(3)限制匿名FTP用户的上传权限
在网络上,匿名FTP是一个很常用的服务,常用于软件下载网站、软件交流网站等。为了提高匿名FTP服务开放过程中的安全性,我们希望修改匿名FTP用户的上传权限。匿名FTP的根目录(~ftp)和其子目录的拥有者不能为FTP账号,或与FTP相同群组的账号。这是一般常见的设定问题。
假如这些目录被FTP或与FTP相同群组的账号所拥有,又没有做好防止写入的保护,入侵者便可能在其中增加文件(例如:.rhosts)或修改其他文件。方法为:
upload /var/ftp * no
upload /var/ftp/incoming yes nobody ftp 0440 nodirs
noretrieve /var/ftp/incoming
说明:第一个命令首先禁止匿名FTP账户向所有目录上传,接着建立一个目录:/var/ftp/incoming。然后设定这个目录的文件属于nobody用户的FTP用户组。文件权限设置为:0440(-r--r-----),使匿名用户无法创建任何目录。最后设定/var/ftp/incoming目录中文件不可恢复。
(4)限制普通FTP用户可以访问的目录
通常我们希望普通FTP用户在自己的目录下操作,但是一些FTP用户总是喜欢到其他目录(特别是在根目录、系统目录或其他用户的目录中)读取一些不该他读取的文件。下面我们需要把这些用户限制在自己目录中:
◆ 创建一个组,用groupadd命令,一般可以就用ftpuser组:
groupadd ftpuser
◆ 创建一个用户如mytestuser,建立用户可用adduser命令:
Adduser mytestuser
◆ 修改/etc/ftpaccess文件,加入guestgroup的定义:
chmod yes guest
delete yes guest
overwrite yes guest
rename yes guest
guestgroup ftpuser
说明:除了加guestgroup ftpuser这行,其他四行也要加上,否则用户登录后,虽然达到了用户不能返回上级目录的目的,结果是却只能上传,不能覆盖、删除自己的文件。
◆ 向该用户根目录下拷贝必要文件:
cp -rf /home/ftp/lib/home/mytestuser
cp -rf/home/ftp/bin/home/mytestuser
通常把/home/ftp/下的bin、lib两个目录拷贝到这个用户的根目录下,因为一些命令(例如ls命令)需要Lib库支持,否则不能列目录。
◆ 关闭用户的telnet权限:
adduser mytestuser -g ftpuser -s /dev/null
经过以上设置,mytestuser这个用户的所有FTP操作将限制在他自己的/home/mytestuser目录中。
(5)通过IP地址进行限制访问
我们要经常监控/var/log/secure日志,并且注意那些来路不明的FTP连接,可以使用命令:“/usr/bin/host IP_address”解析可疑IP地址,使用命令“/usr/sbin/traceroute IP_address”获取该IP地址的网络路径。
如果您在一个地区根本没有一个用户,使用命令“/usr/sbin/traceroute IP_address”却发现它来自这个地区,就要使用命令阻止它的FTP连接企图,只需在/etc/ftpaccess加入一行:
deny 10.1.2.125
这样,来自10.1.2.125的主机不能进行FTP连接。
3.通过用户名称限制FTP访问
Wu-ftpd可以加入嵌入式认证模块,成为PAM-aware的FTP服务器(相关知识和配置请查看相关资料)。这样用户连接到FTP服务器时都由PAM使用/etc/pam.d/ftp文件进行认证。
<<上一页
1
2
3
4
下一页>>
