FTP是互聯網應用中的一個元老級人物了,其方便企業用戶文件的共享。但是,安全問題也一直伴隨在FTP左右。如何防止攻擊者通過非法手段竊取FTP服務器中的重要信息;如何防止攻擊者利用FTP服務器來傳播木馬與病毒等等。這些都是系統管理員所需要關注的問題。這次我就已Linux操作系統平台上使用的最廣泛的VSFTP為例,談談如何來提高FTP服務器的安全性。
一、禁止系統級別用戶來登錄FTP服務器。
為了提高FTP服務器的安全,系統管理員最好能夠為員工設置單獨的FTP帳號,而不要把系統級別的用戶給普通用戶來使用,這會帶來很大的安全隱患。在VSFTP服務器中,可以通過配置文件vsftpd.ftpusers來管理登陸帳戶。不過這個帳戶是一個黑名單,列入這個帳戶的人員將無法利用其帳戶來登錄FTP服務器。部署好VSFTP服務器後,我們可以利用vi命令來查看這個配置文件,發現其已經有了許多默認的帳戶。其中,系統的超級用戶root也在其中。可見出於安全的考慮,VSFTP服務器默認情況下就是禁止root帳戶登陸FTP服務器的。如果系統管理員想讓root等系統帳戶登陸到FTP服務器,則知需要在這個配置文件中將root等相關的用戶名刪除即可。不過允許系統帳戶登錄FTP服務器,會對其安全造成負面的影響,為此我不建議系統管理員這麼做。對於這個文件中相關的系統帳戶管理員最好一個都不要改,保留這些帳號的設置。
如果出於其他的原因,需要把另外一些帳戶也禁用掉,則可以把帳戶名字加入到這個文件中即可。如在服務器上可能同時部署了FTP服務器與數據庫服務器。那麼為了安全起見,把數據庫管理員的帳戶列入到這個黑名單,是一個不錯的做法。
二、加強對匿名用戶的控制。
匿名用戶是指那些在FTP服務器中沒有定義相關的帳戶,而FTP系統管理員為了便於管理,仍然需要他們進行登陸。但是他們畢竟沒有取得服務器的授權,為了提高服務器的安全性,必須要對他們的權限進行限制。在VSFTP服務器上也有很多參數可以用來控制匿名用戶的權限。系統管理員需要根據FTP服務器的安全級別,來做好相關的配置工作。需要說明的是,匿名用戶的權限控制的越嚴格,FTP服務器的安全性越高,但是同時用戶訪問的便利性也會降低。故最終系統管理員還是需要在服務器安全性與便利性上取得一個均衡。
下面是我推薦的幾個針對匿名用戶的配置,大家若不清楚該如何配置的話,可以參考這些配置。這些配置兼顧了服務器的安全與用戶的使用便利。
一是參數anon_world_readable_only。這個參數主要用來控制匿名用戶是否可以從FTP服務器上下載可閱讀的文件。如果FTP服務器部署在企業內部,主要供企業內部員工使用的話,則最好把這個參數設置為YES。然後把一些企業常用表格等等可以公開的文件放置在上面,讓員工在匿名的情況下也可以下載這些文件。這即不會影響到FTP服務器的安全,而且也有利於其他員工操作的便利性上。
二是參數anon_upload_enable。這個參數表示匿名用戶能否在匿名訪問的情況下向FTP服務器上傳文件。通常情況下,應該把這個參數設置為No。即在匿名訪問時不允許用戶上傳文件。否則的話,隨便哪個人都可以上傳文件的話,那對方若上傳一個病毒文件,那企業不是要遭殃了。故應該禁止匿名用戶上傳文件。但是這也有例外。如有些企業通過FTP協議來備份文件。此時如果企業網絡的安全性有所保障的話,可以把這個參數設置為YES,即允許操作系統調用FTP命令往FTP服務器上備份文件。在這種情況下,為了簡化備份程序的部署,往往采用匿名訪問。故需要在FTP服務器上允許匿名用戶上傳文件。
