ProFTPD是針對(duì)Wu-FTP的弱項(xiàng)而開(kāi)發(fā)的，除了改進(jìn)的安全性，還具備許多Wu-FTP沒(méi)有的特點(diǎn)，能以Stand-alone、xinetd模式運(yùn)行等。ProFTP已經(jīng)成為繼Wu-FTP之后最為流行的FTP服務(wù)器軟件，越的站點(diǎn)選用它構(gòu)筑安全高效的FTP站點(diǎn)，ProFTP配置方便，并有MySQL和Quota模塊可供選擇，利用它們的完美結(jié)合可以實(shí)現(xiàn)非系統(tǒng)賬號(hào)的管理和用戶(hù)磁盤(pán)的限制。那么該如何建立安全的ProFTPD

　　一、 ProFTPD服務(wù)面臨的安全隱患

　　ProFTPD服務(wù)面臨的安全隱患主要包括：緩沖區(qū)溢出攻擊(Buffer Overflow)、數(shù)據(jù)嗅探和匿名訪問(wèn)缺陷。

　　1、緩沖區(qū)溢出攻擊

　　長(zhǎng)期以來(lái)，緩沖區(qū)溢出已經(jīng)成為計(jì)算機(jī)系統(tǒng)的一個(gè)問(wèn)題。利用計(jì)算機(jī)緩沖區(qū)溢出漏洞進(jìn)行攻擊的最著名的案例是莫里斯蠕蟲(chóng)，發(fā)生在1988年11月。但即使其危害人所共知，緩沖區(qū)溢出仍然是現(xiàn)在入侵的一個(gè)重要手段。

　　緩沖區(qū)溢出的概念：緩沖區(qū)溢出好比是將一百公斤貨物放進(jìn)一個(gè)只能裝十公斤的容器里。緩沖區(qū)溢出漏洞是一個(gè)困擾了安全專(zhuān)家30多年的難題。簡(jiǎn)單來(lái)說(shuō)，它是由于編程機(jī)制而導(dǎo)致的、在軟件中出現(xiàn)的內(nèi)存錯(cuò)誤。這樣的內(nèi)存錯(cuò)誤使得黑客可以運(yùn)行一段惡意代碼來(lái)破壞系統(tǒng)正常地運(yùn)行，甚至獲得整個(gè)系統(tǒng)的控制權(quán)。

　　2、數(shù)據(jù)嗅探

　　FTP是傳統(tǒng)的網(wǎng)絡(luò)服務(wù)程序，在本質(zhì)上是不安全的，因?yàn)樗鼈冊(cè)诰W(wǎng)絡(luò)上用明文傳送口令和數(shù)據(jù)，別有用心的人非常容易就可以截獲這些口令和數(shù)據(jù)。而且，這些服務(wù)程序的安全驗(yàn)證方式也是有其弱點(diǎn)的，就是很容易受到"中間人"(man-in-the-middle)這種方式的攻擊。

　　所謂"中間人"的攻擊方式，就是"中間人"冒充真正的服務(wù)器接收你傳給服務(wù)器的數(shù)據(jù)，然后再冒充你把數(shù)據(jù)傳給真正的服務(wù)器。服務(wù)器和你之間的數(shù)據(jù)傳送被"中間人"轉(zhuǎn)手后做了手腳之后，就會(huì)出現(xiàn)很?chē)?yán)重的問(wèn)題。 截獲這些口令的方式主要為暴力破解。另外使用sniffer程序監(jiān)視網(wǎng)絡(luò)封包捕捉FTP開(kāi)始的會(huì)話(huà)信息，便可順手截獲root密碼。

　　3. 匿名訪問(wèn)缺陷

　　匿名訪問(wèn)方式在FTP服務(wù)當(dāng)中被廣泛的支持，但是由于匿名FTP不需要真正的身份驗(yàn)證，因此很容易為入侵者提供一個(gè)訪問(wèn)通道，配合緩沖區(qū)溢出攻擊，會(huì)造成很?chē)?yán)重的后果。

　　4. 拒絕服務(wù)攻擊

　　拒絕服務(wù)是一種技術(shù)含量低，但攻擊效果明顯的攻擊方式，受到這種攻擊時(shí)，服務(wù)器或網(wǎng)絡(luò)設(shè)備長(zhǎng)時(shí)間不能正常提供服務(wù)，并且由于某些網(wǎng)絡(luò)通訊協(xié)議本身固有的缺陷，難以提出一個(gè)行之有效的解決辦法。防范拒絕服務(wù)攻擊需要我們從全局去部署防御拒絕服務(wù)攻擊策略，多種策略聯(lián)動(dòng)防范，將拒絕服務(wù)攻擊的危害降至最低。

