Как да се създаде сигурна и надеждна FTP сървър
Тази книга се занимава с това как да се създаде сигурна и надеждна FTP сървър. Както е известно за прехвърляне на незаконни файлове е FTP сървърите се използват по-често. Също така, доста често хакерите не могат да получат достъп до системи с неправилно инсталирани FTP сървъри.
Този често задаван въпрос дава препоръки за системни администратори, които да ги подпомагат, за да изберете един FTP сървър, и свеждане до минимум на риска от проникване в грешната система чрез този вид услуга.
Създаване на потребител FTP в / и т.н. / ако съществува. Той може да принадлежи към някоя група, например arhciv (ако групата не е определена след това го пиша в файл / и т.н. / група). Директорията на дома трябва да бъде
FTP е пълния път до директорията, в която ще бъде "корен" за всички публични (анонимни) потребители. Създаването на този потребител "задейства" публична FTP сървър.
Използвайте грешна парола, и черупката за този потребител. Линията от ако съществува файл за този потребител трябва да бъде по този начин: FTP: *: 400: 400: Anonymous FTP: / Начало / FTP: / хамбар / вярно Създайте директория
FTP. указател трябва да бъде собственост на корен (не FTP), една и съща група, както това на потребителя FTP (напр командос chown root.archiv FTP). По този начин правото на достъп "собственик" принадлежи на корен, и не забравяйте групата права принадлежат на всички останали потребители. Разположен на разрешенията в директорията
FTP в 0555 (например командос коригират 555 FTP)
Забележка: В някои описания препоръчваме извършване на собственика на директорията
FTP FTP потребител. Ако искате да спите тогава не направите това.
FTP / хамбар. Собственик главната директория, колелото на групата. Разрешения 0111 (noread, nowrite, изпълнение).
Копирайте програмата ли се в каталога
FTP / хамбар. Присвояване на собственика за LS - корен. Разрешения 0111 (noread, nowrite, изпълнение). Ако пишете в тази директория е програмата, собствеността и правата за достъп, да присвоява същия начин, както за LS.
FTP / и т.н. Собственик главната директория, колелото на групата. Разрешения 0111 (noread, nowrite, изпълнение).
Създаване на директория
FTP / и т.н. съкратени версии на файлове като / и т.н. / ако съществува и / и т.н. / група. права за достъп на файла трябва да са 0444. Файлът
/ Ftp / и т.н. / ако съществува трябва да бъдат описани само от корен, демон, ииср и FTP. досие
/ Ftp / и т.н. / група трябва да съдържа описание на групата, към която принадлежи на потребителя FTP. Също във файла
/ Ftp / и т.н. / PASSWD можете да създадете описание на потребителя, чиито файлове ще бъде в директория на сървъра (това е необходимо за командни логистичните резерви на). Например, на всички файлове в дадена директория
собственик FTP / кръчма / Linux е "Балон" в UID = 156, в този случай, можете да записвате
FTP / и т.н. / ако съществува файл е следният: Linux: *: 156: 120: Kazik Balon. Не забравяйте да премахнете от файла
FTP / и т.н. / ако съществува * * всички пароли от написването вместо символа "*". корен: *: 0: 0: Ftp поддръжката ::
FTP: *: 400: 400: Анонимен FTP. За по-голяма сигурност, не е нужно да се създаде директория
FTP / и т.н. файлове, ако съществува и група. В този случай, командата ли няма да се показват имената на собствениците и групи от файлове. Но имайте предвид, че някои от демона FTP може да използва информацията от ако съществува и групови файлове за други цели.
FTP / банкетна зала. Уверете се, собственик на самата директория и Присвояване на по-строг група като потребител на FTP. Права за достъп Directory трябва да са 0555.
Поставете файла в тази директория и ще бъде на разположение за справка за всички "държавни" потребители. Всички директории в
FTP / банкетна зала трябва да има 0555 разрешения.
Забележка: Не се директории, поддиректории и файлове в директорията
FTP не трябва да бъдат собственост на FTP polzovalelyu. Някои модерен FTP демон позволява vladellev променят файлове и директории, използвайки команди като chown. Възможно е да забраните на конфигурационния файл на FTP сървър. Например, можете да WuFTP за конфигурационния файл, уточни следното:
# Всички следния подразбиране да е "да" за всички
изтриване не гости, анонимни # изтриване на разрешение?
презаписване не гости, анонимен # презаписване разрешение?
преименуване не гости, анонимен # преименуване разрешение?
CHMOD не анонимен разрешение # коригират?
Umask не анонимен разрешение # Umask?
