在考慮FTP服務器安全性工作的時候,第一步要考慮的就是誰可以訪問FTP服務器。在Vsftpd服務器軟件中,默認提供了三類用戶。不同的用戶對應著不同的權限與操作方式。

  一類是Real帳戶。這類用戶是指在FTP服務上擁有帳號。當這類用戶登錄FTP服務器的時候,其默認的主目錄就是其帳號命名的目錄。但是,其還可以變更到其他目錄中去。如系統的主目錄等等。

  第二類帳戶實Guest用戶。在FTP服務器中,我們往往會給不同的部門或者某個特定的用戶設置一個帳戶。但是,這個賬戶有個特點,就是其只能夠訪問自己的主目錄。服務器通過這種方式來保障FTP服務上其他文件的安全性。這類帳戶,在Vsftpd軟件中就叫做Guest用戶。擁有這類用戶的帳戶,只能夠訪問其主目錄下的目錄,而不得訪問主目錄以外的文件。

  第三類帳戶是Anonymous(匿名)用戶,這也是我們通常所說的匿名訪問。這類用戶是指在FTP服務器中沒有指定帳戶,但是其仍然可以進行匿名訪問某些公開的資源。

  在組建FTP服務器的時候,我們就需要根據用戶的類型,對用戶進行歸類。默認情況下,Vsftpd服務器會把建立的所有帳戶都歸屬為Real用戶。但是,這往往不符合企業(yè)安全的需要。因為這類用戶不僅可以訪問自己的主目錄,而且,還可以訪問其他用戶的目錄。這就給其他用戶所在的空間 帶來一定的安全隱患。所以,企業(yè)要根據實際情況,修改用戶雖在的類別。

  修改方法:

  第一步:修改/etc/Vsftpd/vsftpd.conf文件。

  默認情況下,只啟用了Real與Anonymous兩類用戶。若我們需要啟用Guest類用戶的時候,就需要把這個選項啟用。修改/etc/Vsftpd/vsftpd.conf文件,把其中的“chroot_list_enable=YES”這項前面的注釋符號去掉。去掉之后,系統就會自動啟用Real類型的帳戶。

  第二步:修改/etc/vsftpd.conf文件。

  若要把某個FTP服務器的帳戶歸屬為Guest帳戶,則就需要在這個文件中添加用戶。通常情況下,FTP服務器上沒有這個文件,需要用戶手工的創(chuàng)建。利用VI命令創(chuàng)建這個文件之后,就可以把已經建立的FTP帳戶加入到這個文件中。如此的話,某個帳戶就屬于Real類型的用戶了。他們登錄到FTP服務器后,只能夠訪問自己的主目錄,而不能夠更改主目錄。

  第三步:重新啟動FTP服務器。

  按照上述步驟配置完成后,需要重新啟動FTP服務器,其配置才能夠生效。我們可以重新啟動服務器,也可以直接利用Restart命令來重新啟動FTP服務。

  在對用戶盡心分類的時候,筆者有幾個善意的提醒。

  一是盡量采用Guest類型的用戶,而減少Real類行的用戶。一般我們在建立FTP帳戶的時候,用戶只需要訪問自己的主目錄下的文件即可。當給某個用戶的權限過大時,會對其他用戶文件的安全產生威脅。

  二是盡量不要采用匿名類型的帳戶。因為他們在沒有授權的情況下,就可以訪問FTP服務器。雖然其訪問的資源受到一定的限制,但是,仍然具有危險性。故在沒有特殊需要的情況下,最好把匿名類型帳戶禁用掉。

      二、哪些帳號不可以訪問FTP服務器?

  在以下幾種情況下,我們要禁止這些賬戶訪問FTP服務器,以提高服務器的安全。

  一是某些系統帳戶。如ROOT帳戶。這個賬戶默認情況下是Linxu系統的管理員帳戶,其對系統具有最高的操作與管理權限。若允許用戶以這個賬戶為賬戶名進行登陸的話,則用戶不但可以訪問Linux系統的所有資源,而且,還好可以進行系統配置。這對于FTP服務器來說,顯然危害很大。所以,往往不允許用戶以這個Root等系統帳戶身份登陸到FTP服務器上來。

