ネットワークサービスのセキュリティを向上させるAnonymous FTPのセキュリティ設定

Anonymous FTPの設定Anonymous FTPは、正しく設定され管理されていれば、貴重なサービスとなります。この文書の最初のセクションは、匿名FTPを設定するための最も基本的な方法を提供します。 2番目のセクションでは、Webサイトが匿名FTPの下に書き込み可能なディレクトリ領域を提供することになると、問題が発生します。 3番目のセクションでは、以前のFTP関連のCERT勧告についての情報を提供しています。以下の設定は、過去に多くのWebサイトで蓄積された経験と提案から構成されています。個々のニーズを持つWebサイトは異なる設定を持つことができると考えています。 I.匿名FTPの設定A.FTPデーモンのWebサイトでは、最新バージョンのFTPデーモンが現在使用されていることを確認する必要があります。 B.匿名FTP用のディレクトリの設定匿名ftp（〜ftp）のルートディレクトリとそのサブディレクトリの所有者は、ftpアカウントまたはftpと同じグループのアカウントにすることはできません。これは一般的な設定の問題です。これらのディレクトリがftpまたはftpと同じグループのアカウントによって所有されていて、書き込みに対する保護がない場合、侵入者はファイルを追加したり（.rhosts）、他のファイルを変更する可能性があります。多くのWebサイトではrootアカウントの使用が許可されています。匿名FTPのルートディレクトリとサブディレクトリの所有者をrootとし、そのグループはsystemに属し、アクセス権（chmod 0755など）を持つようにします。これにより、rootだけが書き込み権限を持ち、FTPサービスを維持できます。セキュリティ以下は、匿名ftpディレクトリの設定例です。

 drwxr-xr-x 7ルートシステム512 Mar 1 15:17 ./drwxr-xr-x 25ルートシステム512 Jan 4 11:30 ../drwxr-xr -x 2ルートシステム512 Dec 20 15:43 bin /drwxr-xr-x 2ルートシステム512 Mar 12 16:23 etc /drwxr-xr-x 10ルートシステム512 Jun 5 10:54 pub /すべてのファイルとリンクライブラリ、特にFTPデーモンによって使用されるライブラリ、〜ftp /binや〜ftp /etcにあるライブラリは、上記の例のディレクトリと同じ保護を持つべきです。これらのファイルとリンクライブラリは、ftpアカウントまたはftpと同じグループのアカウントによって所有されていることに加えて、書き込みから保護されている必要があります。 C.適切なパスワードとグループファイルの使用〜ftp /etcディレクトリのパスワードファイル、または〜ftp /etcディレクトリのシステムの/etc /groupとして、Webサイトでシステムの/etc /passwdを使用しないことを強くお勧めします。グループファイルこれらのファイルを〜ftp /etcディレクトリに置くことで、侵入者はそれらを入手できるようになります。これらのファイルはカスタマイズ可能であり、アクセス制御には使用されません。 〜ftp /etc /passwdと〜ftp /etc /groupに別のファイルを使用することをお勧めします。これらのファイルはrootが所有していなければなりません。 DIRコマンドは、この代替ファイルを使用して、ファイルとディレクトリの所有者とグループ名を表示します。 Webサイトでは、〜/ftp /etc /passwdファイルにシステムの/etc /passwdファイルと同じアカウント名が含まれていないことを確認する必要があります。これらのファイルには、表示する必要があるFTP階層内のファイルとディレクトリの所有者とグループ名のみを含める必要があります。また、パスワードフィールドが「整理」されていることを確認してください。たとえば、パスワードフィールドの代わりに "*"を使用します。以下は、cert 
