17./  dr512Jan411:30../  dr512Dec2015:43bin/  dr512Mar1216:23etc/  dr512Jun510:54pub/  所有的文件和链接库,特别是那些被FTPdaemon使用和那些在~ftp/bin与~ftp/etc中的文件,应该像上面范例中的目录做相同的保

3、护。这些文件和链接库除了不应该被ftp帐号或与ftp相同群组的帐号所拥有之外,也必须防止写入。  C.我们强烈建议网站不要使用系统中/etc/passousFTP::  nist:*:9923:90:NISTFiles::  以下为cert中匿名ftp的群组文件范例  cert:*:20:  ftp:*:90:  II..在你的匿名ftp提供可写入的目录  让一个匿名ftp服务允许使用者储存文件是有风险存在的。我们强烈提醒网站不要自动建立一个上传目录,除非已考虑过相关的风险。CERT/CC的事件回报成员接获许多使用上传目录造成非法

4、传输版权软件或交换帐号与密码信息的事件。也接获恶意地将系统文件灌报造成denialofservice问题。  本节在讨论利用三种方法来解决这个问题。第一种方法是使用一个修正过的FTPdaemon。第二个方法是提供对特定目录的写入限制。第三种方法是使用独立的目录。  A.修正过的FTPdaemon  假如你的网站计划提供目录用来做文件上传,我们建议使用修正过的FTPdaemon对文件上传的目录做存取的控制。这是避免使用不需要的写入区域的最好的方法。以下有一些建议:  1.限定上传的文件无法再被存取,如此可由系统管理者检测后,再放至于

5、适当位置供人下载。  2.限制每个联机的上传资料大小。  3.依照现有的磁盘大小限制数据传输的总量。  4.增加登录记录以提前发现不当的使用。  若您欲修改FTPdaemon,您应该可以从厂商那里拿到程序代码,或者您可从下列地方取得公开的FTP程序原始码:  s/unix/bsd-sources/libexec/ftpd  gatekeeper.dec.~ftp/pub/DEC/gon做检测、评估或背书。要使用何种FTPdaemon由每个使用者或组织负责决定,而CERT/CC建议每个机关在安装使用这些程序之前,能做一个彻底的评估。

6、  B.使用保护的目录  假如你想要在你的FTP站提供上传的服务,而你又没办法去修改FTPdaemon,我们就可以使用较复杂的目录架构来控制存取。这个方法需要事先规划并且无法百分之百防止FTP可写入区域遭不当使用,不过许多FTP站仍使用此方法。  为了保护上层的目录(~ftp/ining),我们只给匿名的使用者进入目录的权限(chmod751~ftp/ining)。这个动作将使得使用者能够更改目录位置(cd),但不允许使用者检视目录内容。Ex:  dr512Jun1113:29ining/  在~ftp/ining使用一些目录名只

7、让你允许他们上传的人知道。为了要让别人不易猜到目录名称,我们可以用设定密码的规则来设定目录名称。请不要使用本文的目录名称范例(避免被有心人士发现您的目录名,并上传文件)  dr12下一页....,。512Jun1113:54jAj512Jun1113:54MhaLL-iF/  很重要的一点是,一旦目录名被有意无意的泄漏出来,那这个方法就没什么保护作用。只要目录名称被大部分人知道,就无法保护那些要限定使用的区域。假如目录名被大家所知道,那你就得选择删除或更改那些目录名。  C.只使用一颗硬盘:  假如你想要在你的FTP站提供上传的服

8、务,而你又没办法去修改FTPdaemon,您可以将所有上传的资料集中在同一个挂(mount)在~ftp/ining上的文件系统。可以的话,将一颗单独的硬盘挂(mount)在~ftp/ining上。系统管理者应持续检视这个目录(~ftp/ining)

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。