0°

FTP 匿名登录或弱口令漏洞及服务加固

黑客利用弱口令或匿名登录漏洞直接登录 FTP 服务,上传恶意文件,从而获取系统权限,并可能造成数据泄露。

FTP 弱口令或匿名登录漏洞,一般指使用 FTP 的用户启用了匿名登录功能,或系统口令的长度太短、复杂度不够、仅包含数字、或仅包含字母等,容易被黑客攻击,发生恶意文件上传或更严重的入侵行为。

危害

黑客利用弱口令或匿名登录漏洞直接登录 FTP 服务,上传恶意文件,从而获取系统权限,并可能造成数据泄露。

加固方案

不同 FTP 服务软件可能有不同的防护程序,本修复方案以 Linux 中的 vsftpd 服务为例,您可参考以下方案对您的 FTP 服务进行安全加固。

重要提示:

请确保您的 FTP 服务软件为官方最新版本。同时,建议您不定期关注官方发布的补丁,并及时进行更新。

强烈建议不要将此类型的服务在互联网开放,您可以使用 VPN 等安全接入手段连接到 FTP 服务器端,同时使用 安全组 来控制访问源 IP。

Linux 系统 vsftpd 服务安全加固

及时安装更新补丁

在安装更新补丁前,备份您的 vsftp 应用配置。从 VSFTPD 官方网站 获取最新版本的 vsftp 软件安装包,完成升级安装。或者,您可以下载最新版 vsftp 源码包,自行编译后安装更新。您也可以执行 yum update vsftpd 命令通过 yum 源进行更新。

禁用匿名登录服务

  • 添加一个新用户(test),并配置强密码。例如,执行 useradd -d /home -s /sbin/nologin test 命令。

其中,/sbin/nologin 参数表示该用户不能登录 Linux shell 环境。

test 为用户名。

通过 passwd test 命令,为该用户配置强密码。密码长度建议八位以上,且密码应包括大小写字母、特殊字符、数字混合体,且不要使用生日、姓名拼音等常见字符串作为密码。

  • 修改配置文件 vsftpd.conf,执行#vim /etc/vsftpd/vsftpd.conf 命令。

anonymous_enable=NO,将该参数配置为 NO 表示禁止匿名登录,必须要创建用户认证后才能登录 FTP 服务。

禁止显示 banner 信息

修改 VSFTP 配置文件 vsftpd.conf,设置 ftpd_banner=Welcome。重启 vsftp 服务后,即不显示 banner 信息。

 >ftp 192.168.10.200
 Connected to 192.168.10.200.
 220 Welcome
 User (192.168.10.200:(none)):

限制 FTP 登录用户

在 ftpusers 和 user_list 文件中列举的用户都是不允许访问 FTP 服务的用户(例如 root、bin、daemon 等用户)。除了需要登录 FTP 的用户外,其余用户都应该添加至此拒绝列表中。

限制 FTP 用户目录

  • 修改 VSFTP 配置文件 vsftpd.conf。
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list
  • 新建 /etc/vsftpd/chroot_list 文件,并添加用户名。例如,将 user1 添加至该文件,则 user1 登录 FTP 服务后,只允许在 user1 用户的 home 目录中活动。

修改监听地址和默认端口

例如,修改 VSFTP 配置文件 vsftpd.conf,设置监听 1.1.1.1 地址的 8888 端口。

 listen_address=1.1.1.1
 listen_port=8888

启用日志记录

修改 VSFTP 配置文件 vsftpd.conf,启用日志记录。

xferlog_enable=YES

xferlog_std_format=YES

如果您需要自定义日志存放位置,可以修改 xferlog_file=/var/log/ftplog。

其他安全配置

修改 VSFTP 配置文件 vsftpd.conf。

 //限制连接数 
 max_clients=100 
 max_per_ip=5 
 //限制传输速度 
 anon_max_rate=81920 
 local_max_rate=81920

注意: 如果您不需要使用 FTP 服务,建议您关闭该服务。

「点点赞赏,手留余香」

    还没有人赞赏,快来当第一个赞赏的人吧!
0 条回复 A 作者 M 管理员
    所有的伟大,都源于一个勇敢的开始!
欢迎您,新朋友,感谢参与互动!欢迎您 {{author}},您在本站有{{commentsCount}}条评论