  第二類是一些臨時賬戶。有時候我們出于臨時需要,為開一些臨時賬戶。如需要跟某個客戶進行圖紙上的交流,而圖紙本身又比較大時,FTP服務器就是一個很好的圖紙中轉工具。在這種情況下,就需要為客戶設立一個臨時賬戶。這些賬戶用完之后,一般就加入到了黑名單。等到下次需要再次用到的時候,再啟用他。

  在vstftpd服務器中,要把某些用戶加入到黑名單,也非常的簡單。在Vsftpd軟件中,有一個/etc/vsftpd.user_lise配置文件。這個文件就是用來指定哪些賬戶不能夠登陸到這個服務器。我們利用vi命令查看這個文件,通常情況下,一些系統賬戶已經加入到了這個黑名單中。FTP服務器管理員要及時的把一些臨時的或者不再使用的帳戶加入到這個黑名單中。從而才可以保證未經授權的賬戶訪問FTP服務器。在配置后,往往不需要重新啟動FTP服務,配置就會生效。

  不過,一般情況下,不會影響當前會話。也就是說,管理員在管理FTP服務器的時候,發(fā)現有一個非法賬戶登陸到了FTP服務器。此時,管理員馬上把這個賬戶拉入黑名單。但是,因為這個賬戶已經連接到FTP服務器上,所以,其當前的會話不會受到影響。當其退出當前會話,下次再進行連接的時候,就不允許其登陸FTP服務器了。所以,若要及時的把該賬戶禁用掉的話,就需要在設置好黑名單后,手工的關掉當前的會話。

  對于一些以后不再需要使用的帳戶時,管理員不需要把他加入黑名單,而是直接刪除用戶為好。同時,在刪除用戶的時候,要記得把用戶對應的主目錄也一并刪除。不然主目錄越來越多,會增加管理員管理的工作量。在黑名單中,只保留那些將來可能利用的賬戶或者不是用作FTP服務器登陸的賬戶。這不但可以減少服務器管理的工作量,而且,還可以提高FTP服務器的安全性。

      三、匿名賬戶也可以上傳文件。

  在系統默認配置下,匿名類型的用戶只可以下載文件,而不能夠上傳文件。雖然這不是我們推薦的配置,但是,有時候出于一些特殊的需要,確實要開啟這個功能。如筆者以前在企業(yè)中,利用這個功能實現了對用戶終端文件進行備份的功能。為了設置的方便,就在FTP服務器上開啟了匿名訪問,并且允許匿名訪問賬戶網某個特定的文件夾中上傳某個文件。

  若要讓匿名用戶上傳文件,則首先要建立一個目錄,并且把這個目錄指定為匿名用戶具有更新的權限。以后匿名用戶需要上傳文件的時候,只能夠王這個文件夾中傳。而不能夠像Real用戶那樣,網其他用戶的文件夾中上傳文件。

  文件目錄設置好之后,再修改/etc/vsftpd/vsftpd.conf配置文件。把這個文件下的有關匿名賬戶的功能啟用。默認情況下,跟匿名賬戶相關的功能,如更新、增加目錄等功能都是被注釋掉的。管理員需要把這個注釋符號去掉,匿名賬戶才能夠網特定的賬戶中上傳文件。

  筆者再次重申一遍,一般情況下,是不建議用戶開啟匿名賬戶的文件上傳功能。因為很難保證匿名賬戶上傳的文件中,不含有一些破壞性的程序,如病毒或者木馬等等。有時候,雖然開啟了這個功能,但是往往會在IP上進行限制。如只允許企業(yè)內部IP可以進行匿名訪問并上傳文件,其他賬戶則不行。如此的話,可以防止外部用戶未經授權匿名訪問企業(yè)的FTP服務器。若用戶具有合法的賬戶,就可以在外網中登陸到FTP服務器上。

  總之,在FTP服務器安全管理上,主要關注三個方面的問題。一是未經授權的用戶不能往FTP空間上上傳文件;二是用戶不得訪問未經授權的目錄,以及對這些目錄的文件進行更改,包括刪除與上傳;三是FTP服務器本身的穩(wěn)定性。以上三個問題中的前兩部分內容,都可以通過上面的三個方法有效的解決。相信管理員靈活采用如上的方法,可以在保障企業(yè)應用的前期下,提高FTP服務器的安全性。 

分享到

yajing

相關推薦