FTP是網路應用中的一個元老級人物了,其方便企業用戶文件的共享。但是,安全問題也一直伴隨在FTP左右。如何防止攻擊者透過非法手段竊取FTP伺服器中的重要資訊;如何防止攻擊者利用FTP伺服器來傳播木馬與病毒等等。這些都是系統管理員所需要關注的問題。這次我就已Linux作業系統平台上使用的最廣泛的VSFTP為例,談談如何來提高FTP伺服器的安全性。
一、禁止系統級使用者來登入FTP伺服器。
為了提高FTP伺服器的安全,系統管理員最好能夠為員工設定單獨的FTP帳號,而不要把系統層級的使用者給一般使用者來使用,這會帶來很大的安全隱患。在VSFTP伺服器中,可以透過設定檔vsftpd.ftpusers來管理登陸帳戶。不過這個帳號是一個黑名單,列入這個帳號的人員將無法利用其帳號來登入FTP伺服器。部署好VSFTP伺服器後,我們可以利用vi指令來查看這個設定文件,發現已經有了許多預設的帳戶。其中,系統的超級使用者root也在其中。可見出於安全的考慮,VSFTP伺服器預設就是禁止root帳號登陸FTP伺服器的。如果系統管理員想要讓root等系統帳號登陸FTP伺服器,則知需要在這個設定檔中將root等相關的使用者名稱刪除即可。不過允許系統帳號登入FTP伺服器,會對其安全性造成負面的影響,為此我不建議系統管理員這麼做。對於這個文件中相關的系統帳戶管理員最好一個都不要改,保留這些帳號的設定。
如果出於其他的原因,需要把另外一些帳戶也停用掉,則可以把帳戶名字加入到這個檔案中即可。如在伺服器上可能同時部署了FTP伺服器與資料庫伺服器。那麼為了安全起見,把資料庫管理員的帳戶列入這個黑名單,是一個不錯的做法。
二、加強對匿名用戶的控制。
匿名使用者是指那些在FTP伺服器中沒有定義相關的帳戶,而FTP系統管理員為了方便管理,仍然需要他們進行登陸。但是他們畢竟沒有取得伺服器的授權,為了提高伺服器的安全性,必須要對他們的權限進行限制。在VSFTP伺服器上也有很多參數可以用來控制匿名使用者的權限。系統管理員需要根據FTP伺服器的安全級別,來做好相關的設定工作。需要說明的是,匿名使用者的權限控制的越嚴格,FTP伺服器的安全性越高,但同時使用者存取的便利性也會降低。故最終系統管理員還是需要在伺服器安全性與便利性上取得一個均衡。
以下是我推薦的幾個針對匿名使用者的配置,大家若不清楚該如何配置的話,可以參考這些配置。這些配置兼顧了伺服器的安全性與使用者的使用便利。
一是參數anon_world_readable_only。這個參數主要用來控制匿名使用者是否可以從FTP伺服器下載可閱讀的檔案。如果FTP伺服器部署在企業內部,主要供企業內部員工使用的話,最好把這個參數設定為YES。然後把一些企業常用表格等等可以公開的文件放在上面,讓員工在匿名的情況下也可以下載這些文件。這即不會影響到FTP伺服器的安全,也有利於其他員工操作的便利性。
二是參數anon_upload_enable。這個參數表示匿名使用者能否在匿名存取的情況下向FTP伺服器上傳檔案。通常情況下,應該把這個參數設定為No。即在匿名存取時不允許使用者上傳檔案。否則的話,隨便哪個人都可以上傳文件的話,那對方若上傳一個病毒文件,那企業不是要遭殃了。故應該禁止匿名使用者上傳文件。但這也有例外。如有些企業透過FTP協定來備份檔案。此時如果企業網路的安全性有保障的話,可以把這個參數設定為YES,也就是允許作業系統呼叫FTP指令往FTP伺服器上備份檔案。在這種情況下,為了簡化備份程序的部署,往往會採用匿名存取。故需要在FTP伺服器上允許匿名使用者上傳檔案。
