6.4. 保护 FTP 服务
您可以使用文件传输协议(FTP)来通过网络传输文件。因为服务器的所有 FTP 交易(包括用户身份验证)均未加密,因此请确保它被安全地配置。
RHEL 9 提供了两个 FTP 服务器:
- Red Hat Content Accelerator(
tux
) - 具有 FTP 功能的内核空间 Web 服务器。
- Very Secure FTP Daemon(
vsftpd
) - FTP 服务的一种独立的、面向安全的实现。
以下安全指南是用于设置 vsftpd
FTP 服务:
6.4.1. 保护 FTP 的问候横幅
当用户连接到 FTP 服务时,FTP 显示一条问候标语,它默认包含版本信息。攻击者可以使用此信息来识别系统中的弱点。您可以通过更改默认横幅来隐藏此信息。
您可以通过编辑 /etc/banners/ftp.msg
文件来定义自定义横幅。它可以直接包含一个单行消息,或引用一个单独的文件,其中包含多行消息。
流程
要定义单行消息,请在
/etc/vsftpd/vsftpd.conf
文件中添加以下选项:ftpd_banner=Hello, all activity on ftp.example.com is logged.
在单独的文件中定义信息:
创建一个
.msg
文件,其中包含横幅消息,如/etc/banners/ftp.msg
:######### Hello, all activity on ftp.example.com is logged. #########
为了简化多个横幅的管理,请将所有横幅放在
/etc/banners/
目录中。将横幅文件的路径添加到
/etc/vsftpd/vsftpd.conf
文件中的banner_file
选项中:banner_file=/etc/banners/ftp.msg
验证
显示修改后的横幅:
$ ftp localhost Trying ::1… Connected to localhost (::1). Hello, all activity on ftp.example.com is logged.
6.4.2. 防止匿名访问并在 FTP 中上传
默认情况下,安装 vsftpd
软件包会为匿名用户创建 /var/ftp/
目录和一个目录树,用户对这些目录有只读权限。由于匿名用户可以访问数据,因此请勿将敏感数据存储在这些目录中。
要增加系统的安全性,您可以将 FTP 服务器配置为允许匿名用户将文件上传到特定目录并阻止匿名用户读取数据。在以下流程中,匿名用户可以将文件上传到 root
用户拥有的目录中,但不能更改该它。
流程
在
/var/ftp/pub/
目录中创建只写的目录:# mkdir /var/ftp/pub/upload # chmod 730 /var/ftp/pub/upload # ls -ld /var/ftp/pub/upload drwx-wx---. 2 root ftp 4096 Nov 14 22:57 /var/ftp/pub/upload
在
/etc/vsftpd/vsftpd.conf
文件中添加以下行:anon_upload_enable=YES anonymous_enable=YES
-
可选:如果您的系统启用了 SELinux 并使用强制(enforcing)模式,请启用 SELinux 布尔值属性
allow_ftpd_anon_write
和allow_ftpd_full_access
。
允许匿名用户在目录中读取和写入,可能会导致服务器成为盗取软件的存储库。
6.4.3. 为 FTP 保护用户帐户
FTP 通过不安全的网络以未加密的方式传输用户名和密码以进行身份验证。您可以通过拒绝系统用户从其用户帐户访问服务器来提高 FTP 安全性。
请根据您的配置执行以下几个步骤。
流程
通过在
/etc/vsftpd/vsftpd.conf
文件中添加以下行来禁用vsftpd
服务器中的所有用户帐户:local_enable=NO
-
要禁用特定帐户或特定帐户组(如
root
用户和带有sudo
权限的组)对 FTP 的访问,您可以将用户名添加到/etc/pam.d/vsftpd
PAM 配置文件。 -
通过在
/etc/vsftpd/ftpusers
文件中添加用户名来禁用用户帐户。
6.4.4. 其他资源
-
系统中
ftpd_selinux (8)
手册页