圖-ProFTPD

　　ProFTPD是針對(duì)Wu-FTP的弱項(xiàng)而開發(fā)的，已經(jīng)成為繼Wu-FTP之后最為流行的FTP服務(wù)器軟件，越來越多的站點(diǎn)選用它構(gòu)筑安全高效的FTP站點(diǎn)，TurboLinux就是一個(gè)例子。

　　1.使用xinetd方式運(yùn)行ProFTPD

　　ProFTPD能以Stand-alone、xinetd兩種模式運(yùn)行，當(dāng)用戶賬號(hào)比較少又經(jīng)常需要連接到ProFTPD服務(wù)器時(shí)推薦使用xinetd模式運(yùn)行。使用xinetd方式運(yùn)行ProFTPD可以有效防范DoS攻擊。原理和方法可以查看《網(wǎng)管理員世界》8月的《分類防范Linux的DoS》。

　　2.隱藏服務(wù)器版本信息

　　通常軟件的版本信息是攻擊者尋求最有價(jià)值的信息。修改配置文件：/etc/Proftpd.conf：

　　ServerIdent off

　　3.使用非root權(quán)限運(yùn)行Proftpd

　　以非root權(quán)限運(yùn)行Proftpd。修改配置文件：/etc/Proftpd.conf：

　　User nobody //設(shè)置FTP服務(wù)以nobody運(yùn)行

　　Group nobody //原來是Group nobody，一定要改為“Group nobody”

　　上面的配置表示以nobody用戶身份運(yùn)行Proftpd。使用nobody身份運(yùn)行能夠降低緩沖區(qū)溢出攻擊所帶來的危險(xiǎn)。

　　4.監(jiān)控Proftpd服務(wù)器

　　通常新部署一個(gè)FTP服務(wù)器之后需要進(jìn)行一段時(shí)間的監(jiān)控：記錄FTP連接記錄、誰(shuí)連接到我的FTP服務(wù)器。Proftpd本身附帶了幾個(gè)命令可以使用：

　　usr/local/bin/ftpcout：顯示FTP服務(wù)器連接數(shù)信息。

　　usr/local/bin/ftpwho：顯示FTP服務(wù)器連接用戶名稱信息。

　　可以使用watch命令配合使用，運(yùn)行下面命令：

　　watch -n 60 /usr/local/bin/ftpcount

　　這個(gè)命令每六十秒顯示一次連接數(shù)目信息。

　　5.修改Proftpd服務(wù)器配置文件

　　Proftpd服務(wù)器配置文件/etc/Proftpd.conf中許多選項(xiàng)可以加固服務(wù)器。/etc/Proftpd.conf文件格式和Apache服務(wù)器配置非常相像。

　　(1)通過IP地址限制FTP訪問

　　假設(shè)要允許主機(jī)名稱myhost.domain.com訪問FTP服務(wù)器，首先使用命令Ping myhost.domain. com。假設(shè)登到IP地址216.112.169. 138，修改配置文件，加入以下內(nèi)容：

　　Order Allow,Deny

　　Allow from 216.112.169.138

　　Deny from all

　　注意：不要在Allow命令后直接使用主機(jī)名稱，因?yàn)闄z查主機(jī)名稱會(huì)降低服務(wù)器的運(yùn)行速度。另外主機(jī)名稱比IP地址更具有欺騙性。

　　(2)使用PAM作為ProFTPD授權(quán)用戶的鑒別方法

　　ProFTPD也可以加入嵌入式認(rèn)證模塊，成為PAM-aware的FTP服務(wù)器。PAM和PAM-aware相關(guān)知識(shí)和配置請(qǐng)查看相關(guān)資料。這樣，用戶連接到ProFTPD服務(wù)器時(shí)都由PAM使用/etc/pam.d/ftp文件進(jìn)行認(rèn)證。在　　ProFTPD使用PAM比較簡(jiǎn)單，在配置文件/etc/Proftpd.conf加入：

　　AuthPAMAuthoritative on

　　AuthPAMConfig ftp

　　ProFTPD服務(wù)器會(huì)自動(dòng)把/etc/pam.d/ftp配置用于用戶授權(quán)。

　　(3)限制普通FTP用戶可訪問的目錄

　　同樣，ProFTPD服務(wù)器也要限制普通FTP用戶可以訪問的目錄，和wu-ftpd相比比較簡(jiǎn)單。如果限制skate組的skate用戶登錄時(shí)不能切換到其他目錄，修改配置文件加入：

　　DefaultRoot ～skate,skate

　　這樣它就只能呆在自己的home目錄中。

　　(4)限制FTP命令特權(quán)

　　禁止一些用戶創(chuàng)建和刪除目錄的特權(quán)。如果發(fā)現(xiàn)一些用戶有威脅行為，可以把他放在一個(gè)特定組中　　(badusers)。使用如下的配置：

　　Order deny,allow

　　DenyGroup badusers

　　AllowAll

　　這樣除了那個(gè)特定的用戶組之外，其他用戶可以創(chuàng)建和刪除目錄。

　　(5)控制FTP命令緩沖區(qū)大小

　　許多攻擊者通過發(fā)送大尺寸的命令攻擊FTP服務(wù)器，希望造成服務(wù)器緩沖區(qū)溢出?？梢允褂肅ommandBuffer Size命令限制客戶端命令長(zhǎng)度，通常設(shè)定為512。

　　(6)修改ProFTPD服務(wù)器使用端口

　　ProFTP如果使用Stand-alone模式，可以通過設(shè)置proftpd.conf來控制它。使用不同端口的設(shè)置也較為簡(jiǎn)單，只需在proftpd.conf中將“Port xx”改為需要的值即可。

通過上文詳細(xì)的說明，想必大家都能清楚知道ProFTPD服務(wù)器安全策略，希望本文對(duì)大家有用！

【編輯推薦】

• Proftpd 大蝦的學(xué)習(xí)筆記
• ProFTPD 詳細(xì)解析
• Gentoo中的proftpd的一些問題
• Proftpd使用TLS/SSL
• Proftpd登陸速度慢
• 為什么要使用proftpd
• ProFTPD 主要特性