三是參數anon_other_write_enable與參數anon_mkdir_write_enable。這兩個參數主要涉及匿名使用者的一些比較高級的權限。如第一個參數表示匿名使用者俱有上傳和建立子目錄之外的權限,如可以更改FTP伺服器上檔案的名字等等。而第二個參數則表示匿名使用者可以在特定的情況下建立子目錄。這些功能都會影響到FTP伺服器的安全性與檔案的安全性。為此除非有特別需要的原因,否則的話都應該把這些權限禁用掉。即把這些參數的值設為NO。我認為,除非FTP伺服器是系統管理員拿來玩的,可以開啟這些參數。否則的話,還是把這些參數設定為NO為好,以提高FTP伺服器的安全。
總的來說,對於匿名使用者的控制要遵循權限最小原則。因為匿名用戶是FTP伺服器沒有授權的用戶,故無法進行深層的權限存取控制。為此只有透過這些基本參數來實現對其的控制。
三、做好目錄的控制。
通常情況下,系統管理員需要為每個不同的使用者設定不同的根目錄。而為安全起見,不讓不同使用者之間進行相互的干擾,則系統管理員需要設定不讓使用者可以存取其他使用者的根目錄。如有些企業為每個部門設定了一個FTP帳戶,以利他們交流文件。那麼銷售部門Sales有一個根目錄sales;倉庫部門有一個根目錄Ware。作為銷售員工來說,他們可以存取自己根目錄下的任何子目錄,但是無法存取倉庫使用者的根目錄Ware。如此的話,銷售部門員工也就無法存取倉庫使用者的文件了。可見,透過限制使用者存取根目錄以外的目錄,可以防止不同使用者之間相互幹擾,以提高FTP伺服器上檔案的安全性。為了實現這個目的,可以把參數chroot_local_user設定為NO。如此設定後,所有在本地登陸的使用者都不可以進入根目錄以外的其他目錄。不過在進行這個控制的時候,最好能夠設定一個大家都可以存取的目錄,以存放一些公共的文件。我們既要保障伺服器的安全,也不能夠因此影響文件的正常共享交流。
四、進行傳輸速率的限制。
有時候為了確保FTP伺服器的穩定運行,需要對其檔案上傳下載的速率進行限制。如在同一台伺服器上,分別部署了FTP伺服器、郵件伺服器等等。為了這些應用服務能夠和平共處,就需要對其的最大傳輸速率進行控制。因為同一台伺服器的頻寬是有最大限制的。若某應用程式服務佔用較大的頻寬時,就會對其他應用程式服務產生不利的影響,甚至為導致其他應用程式服務無法正常對應使用者的需求。再如有時候FTP用途的不同,也需要設定最大速率的限制。如FTP同時作為檔案備份與檔案上傳下載等用途,那麼為了提高檔案備份的效率,縮短備份時間就需要對檔案上傳下載的速率進行最大值的限制。
為了實現傳輸速率的限制,系統管理員可以設定local_max_rate參數。預設情況下,這個參數是不啟用的,也就是沒有最大速率的限制。不過基於以上這些原因,我還是建議各位系統管理員在把FTP伺服器投入生產運作之前能夠先對這個參數進行設定。防止因為上傳下載耗用了過多的頻寬而對其他應用服務產生負面的影響。系統管理員需要在各個應用服務之間取得一個均衡,合理的分配頻寬。至少要確保各個應用服務能夠正常回應客戶的請求。另外在有可能的情況下,需要執行錯峰運行。如在一台主機上同時部署有郵件伺服器與FTP伺服器。而FTP伺服器主要用來進行檔案備份。那麼為了防止檔案備份對郵件收發產生不利影響(因為檔案備份需要比較大的頻寬會在很大程度上降低郵件收發的速度),最好能夠把檔案備份與郵件收發的高峰時期分開來。如一般情況下早上上班時是郵件收發的高峰時期,那就不要利用FTP服務來進行檔案備份。而中午休息的時候一般收發郵件就比較少了。此時就可以利用FTP來進行檔案備份。所以把FTP伺服器與其他應用程式服務錯峰運行,那麼就可以把這個速率設定的大一點,以提高FTP服務的運作效率。當然,這對系統管理員提出了比較高的要求。因為系統管理員需要分析各種應用,然後再結合伺服器的部署,來進行綜合的規劃。除非有更高的措施與更好的條件,否則的話對FTP伺服器進行最大速率傳輸是必須的。否則的話,會對企業中部署的其他資訊化服務帶來非常大的不利影響,會造成企業網路的阻塞。