proftpd是一個強大的開源的可配置的FTP服務器軟件,名稱最後的d字是因為在Linux中是用daemon來稱呼。 ProFTPd與Apache的配置方式很相似,因此很容易配置和管理。 PROFTP易於配置,和MySQL和Quota模塊可供選擇,與他們的完美結合,實現非系統帳戶的管理和用戶磁盤的限制。在這裡,我們給大家講解如何建立安全的ProFTPD的。
一.ProFTPD服務面臨的安全隱患
ProFTPD服務面臨的安全風險包括:緩沖區溢出攻擊(緩沖區溢出),數據嗅探和匿名訪問缺陷。
1.緩沖區溢出攻擊
很長一段時間,已成為緩沖區溢出的計算機系統中的一個問題。 Morris蠕蟲病毒,最著名的案例是利用計算機緩沖區溢出漏洞的攻擊發生在1988年11月。然而,即使其危害是眾所周知的緩沖區溢出入侵的重要手段。
成的緩沖區溢出的概念:緩沖區溢出就像一百公斤的貨物只能安裝在12公斤的容器。緩沖區溢出漏洞是一個困擾了安全專家30多年的難題。簡單來說,它是由於內存軟件中的錯誤造成的編程機制。這樣的內存錯誤,黑客可以運行一段惡意代碼來破壞系統的正常運行,甚至獲得整個系統的控制權。
2.數據嗅探
FTP是傳統的網絡服務程序,在本質上是不安全的,因為在網絡上使用明文密碼和數據,別有用心的人非常容易就可以截獲這些口令和數據。這些服務程序的安全驗證,也是它的弱點,很容易受到“中間人”(人在這中間的)這種方式的攻擊。
所謂的“中間人”攻擊方式,冒充真正的服務器接收數據傳遞給服務器作為“中間人”,然後再冒充你把數據傳給真正的服務器。數據傳輸和服務器之間的轉手後做了手腳之後的“中間人”,將是一個非常嚴重的問題。可以截獲這些口令蠻力的方法。另外,使用sniffer程序監視網絡封包捕捉FTP開始的會話信息,可以很容易被截獲root密碼。
3.匿名訪問缺陷
匿名訪問FTP服務,廣泛的支持,但沒有真正的身份驗證匿名FTP,所以很容易為入侵者提供一個訪問通道,緩沖區溢出攻擊,將導致非常嚴重的後果。
4.拒絕服務攻擊
拒絕服務是一種技術含量低,但攻擊這種攻擊中,服務器或網絡設備的攻擊效果很長一段時間不提供服務,由於一些網絡通訊協議的固有缺陷,也很難提出一個行有效的解決方案。為了防止拒絕服務攻擊需要我們從全局去部署防御拒絕服務攻擊策略,多種策略聯動,以防止拒絕服務攻擊傷害降到最低。
proftpd是針對WU-FTP的弱項而開發的,除了提高安全性的弱點,但也有許多WU-FTP的特點單機,xinetd的模式。普通用戶一般用不到這方面的知識,這片知識的用戶需要快速學習下吧。