FTP的隱患
早期FTP并沒有涉及安全問題,隨著互連網應用的快速增長,人們對安全的要求也不斷提高。目前在各種平臺上包括UNIX、Linux、Windows NT以及Netware等網絡操作系統,都實現了FTP的客戶和服務器。
FTP是為了共享資源、方便用戶文件下載而制定的文件傳輸協議,那么必然有對系統讀寫的權利,所以它也是整個網絡系統的薄弱環節,一些網上的黑客常常利用FTP作為侵入和破壞系統的突破口。他們有時利用FTP將一些監控程序裝入系統,以竊取管理口令;有時利用FTP獲取系統的passwd文件,從而了解系統的用戶信息;有時利用FTP的puts和gets功能,增加系統負擔,從而導致硬盤塞滿甚至系統崩潰。
FTP主要工作原理
FTP是基于客戶端/服務器方式來提供文件傳輸服務的。一個FTP服務器進程可同時為多個客戶進程提供服務,即用戶所在的一方是客戶方,客戶方翻譯用戶發出的命令,向提供FTP服務的文件服務器傳送適當的請求。
服務器端則一直運行著ftpd守護程序,遵循TCP協議,服務進程ftpd在指定的通信端口監聽客戶發來的FTP請求,當ftpd確認該用戶為合法時,就開始為其客戶進程提供文件傳輸服務了。因此FTP協議在客戶和服務器之間通過TCP來建立連接,并利用TCP提供的可靠傳輸在不同的站點間傳輸文件。當FTP客戶與FTP服務器進行會話時,FTP建立了兩個連接,一個是控制連接,一個是數據連接,如圖所示。
windows.chinaitlab.com/UploadFiles_3263/200701/20070115085631711.jpg" border=1>
FTP的客戶服務器模式
在一個FTP會話中需建立一個控制連接和若干個數據連接。控制連接是執行ftp命令時由客戶建立的通向FTP服務器的連接,該連接只能用來傳送FTP執行的內部命令以及命令的響應等控制信息而非數據,數據連接是為在服務器與客戶端,或兩個ftp服務器之間傳輸文件(即FTP代理傳輸方式)而建立的連接,該連接是全雙工的,允許同時進行雙向數據的傳輸。一旦數據傳輸結束,就撤消數據連接,再回到交互會話狀態,直到客戶撤消控制連接,并退出FTP會話為止。
FTP服務器的安全分析
我們可以通過編輯FTP服務器的配置文件來調整訪問權限,在傳輸文件過程中進行文件加密等措施來達到FTP服務器的安全工作。下面是FTP服務器對用戶、目錄和文件管理安全問題的分析。
1)FTP服務器對用戶的管理
為了不允許其它用戶用匿名ftp訪問系統,必須創建一個名為ftp的帳號,給帳號ftp設置一些限制,使得任何遠程的ftp用戶不能訪問系統的其他部分。必須改變此帳號在文件/etc/passwd中的項,使一般的用戶不能訪問它,這一項是ftp:*:14:50:FTPUser:/home/ftp:。
口令區域中的星號用來保護帳號,它將阻止其他用戶以此帳號注冊以及控制它的文件或訪問系統的其他部分。用戶ID為14,是一個獨立的ID,注釋域是“FTP User”,注冊目錄是/home/ftp,當ftp用戶注冊到系統時,它將處于此目錄中。
如果沒有設置主目錄,需創建一個,并用命令chown為ftp用戶改變它的權限。組ID是ftp組的ID,專門為匿名ftp用戶設置的。通過為ftp組設置限制來限制匿名的ftp用戶。下面是一個在/etc/group文件中找到的關于ftp組的項。對于Linux系統,如果沒有此項,應該加上ftp:: 50。
目錄/home/ftp的權限中應該否定寫權限。如果不希望ftp用戶創建和刪除目錄,可以用chmod命令設置權限555來禁止寫訪問,這個命令是chmod555/home/ftp。
2)FTP服務器對目錄的管理
為了防止系統遭到ftp用戶的一些意外的訪問,應在ftp目錄中(如/home/ftp中),創建一組有限制的目錄。在表1中提供一列目錄。保護一個重要部分的方法是阻止遠程用戶使用不在限制目錄中的命令或程序。例如,因為ls命令位于/bin目錄中,可能不希望用戶使用ls列出文件名,同時,又希望用戶使用ls命令。
windows.chinaitlab.com/UploadFiles_3263/200701/20070115085631974.jpg" border=1>
為了做到這一點,需要在目錄/home/ftp中創建一個新的目錄bin,接著復制一份命令ls放到/home/ftp/bin中。此目錄將限制ftp用戶的使用,他們使用的命令ls是目錄/home/ftp/bin中的命令,而不是管理員用的/bin中的ls命令。通過同樣的方法,可以讓ftp用戶使用其他命令。
目錄/home/ftp/etc中存放passwd和group文件的副本,這個目錄的存在也阻止ftp用戶訪問/etc目錄下的原文件。編輯 /home/ftp/etc/passwd文件,刪除系統的一般用戶的項,剩余的項的口令應被設置為3,以保護訪問。對于group文件,除去所有的用戶組并設置所有的口令為3。
