Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

4.3.9. 保护 FTP

文件传输协议(FTP )是较旧的 TCP 协议,旨在通过网络传输文件。由于与服务器的所有事务(包括用户身份验证)都未加密,因此它被视为不安全的协议,应仔细配置。
Red Hat Enterprise Linux 7 提供两个 FTP 服务器:
  • 红帽内容加速器 (tux)- 具有 FTP 功能的内核空间 Web 服务器.
  • vsftpd - FTP 服务的一个独立、面向安全的实施。
以下安全准则适用于设置 vsftpd FTP 服务:

4.3.9.1. FTP Greeting Banner

在提交用户名和密码之前,所有用户都会会看到一个问候横幅。默认情况下,此横幅包含了对攻击者有用的版本信息,试图识别系统中的弱点。
要更改 vsftpd 的问候横幅,请在 /etc/vsftpd/vsftpd.conf 文件中添加以下指令:
ftpd_banner=<insert_greeting_here>
将上述指令中的 <insert_greeting_here> 替换为问候语的文本。
对于 mutli-line 横幅,最好使用横幅文件。要简化多个横幅的管理,将所有横幅放在名为 /etc/banners/ 的新目录中。本例中 FTP 连接的横幅文件为 /etc/banners/ftp.msg。以下是此类文件的示例:
######### Hello, all activity on ftp.example.com is logged. #########
注意
不需要按照 第 4.4.1 节 “使用 TCP wrapper 和 xinetd 保护服务” 中指定的 220 开始文件的每一行。
要引用 vsftpd 的这个问候横幅文件,请在 /etc/vsftpd/vsftpd.conf 文件中添加以下指令:
banner_file=/etc/banners/ftp.msg
您还可以使用 TCP wrapper 发送额外的横幅到传入的连接,如 第 4.4.1.1 节 “TCP 封装器和连接程序” 所述。