　　二、 加固ProFTPD服務(wù)端、建立安全的ProFTPD

　　1.升級(jí)版本

　　升級(jí)陳舊的ProFTPD版本，因?yàn)樵缙诘腜roFTPD版本存在的安全漏洞。對(duì)于一個(gè)新配置的ProFTPD服務(wù)器來(lái)說(shuō)使用最新穩(wěn)定版本是最明智的選擇，可以在其官方網(wǎng)站下載其源代碼進(jìn)行編譯。ProFTPD最新版本是1.2.10，官方網(wǎng)址：http://www.ProFTPD.org 。

　　2.使用xinetd方式運(yùn)行ProFTPD

　　ProFTPD能以Stand-alone、xinetd兩種模式運(yùn)行，當(dāng)用戶(hù)賬號(hào)比較少又經(jīng)常需要連接到ProFTPD服務(wù)器時(shí)推薦使用xinetd模式運(yùn)行。使用xinetd方式運(yùn)行ProFTPD可以有效防范DoS攻擊。

　　從傳統(tǒng)的守護(hù)進(jìn)程的概念可以看出，對(duì)于系統(tǒng)所要通過(guò)的每一種服務(wù)，都必須運(yùn)行一個(gè)監(jiān)聽(tīng)某個(gè)端口連接所發(fā)生的守護(hù)進(jìn)程，這通常意味著資源浪費(fèi)。為了解決這個(gè)問(wèn)題，一些Linux引進(jìn)了"網(wǎng)絡(luò)守護(hù)進(jìn)程服務(wù)程序"的概念。

　　Redhat Linux 8.0以后的版本使用的網(wǎng)絡(luò)守護(hù)進(jìn)程是xinted(eXtended InterNET daemon)。和stand-alone模式相比xinted模式也稱(chēng) Internet Super-Server(超級(jí)服務(wù)器)。

　　xinetd能夠同時(shí)監(jiān)聽(tīng)多個(gè)指定的端口，在接受用戶(hù)請(qǐng)求時(shí)，他能夠根據(jù)用戶(hù)請(qǐng)求的端口不同，啟動(dòng)不同的網(wǎng)絡(luò)服務(wù)進(jìn)程來(lái)處理這些用戶(hù)請(qǐng)求。可以把xinetd看做一個(gè)管理啟動(dòng)服務(wù)的管理服務(wù)器，它決定把一個(gè)客戶(hù)請(qǐng)求交給那個(gè)程序處理，然后啟動(dòng)相應(yīng)的守護(hù)進(jìn)程。xinetd模式工作原理見(jiàn)圖1。

　　圖1 xinetd模式網(wǎng)絡(luò)服務(wù)

　　和stand-alone工作模式相比，系統(tǒng)不想要每一個(gè)網(wǎng)絡(luò)服務(wù)進(jìn)程都監(jiān)聽(tīng)其服務(wù)端口。運(yùn)行單個(gè)xinetd就可以同時(shí)監(jiān)聽(tīng)所有服務(wù)端口，這樣就降低了系統(tǒng)開(kāi)銷(xiāo)，保護(hù)系統(tǒng)資源。但是對(duì)于訪問(wèn)量大、經(jīng)常出現(xiàn)并發(fā)訪問(wèn)時(shí)，xinetd想要頻繁啟動(dòng)對(duì)應(yīng)的網(wǎng)絡(luò)服務(wù)進(jìn)程，反而會(huì)導(dǎo)致系統(tǒng)性能下降。察看系統(tǒng)為L(zhǎng)inux服務(wù)提供那種模式方法在Linux命令行可以使用pstree命令可以看到兩種不同方式啟動(dòng)的網(wǎng)絡(luò)服務(wù)。

【編輯推薦】

1. 中文解釋PureFTPd配置文件
2. Pureftpd的安裝文檔
3. Freebsd下使用PureFTPd
4. Pureftpd安裝配置簡(jiǎn)明說(shuō)明
5. PureFTPd Accept_Client遠(yuǎn)程拒絕服務(wù)漏洞
6. FreeBSD與Linux十個(gè)本質(zhì)上的區(qū)別
7. Postfix_setup 全自動(dòng)安裝包發(fā)布支持 Linux/FreeBSD