Menu Close

6.4. 保护 FTP 服务

您可以使用文件传输协议(FTP)来通过网络传输文件。因为服务器的所有 FTP 事务(包括用户身份验证)均未加密,所以您应该确保它被安全配置。

RHEL 9 提供了两个 FTP 服务器:

  • 红帽内容加速器(tux)- 具有 FTP 功能的内核空间 Web 服务器。
  • 非常安全的 FTP 守护进程(vsftpd)- FTP 服务的一种独立的、面向安全的实现。

以下安全指南是用于设置 vsftpd FTP 服务:

6.4.1. 保护 FTP 的问候横幅

当用户连接到 FTP 服务时,FTP 会显示一个问候横幅。在默认情况下,它会包括版本信息,攻击者可以利用这个信息来识别系统中的弱点。您可以通过更改默认的横幅来防止攻击者获得这些信息。

您可以通过编辑 /etc/banners/ftp.msg 文件来定义自定义横幅。它可以直接包含一个单行消息,或引用一个单独的文件,其中包含多行消息。

流程

  • 要定义单行消息,请在 /etc/vsftpd/vsftpd.conf 文件中添加以下选项:

    ftpd_banner=Hello, all activity on ftp.example.com is logged.
  • 在单独的文件中定义信息:

    • 创建一个 .msg 文件,其中包含横幅消息,如 /etc/banners/ftp.msg

      ######### Hello, all activity on ftp.example.com is logged. #########

      为了简化多个横幅的管理,请将所有横幅放在 /etc/banners/ 目录中。

    • 将横幅文件的路径添加到 /etc/vsftpd/vsftpd.conf 文件中的 banner_file 选项中:

      banner_file=/etc/banners/ftp.msg

验证

  • 显示修改后的横幅:

    $ ftp localhost
    Trying ::1…
    Connected to localhost (::1).
    Hello, all activity on ftp.example.com is logged.