 ssphwg：*：3144：20のanonymous ftpのパスワードファイルの例です。Working Group :: Cops：*：3271：20：COPS Distribution :: cert：*：9920：20：CERT :: tools：*：9921：20：CERT Tools :: ftp：*：9922：90：匿名FTP :: nist：*：9923：90：NISTファイル::以下はcertの匿名ftpのグループファイルの例です。 PRE> cert：*：20：ftp：*：90：II。匿名ftpサービスによってユーザーが危険にさらされてファイルを保存できるように、書き込み可能なディレクトリを匿名ftpに提供します。関連するリスクが考慮されていない限り、Webサイトで自動的にアップロードディレクトリを作成しないことを強くお勧めします。 CERT /CCのイベントリターンメンバーは、アップロードディレクトリを使用して著作権ソフトウェアを違法に譲渡したり、アカウントおよびパスワード情報を交換したりする多くのイベントを受け取りました。また、サービス拒否の問題によって引き起こされたシステムファイルの悪意のある報告を受けました。このセクションでは、この問題を解決するための3つの方法について説明します。最初の方法は修正されたFTPデーモンを使うことです。 2番目の方法は特定のディレクトリに書き込み制限を設けることです。 3番目の方法は別のディレクトリを使用することです。 A.修正されたFTPデーモンWebサイトでファイルのアップロード用のディレクトリを提供する予定の場合は、修正されたFTPデーモンを使用してファイルのアップロードディレクトリを制御することをお勧めします。これは、不要な書き込み領域を使用しないようにするための最善の方法です。ここにいくつかの提案はここにあります：1.制限されたアップロードされたファイルはもはやアクセスすることができません、従ってそれはシステム管理者によって検出され、次にダウンロードのための適切な場所に置かれることができます。 2.各オンラインアップロードのサイズを制限します。 3.既存のディスクサイズに従って、データ転送の合計量を制限します。 4.ログインレコードを増やして、不適切な使用を事前に見つけます。 FTPデーモンを変更したい場合は、ベンダからプログラムコードを入手するか、または以下から公開FTPプログラムのソースコードを入手することができます。
 wuarchive.wustl.edu〜ftp /packages /wuarchive-ftpdftp.uu .net〜ftp /systems /unix /bsd-sources /libexec /ftpdgatekeeper.dec.com〜ftp /pub /DEC /gwtools /ftpd.tar.ZCERT /CCは、上記のFTPデーモンを正式に検出しません。評価または承認使用するFTPデーモンは各ユーザーまたは組織によって決定されます。CERT/CCでは、これらのプログラムをインストールして使用する前に、各機関が十分な評価を行うことをお勧めします。 B.保護されたディレクトリを使用するあなたがあなたのFTPサイトにアップロードされたサービスを提供したいがあなたがFTPデーモンを変更する方法がないならば、私たちはアクセスを制御するためにより複雑なディレクトリアーキテクチャを使うことができます。この方法は事前の計画を必要とし、FTP書き込み可能領域の不適切な使用を防ぐために100％ではありませんが、多くのFTPステーションは依然としてこの方法を使用しています。上位ディレクトリ（〜ftp /incoming）を保護するために、匿名ユーザーにのみディレクトリ（chmod751〜ftp /incoming）へのアクセスを許可します。この操作により、ユーザーはディレクトリの場所を変更できます（cd）が、ディレクトリの内容を表示することはできません。例：drwxr-x  -  x 4ルートシステム512 Jun 11 13:29 incoming /〜ftp /incomingにいくつかのディレクトリ名を使用すると、それらにアップロードを許可する人にのみ知らせることができます。他の人がディレクトリ名を推測するのを困難にするために、パスワードを設定するための規則でディレクトリ名を設定することができます。この記事のディレクトリ名の例を使用しないでください（ファイル名のアップロードに興味がある人が見つけられないようにするため）drwxr-x-wx 10ルートシステム512 Jun 11 13:54 jAjwUth2 /drwxr-x-wx 10ルートシステム512 Jun 11 13:54 MhaLL-iF /ディレクトリ名が意図的または意図せずに漏洩すると、この方法では保護されないことに注意することが重要です。ディレクトリ名がほとんどの人に知られている限り、制限したい領域を保護することは不可能です。