三是參數anon_other_write_enable與參數anon_mkdir_write_enable。這兩個參數主要涉及到匿名用戶的一些比較高級的權限。如第一個參數表示匿名用戶具有上傳和建立子目錄之外的權限,如可以更改FTP服務器上文件的名字等等。而第二個參數則表示匿名用戶可以在特定的情況下建立子目錄。這些功能都會影響到FTP服務器的安全與文件的安全。為此除非有特別需要的原因,否則的話都應該把這些權限禁用掉。即把這些參數的值設置為NO。我認為,除非FTP服務器是系統管理員拿來玩玩的,可以開啟這些參數。否則的話,還是把這些參數設置為NO為好,以提高FTP服務器的安全。
總的來說,對於匿名用戶的控制要遵循權限最小原則。因為匿名用戶是FTP服務器沒有授權的用戶,故無法進行深級別的權限訪問控制。為此只有通過這些基本參數來實現對其的控制。
三、做好目錄的控制。
通常情況下,系統管理員需要為每個不同的用戶設置不同的根目錄。而為安全起見,不讓不同用戶之間進行相互的干擾,則系統管理員需要設置不讓用戶可以訪問其他用戶的根目錄。如有些企業為每個部門設置了一個FTP帳戶,以利於他們交流文件。那麼銷售部門Sales有一個根目錄sales;倉庫部門有一個根目錄Ware。作為銷售員工來說,他們可以訪問自己根目錄下的任何子目錄,但是無法訪問倉庫用戶的根目錄Ware。如此的話,銷售部門員工也就無法訪問倉庫用戶的文件了。可見,通過限制用戶訪問根目錄以外的目錄,可以防止不同用戶之間相互干擾,以提高FTP服務器上文件的安全。為了實現這個目的,可以把參數chroot_local_user設置為NO。如此設置後,所有在本地登陸的用戶都不可以進入根目錄之外的其他目錄。不過在進行這個控制的時候,最好能夠設置一個大家都可以訪問的目錄,以存放一些公共的文件。我們既要保障服務器的安全,也不能夠因此影響到文件的正常共享交流。
四、進行傳輸速率的限制。
有時候為了保障FTP服務器的穩定運行,需要對其文件上傳下載的速率進行限制。如在同一台服務器上,分別部署了FTP服務器、郵件服務器等等。為了這些應用服務能夠和平共處,就需要對其的最大傳輸速率進行控制。因為同一台服務器的帶寬是有最大限制的。若某個應用服務占用比較大的帶寬時,就會對其他應用服務產生不利的影響,甚至為導致其他應用服務無法正常相應用戶的需求。再如有時候FTP用途的不同,也需要設置最大速率的限制。如FTP同時作為文件備份與文件上傳下載等用途,那麼為了提高文件備份的效率,縮短備份時間就需要對文件上傳下載的速率進行最大值的限制。
為了實現傳輸速率的限制,系統管理員可以設置local_max_rate參數。默認情況下,這個參數是不啟用的,即沒有最大速率的限制。不過基於以上這些原因,我還是建議各位系統管理員在把FTP服務器投入生產運營之前能夠先對這個參數進行設置。防止因為上傳下載耗用了過多的帶寬而對其他應用服務產生負面的影響。系統管理員需要在各個應用服務之間取得一個均衡,合理的分配帶寬。至少要保證各個應用服務能夠正常響應客戶的請求。另外在有可能的情況下,需要執行錯峰運行。如在一台主機上同時部署有郵件服務器與FTP服務器。而FTP服務器主要用來進行文件備份。那麼為了防止文件備份對郵件收發產生不利影響(因為文件備份需要比較大的帶寬會在很大程度上降低郵件收發的速度),最好能夠把文件備份與郵件收發的高峰時期分開來。如一般情況下早上上班時是郵件收發的高峰時期,那就不要利用FTP服務來進行文件備份。而中午休息的時候一般收發郵件就比較少了。此時就可以利用FTP來進行文件備份。所以把FTP服務器與其他應用服務錯峰運行,那麼就可以把這個速率設置的大一點,以提高FTP服務的運行效率。當然,這對系統管理員提出了比較高的要求。因為系統管理員需要分析各種應用,然後再結合服務器的部署,來進行綜合的規劃。除非有更高的措施與更好的條件,否則的話對FTP服務器進行最大速率傳輸是必須的。否則的話,會對企業中部署的其他信息化服務帶來非常大的不利影響,會造成企業網絡的阻塞。