1.禁止系统级用户登录FTP服务器。
为了提高FTP服务器的安全性,系统管理员最好为员工设置单独的FTP账号,而不是对普通用户使用系统级用户,这样会带来很大的安全隐患。在VSFTP服务器中,登录帐户可以由配置文件vsftpd.ftpusers管理,但是,该帐户是一个黑名单,在该帐户中列出的人将无法使用他们的帐户登录FTP服务器。部署VSFTP服务器后,我们可以使用vi命令查看这个配置文件,发现它已经有了许多默认帐户。其中,系统的超级用户root也在其中。可以看出,为了安全起见,VSFTP服务器默认禁止root帐号登录FTP服务器。如果系统管理员希望root之类的系统帐户登录FTP服务器,他知道需要删除这个配置文件中的root之类的相关用户名。但是允许系统账号登录FTP服务器会对其安全性产生负面影响,所以我不建议系统管理员这么做。最好不要更改该文件中任何相关的系统帐户管理员,保留这些帐户的设置。
如果由于其他原因需要禁用其他帐户,您可以将帐户名添加到该文件中。例如,FTP服务器和数据库服务器可以同时部署在服务器上。所以为了安全起见,最好将数据库管理员的帐户包含在这个黑名单中。
第二,加强对匿名用户的控制。
匿名用户是指那些没有在FTP服务器中定义的账户,但是FTP系统管理员为了管理方便还是需要他们登录。但毕竟没有得到服务器的授权。为了提高服务器的安全性,必须限制他们的权限。VSFTP服务器上还有许多参数可用于控制匿名用户的权限。根据FTP服务器的安全级别,系统管理员需要做相关的配置工作。需要注意的是,匿名用户的权限控制越严格,FTP服务器的安全性就会越高,但同时也会降低用户访问的便利性。因此,最终,系统管理员仍然需要在服务器安全性和便利性之间取得平衡。
下面是我推荐的一些匿名用户的配置。如果不知道怎么配置,可以参考这些配置。这些配置兼顾了服务器的安全性和用户的便利性。
参数anon_world_readable_only。该参数主要用于控制匿名用户是否可以从FTP服务器下载可读文件。如果FTP服务器部署在企业内部,并且主要由企业内部的员工使用,那么最好将该参数设置为YES。然后把一些常用的表格和其他可以公开的文件放在上面,让员工匿名下载这些文件。即不会影响FTP服务器的安全性,也有利于方便其他员工。
第二,参数anon_upload_enable。此参数指示匿名用户是否可以通过匿名访问将文件上载到FTP服务器。通常,该参数应设置为no。也就是说,不允许用户在匿名访问期间上传文件。否则,如果任何人都可以上传文件,如果对方上传了病毒文件,企业也不会吃亏。因此,应该禁止匿名用户上传文件。但也有例外。比如有的企业通过FTP协议备份文件。此时,如果保证了企业网络的安全性,可以将该参数设置为YES,即允许操作系统调用FTP命令备份FTP服务器上的文件。
© 版权声明
声明:本站所发布的文章,源码等资源均为互联网收集。仅限用于学习和交流,请遵循相关法律法规,请勿商用以及产生法律纠纷本站概不负责!本站遵循CC共享许可协议:BY-NC-SA 4.0如有侵权、后门等请联系本站进行删除
THE END
喜欢就支持一下吧