ディレクトリ名が誰にでもわかる場合は、それらのディレクトリ名を削除または変更することを選択する必要があります。 C.ハードドライブを1つだけ使用するFTPステーションでアップロードしたサービスを提供したいが、FTPデーモンを変更できない場合は、アップロードしたデータをすべて同じftp /ftpにマウントできます。着信時のファイルシステム。可能であれば、〜ftp /incomingに別のハードドライブをマウントしてください。開いているアップロードディレクトリに問題があるかどうかを確認できるように、システム管理者は引き続きこのディレクトリ（〜ftp /incoming）を表示してください。 III。FTPユーザーディレクトリの制限匿名FTPは、指定されたディレクトリ内でユーザーがアクティブになるのを非常に制限することができますが、公式のFTPユーザーはデフォルトでこの制限の対象になりません。ユーザーのディレクトリには、他のユーザーによる読み取りが許可されているファイルがいくつかあります。指定したユーザーを匿名ユーザーのような自分のディレクトリに制限するにはどうすればよいですか？以下では例として赤い帽子とwu-ftpを取ります。 1グループを作成し、groupaddコマンドを使用します。通常はftpグループ、または任意のグループ名を使用できます。 -----関連コマンド：groupadd ftpuser -----関連ファイル：/etc /group -----関連ヘルプ：man groupadd 2 testuserなどのユーザーを作成して、user adduserコマンドを作成します。以前にtestuserユーザーを作成したことがある場合は、/etc /passwdファイルを直接編集してそのユーザーをftpuserグループに追加できます。 -----関連コマンド：adduser testuser -g ftpuser -----関連ファイル：/etc /passwd -----関連ヘルプ：man adduser 3 /etc /ftpaccessファイルを修正し、guestgroupの定義を追加します。guestgroup ftpuser私はこの方法と最後の5行を変更しました。
圧縮はいすべてtarはいすべてchmodいいえ匿名削除いいえ匿名上書きなし匿名chmodはいゲスト削除はいゲスト上書きはいゲスト名前変更はいゲストguestgroup ftpuser Guestgroup ftpuserこの行、他の4行も追加する必要があります。それ以外の場合、ユーザーはログインできますが、ユーザーは上位ディレクトリに戻ることはできませんが、アップロードのみ、上書き、ファイルの削除はできません。 /etc /ftpaccess -----関連ファイル：/etc /ftpaccess -----関連ヘルプ：man ftpaccess、man chroot 4必要なファイルをこのユーザーのルートディレクトリにコピーし、ftpサーバーに付属のディレクトリをコピーします。 /home /ftp /の下のbinディレクトリとlibディレクトリをこのユーザのルートディレクトリにコピーします。これは、一部のコマンド（主にls）がLibサポートを必要とするためです。小品。 -----関連コマンド：cp -rf /home /ftp /lib /home /testuser; cp -rf /home /ftp /bin /home /testuser 5また、そうでなければユーザーのtelnetをオフにすることを忘れないでください。ホワイトはやった。ユーザーにtelnetを許可しませんか。非常に簡単です。/etc /shellsに/dev /nullを追加し、次に/etc /passwdファイルを直接編集してユーザーのシェルを/dev /nullに設定します。 -----関連コマンド：vi /etc /passwdこのステップは、ステップ2でユーザーを作成するときに最初に行うことができます。 -----関連コマンド：adduser testuser -g ftpuser -s /dev /nullちょっとした経験：/home /ftpの下にあるbinディレクトリとlibディレクトリを/etc /skelディレクトリに置くだけで、新しいユーザは自動的にbinファイルを置きます。そしてlibディレクトリCPをユーザディレクトリに、もちろんpublic_htmlディレクトリとcgi-binディレクトリを追加することもできます。上記の設定の後、testuserユーザーのすべてのFTPアクションは彼の/home /testuserディレクトリに制限されます。