Ако отидете да позволи анонимни zapisivat файлове на вашия сървър, създаване на директория
FTP / кръчма / входящи. Тази директория трябва да е собственост на корен и да има права 733. И vipolnite команда коригират + т
FTP / кръчма / входящи. FTP демон обикновено не позволява на анонимни потребители да записват файлове. но обикновената потребител на системата може да ги премахнете. Задаване на разрешения в 1733 го забранява. По-долу е част от FTP конфигурация демон файл за управление на процеса на качване на файлове на сървъра.
# Посочете информация за качване директория
качване / Var / макара / FTP * не
качване / Var / шпула / FTP / входящо Да nodirs FTP персонала 0600
път филтър анонимен / и т.н. / съоб / pathmsg ^ [-. А-Za-z0-9 _] * $ ^. ^ -
път филтър гост / и т.н. / съоб / pathmsg ^ [-. А-Za-z0-9 _] * $ ^. ^ -
Тук забранен натоварване (качване) файлове на всички сървърни директории, но след това се допуска за / входящо директория и собственик на файла ще FTP и 0600 разрешения.
Препоръка: Създаване на цялата структура на FTP сървър (или само входящ директория) в различен дисков дял. Това ще помогне за предотвратяване на умишлено попълване на цялата ви система диск с боклук.
Ако използвате WuFTP можете да конфигурирате някои допълнителни функции, например, ahivatsiya / декомпресиране на файлове в движение, или да създадете файл с катран йерархията директория. За да направите това, вие трябва да получите изходния код за комунални услуги, GZIP gnutar, компресирате м ги събира без използването на динамични библиотеки връзка. След това поставете тези файлове в директория
FTP / хамбар и редактирате файла / и т.н. / ftpconversions да се даде възможност на тези операции.
Гари Милс написал малка програма се осъществява, както следва:
За да изпълнява команди катран и сгъстяване, той написа една малка програма, с тръба, и съставени без използването на динамични библиотеки връзка. В досието му / и т.н. / ftpconversions изглеждат по следния начин:
#strip префикс: ивица постфиксната: добавка префикс: добавка постфиксната: външна команда: вида: възможности: описание
З. / хамбар / компрес -d -с% ите: T_REG | T_ASCII: O_UNCOMPRESS: декомпресирате
-Z. / Bin / компрес -d -с% ите: T_REG | T_ASCII: O_UNCOMPRESS: декомпресирате
Z: / бен / компрес -С% S: T_REG: O_COMPRESS: COMPRESS
катран: / хамбар / катран CF -% ите: T_REG | T_DIR: O_TAR: TAR
tar.Z: / хамбар / тръба / хамбар / катран CF -% ите | / Bin / компресирате -C: T_REG | T_DIR: O_COMPRESS | O_TAR: TAR + COMPRESS
катран: / хамбар / gtar -c -f -% ите: T_REG | T_DIR: O_TAR: TAR
tar.Z: / хамбар / gtar -C -Z-F -% ите: T_REG | T_DIR: O_COMPRESS | O_TAR: TAR + COMPRESS
tar.gz: / хамбар / gtar -C-Z-F -% ите: T_REG | T_DIR: O_COMPRESS | O_TAR: TAR + GZIP
И тук е програмата:
/ * Pipe.c: Изп две команди в тръба * /
# определят NULL (знак *) 0
А някои неща, които не би навредило да направите:
като корен изпълни следните команди: докосване
FTP / .forward файл
коригират 400
FTP / .rhosts
коригират 400
FTP / .forward файл т.е. създава файлове .forward и .rhosts нулева дължина с основните права и vdadeltsem 400.
Ако сте в директорията
FTP или нейната подгрупа монтирате дискове от други машини, а след това ги зададете режим само за четене (само за четене). Ето един примерен запис за даден файл / и т.н. / fstab за машината с размита FTP сървър: друго: / u1 / Linux / Начало / FTP / кръчма / Linux NFS ро, noquota, nosuid, междум, бг 1 0 На този запис smotniruetsya директорията / дома / FTP / кръчма / Linux диск с "други" системи без диск квота (noquota), без подкрепата на програмите SUID "прекъснат" - в случай, че домакин "други" не работи.
В този раздел се добавя Marcus J Ranum
FTP / хамбар. Vlazheltsem трябва да е корен.
Съставете без използването на динамични връзки библиотеки ли програма и я поставете в същата директория
FTP / хамбар. За Слънцето, може да се използва пренесен от BSD версия kommany ли. Тя може да бъде намерена на ftp://ftp.tis.com/pub/firewalls/toolkit/patches/ls.tar.Z LS собственици на доставка трябва да бъде корен.
Собственикът на директорията
FTP се появи и разрешения разположен в 0755 (много важно!)
Създаване на копия на файловете,
FTP / и т.н. / група (не забравяйте да премахнете паролата), собственикът трябва да е корен.
