8.4. 保护 FTP 服务

您可以使用文件传输协议(FTP)来通过网络传输文件。因为服务器的所有 FTP 事务(包括用户身份验证)均未加密,所以您应该确保它被安全配置。

RHEL 9 提供了两个 FTP 服务器:

  • 红帽内容加速器(tux)- 具有 FTP 功能的内核空间 Web 服务器。
  • 非常安全的 FTP 守护进程(vsftpd)- FTP 服务的一种独立的、面向安全的实现。

以下安全指南是用于设置 vsftpd FTP 服务:

8.4.1. 保护 FTP 的问候横幅

当用户连接到 FTP 服务时,FTP 会显示一个问候横幅。在默认情况下,它会包括版本信息,攻击者可以利用这个信息来识别系统中的弱点。您可以通过更改默认的横幅来防止攻击者获得这些信息。

您可以通过编辑 /etc/banners/ftp.msg 文件来定义自定义横幅。它可以直接包含一个单行消息,或引用一个单独的文件,其中包含多行消息。

流程

  • 要定义单行消息,请在 /etc/vsftpd/vsftpd.conf 文件中添加以下选项: 

    ftpd_banner=Hello, all activity on ftp.example.com is logged.

  • 在单独的文件中定义信息:

    • 创建一个 .msg 文件,其中包含横幅消息,如 /etc/banners/ftp.msg

      ######### Hello, all activity on ftp.example.com is logged. #########

      为了简化多个横幅的管理,请将所有横幅放在 /etc/banners/ 目录中。

    • 将横幅文件的路径添加到 /etc/vsftpd/vsftpd.conf 文件中的 banner_file 选项中: 

      banner_file=/etc/banners/ftp.msg

验证

  • 显示修改后的横幅: 

    $ ftp localhost
Trying ::1…
Connected to localhost (::1).
Hello, all activity on ftp.example.com is logged.

8.4.2. 防止匿名访问并在 FTP 中上传

默认情况下,安装 vsftpd 软件包会为匿名用户创建 /var/ftp/ 目录和一个目录树,用户对这些目录有只读权限。由于匿名用户可以访问数据,因此请勿将敏感数据存储在这些目录中。

要增加系统的安全性,您可以将 FTP 服务器配置为允许匿名用户将文件上传到特定目录并阻止匿名用户读取数据。在以下流程中,匿名用户可以将文件上传到 root 用户拥有的目录中,但不能更改该它。

流程

  • /var/ftp/pub/ 目录中创建只写的目录: 

    # mkdir /var/ftp/pub/upload
# chmod 730 /var/ftp/pub/upload
# ls -ld /var/ftp/pub/upload
drwx-wx---. 2 root ftp 4096 Nov 14 22:57 /var/ftp/pub/upload

  • /etc/vsftpd/vsftpd.conf 文件中添加以下行: 

    anon_upload_enable=YES
anonymous_enable=YES
  • 可选:如果您的系统启用了 SELinux 并使用强制(enforcing)模式,请启用 SELinux 布尔值属性 allow_ftpd_anon_writeallow_ftpd_full_access
警告

允许匿名用户在目录中读取和写入,可能会导致服务器成为盗取软件的存储库。

8.4.3. 为 FTP 保护用户帐户

FTP 通过不安全的网络以未加密的方式传输用户名和密码以进行身份验证。您可以通过拒绝系统用户从其用户帐户访问服务器来提高 FTP 安全性。

请根据您的配置执行以下几个步骤。

流程

  • 通过在 /etc/vsftpd/vsftpd.conf 文件中添加以下行来禁用 vsftpd 服务器中的所有用户帐户: 

    local_enable=NO
  • 要禁用特定帐户或特定帐户组(如 root 用户和带有 sudo 权限的组)对 FTP 的访问,您可以将用户名添加到 /etc/pam.d/vsftpd PAM 配置文件。
  • 通过在 /etc/vsftpd/ftpusers 文件中添加用户名来禁用用户帐户。

8.4.4. 其他资源

  • ftpd_selinux(8) 手册页