Създаване на програма обвивка ( "обвивка") (една от опциите по-долу) и да го монтирате в /etc/inetd.conf
** Програмата се приема, че vybrati в katestve bazovago директория / Var / FTP
** Ако имате друга директория, сменете целия текст / Var / FTP до пълния път
** до избрания от Вас директория
** Забележка: Да не се използва FTP katagog "/" (корена)!
Можете да използвате "netacl" от комплекта инструменти или TCP_WRAPPERS да се постигне същия ефект.
Можете също така да FTPD изходния код, за да намерите всички места, където е vfzfvaetsya-ТА seteuid () се отстраняват тези предизвикателства, както и в "обвивка", за да вмъкнете призив за имащи нужда (FTP), преди да се обадите FTPD. Това предотвратява poducheniya корен привилегии, ако "дупката", ще бъдат открити във вашата FTPD.
Уверете се, че в цялата йерархия на директории на FTP сървъра може да са правилно ustaeovlenny разрешения и собствеността на файла, и никога не поставяйте един FTP изпълними файлове (с екзекутиран флаг).
/ ПДО / и т.н. / ако съществува е напълно самостоятелно и независимо от файловата система / и т.н. / ако съществува.
Ако през вашия FTPD някой може да получава привилегии "корен", тогава бихте могли да постигнете много тъжно. В тази връзка, много добра препоръка е следната - да се внимава да не се кандидатира на "демоните" от корена на потребителя. Мнозина така да започне, но не всички от тях се нуждаят от привилегиите на корен сметка. Можете да проверите с някаква работа правата програма с командите "PS uax"
Някои системи изискват устройство / сътрудничество / TCP: Стара SVR2 и SVR3 система RTU 6.0 (Masscomp, сега Едновременното Real Time UNIX), ATT 3B1 и 3б2
Някои приложения изискват FTPD
FTP / сътрудничество / TCP за работа анонимен FTP сървър.
Можете да създадете устройство (мъж mknod) в katadoge
FTP / сътрудничество / с едни и същи основни и второстепенни числа, тъй като системата / сътрудничество / TCP.
FTP / сътрудничество - директорията
FTP / сътрудничество / TCP - характер устройство. Групата собственик за него съм "корен". Разрешения за
FTP / сътрудничество трябва да е за четене / запис / EXEC за собственика и четене / EXEC за, за група
FTP / сътрудничество / TCP права на собственик четене / запис, правото на групата чете.
[Регистриране] Ако използвате FTPD от HP, е да се даде възможност по-дълго многословен в /etc/inetd.conf за FTPD трябва да посочат "-l" ключ.
[Библиотеки] За да се поддържа SunOS с динамични библиотеки, трябва да направите следното: Създаване на директория
FTP / ЮЕсАр. Собственик корен разрешения 0555.
FTP / ЮЕсАр / ИЪ. Собственик корен разрешения 0555.
Copy zagruschik ld.so към каталога
FTP / ЮЕсАр / ИЪ. Собственик корен разрешения 0555.
Копирайте файловете в директорията libc.so. *
За libc.so. * - корен собственици 0555 разрешения.
Забележка: За версии 4.1.2 или по-рано, трябва да копирате повече файлове в директория /usr/lib/libdl.so.*
FTP / сътрудничество. Собственик корен разрешения 0111.
За да работите нужди zagruschika
FTP / сътрудничество / нула. Отидете до директорията
FTP / сътрудничество и да го създаде с командата: mknod нула в 12 март Титуляр за
FTP / сътрудничество / нула - корен. четените права за достъп (0444).
Забележка: За начинаещи: Не се опитвайте да копирате / сътрудничество / нула до
FTP / сътрудничество / нула! / Dev / нула е безкрайно файл, за да бъде копирана, докато изпълни целия си диск.
Ако не искате да преместите библиотеката, можете да използвате версията на командните LS, който skoipilirovanna без използването на динамични библиотеки връзка. На CD-ROM с SunOS, можете да я намеря, вече компилиран. В този случай, трябва да се извършват действия, описани в т # 5-6.
[Регистриране] Стандартни sanovsky FTPD трупи * Всички * информацията за парола. За да поправите това, което трябва да инсталирате корекцията:
101640-03 SunOS 4.1.3: in.ftpd дневници инфо парола, когато се използва опцията -d.
В /etc/inetd.conf файла, намерете реда, който започва с "FTP". В края на тази линия, ще намерите "in.ftpd". то Ismenio на "in.ftpd -DL". В /etc/syslog.conf, добавят от вида на линия:
Ентусиаст данни могат да бъдат споделени (което е особено необходим за SunOS4.1.1, който не се занимава с този вид запис демон *.), Например:
Имайте предвид, колоната трябва да се разделят с табове, а не пространства, в противен случай тя няма да работи.
За създаване на лог файл, направете докосване / Var / ADM / daemonlog команда и след това рестартирайте inetd и syslogd. Ако не сте инсталирали на пластира, не забравяйте да направите zladeltsem корен лог файл и да зададете разрешения за 0600, в противен случай всеки може да прочете файла и го изберете от паролите на потребителя.
Забележка: всички ваши лог файлове Можете да да се направи достъпна само за корен. Това предпазва от възможността да се изчисли паролата на потребителя, ако той е бил въведен вместо името му.
Wuarchive FTP 2.4 Един добър FTP демон за достъп до разширено управление, системата за регистриране и многообразна конфигурация.
Тя може да бъде намерена на сървъра ftp.uu.net на FTP в директория "/ мрежи / FTP / wuarchive-FTPD". Можете да проверите проверка по сума за файлове, които трябва да се уверите, че получавате точно версията, която се нуждаете. (Забележка: В по-старите версии на Wu-FTP, че има грешка от страна на безопасност!)
File Checksum Контролната сума MD5 Електронен подпис
Wu-FTPD-2.4.tar.Z 38213 181 20 337 362 cdcb237b71082fa23706429134d8c32e
patch_2.3-2.4.Z 09291 8 51092 16 5558a04d9da7cdb1113b158aff89be8f
DECWRL FTPD версия 5.93, е на разположение на gatekeeper.dec.com сървър в директорията "/ кръчма / Разни / Vixie" директория.
File Checksum Контролната сума MD5 Електронен подпис
ftpd.tar.gz 38443 60 1710 119 ae624eb607b4ee90e318b857e6573500
Публични източници на домейни:
Този раздел съдържа кратък списък от действия, необходими за да се провери надеждността на вашия FTP сървър. Проверете дали вашият сървър дръжки командос САЙТ EXEC при свързване чрез телнет на порт 21 с prisleduet набор от команди САЙТ EXEC. Ако вашите сървърни процеси тази команда, уверете се, че имате най-новата версия на FTPD, тъй като по-старите версии имаха възможност в тази ситуация, за да получите достъп черупка чрез 21'y порт.
Уверете се, че никой не може да създадете файл или да пишете на файл разположени в основната директория на FTP сървъра. Ако някой realties ще отидат и да създават .rhosts и .forward файлове с конкретно съдържание, това ще даде възможност да се намесват в системата ви и да е нападател.
Уверете се, че FTP сървърът няма файловете или директориите, собственост на ползвателя на FTP (особено главната директория). Това може също така дава възможност да се проникне в системата.
Ubetites, че имате най-новата версия на демона FTP.
Търсене на FTP сървъри. Влезте, за да един от тези сървъри като Арчи, или да използвате съответната програма клиент.
archie.ac.il 132.65.20.254 (Израел сървър)
archie.ans.net 147.225.1.10 (АНО сървъра, Ню Йорк (САЩ))
archie.au 139.130.4.6 (Australian сървър)
archie.doc.ic.ac.uk 146.169.11.3 (Великобритания сървър)
archie.edvz.uni-linz.ac.at 140.78.3.8 (австрийски сървър)
archie.funet.fi 128.214.6.102 (финландски сървър)
archie.internic.net 198.49.45.10 (ATT сървъра, Ню Йорк (САЩ))
archie.kr 128.134.1.1 (корейски сървър)
archie.kuis.kyoto-u.ac.jp 130.54.20.1 (японски сървър)
archie.luth.se 130.240.18.4 (шведски сървър)
archie.ncu.edu.tw 140.115.19.24 (тайвански сървър)
archie.nz 130.195.9.4 (Нова Зеландия сървър)
archie.rediris.es 130.206.1.2 (испански сървър)
archie.rutgers.edu 128.6.18.15 (Rutgers University (САЩ))
archie.sogang.ac.kr 163.239.1.11 (корейски сървър)
archie.sura.net 128.167.254.195 (SURAnet сървъра MD (САЩ))
archie.sura.net (1526) 128.167.254.195 (SURAnet н. MD (САЩ))
archie.switch.ch 130.59.1.40 (Swiss сървър)
archie.th-darmstadt.de 130.83.22.60 (на немски сървър)
archie.unipi.it 131.114.21.10 (италиански сървър)
archie.univie.ac.at 131.130.1.23 (австрийски сървър)
archie.unl.edu 129.93.1.14 (U. на Небраска, Линкълн (САЩ))
archie.univ-rennes1.fr (френски сървър)
archie.uqam.ca 132.208.250.10 (канадски сървър)
archie.wide.ad.jp 133.4.3.6 (японски сървър)