具體命令如下:
#cat/home/ftp/etc/kpasswd
root:3:0:0:::
bin:3:1:1:::
operator:3:11:0:::
ftp:3:14:50:::
nobody:3:99:99:::
#cat/home/ftp/etc/group
root::0:
bin::1:
daemon::2:
sys::3:
adm::4:
ftp::50:
目錄/home/ftp/pub中放有想讓遠程ftp用戶下載的文件。當ftp用戶注冊到系統時,它將處于目錄/home/ftp中,并能切換到目錄/home/ftp/pub中開始訪問其中的文件。在/home/ftp/pub中能加入任何希望的目錄和文件,甚至可以指定一些目錄為上傳目錄,允許ftp用戶上傳文件到系統中。
一些Linux系統要求,ls命令工作時要訪問libc.so.l和rld文件。它們通常存放在/lib目錄中。因為不希望ftp用戶間接訪問系統,所以要創建一個/home/ftp/lib目錄,并復制這些文件到此目錄中。
另外,因為rld使用/dev/zero文件,還要創建一個/home/ftp/dev目錄并用mknod復制設備文件/dev/zero,然后把它放到此目錄中。
3)權限
為了限制ftp用戶只能訪問目錄/home/ftp和它的子目錄,需要對ftp用戶隱藏文件結構的其余部分。要讓目錄/home/ftp呈現為ftp用戶的主目錄,實際的主目錄和其他的目錄結構則對ftp用戶隱藏。可以用命令chroot加上參數ftp,使得目錄/home/ftp呈現為主目錄。
ftp目錄的權限應該設置為允許ftp用戶訪問。對于所有者、組和另外的用戶,有三組權限為讀、寫和執行。為了允許ftp用戶訪問,組和目錄的其他權限應設置為可讀和執行。執行權限允許ftp用戶訪問目錄,讀權限則允許列出目錄中內容。目錄不允許ftp用戶具有寫權限,沒人想讓ftp用戶能刪除或添加一個目錄。對于擁有可以下載的文件的目錄/home/ftp/pub來說,它必須擁有讀和執行的權限。
作為目錄的所有者,需要寫權限以便能添加新文件或子目錄。當然,只有當做改變時才需要寫權限。為了進一步的安全,當不需要做改動時,能設置這些目錄對所有的用戶包括所有者都只開放讀和執行的權限。用命令chmod加上數字555和目錄名將設置對所有的用戶為讀和執行權限。
對于目錄/home/ftp/bin中文件的權限和其他指定的ftp目錄的權限有時需要更多的限制。一些文件需要執行,而另一些文件只要被讀。目錄 /home/ftp/bin或/home/ftp/lib中的文件ls和rld需要執行,可以設置權限為555。在目錄/home/ftp/etc中的文件象passwd和group可以設置權限為111,即只讀的權限。
4)監測和記錄
用ftpwho命令可以顯示通過FTP正在與系統連接的所有用戶的進程信息。下面是ftpwho輸出的一個例子:
Service class all
10448?S0:00
ftpd:vestax.domain.com:anonymouws/sshah@domain.com:DLE
10501?S0:00
ftpd:toybox.domain.com:heidi:PETR mklinux-ALL.sit.bin-2 user(-1 maximum)
在這里,可以看到有兩個用戶登錄進入系統(本例沒有對用戶數進行限制)。第一個用戶是一個稱sshah@domain.com的匿名用戶,他目前沒有執行任何操作;第二個用戶名為heidi,他目前正在獲取mklinux-ALL.sit.bin文件。用ftpcount命令可以查看當前每個組的用戶個數。顯示信息如下:
Serviceclassall-2user(-1maximum)
最后,建議詳細記載ftp登錄,以防不測。
適度隔離保證安全
FTP被我們廣泛應用,自建立后其主框架相當穩定,二十多年沒有什么變化,但在Internet迅猛發展的形勢下,其安全問題日益突出,因此對于FTP的使用首先應做到正確地配置FTP,防止系統文件被竊取或者目錄下程序進程被啟動。
其次,有條件的地方將FTP服務器與網絡上的其他應用隔離,這樣即便被攻擊也不會影響整個系統。最后注意定期觀察FTP服務器的運行情況,檢查硬盤的大小,并做出相應處理。
上述對FTP服務器的安全性能分析在一定程度上緩解了FTP服務的安全問題,而RFC2228.txt中提出的FTP擴展,提供了強大的認證和集成,并引入新的可選命令、應答和文件傳輸加密,使得控制和數據連接中的安全性大大提高。
早期FTP并沒有涉及安全問題,隨著互連網應用的快速增長,人們對安全的要求也不斷提高。目前在各種平臺上包括UNIX、Linux、Windows NT以及Netware等網絡操作系統,都實現了FTP的客戶和服務器。
FTP是為了共享資源、方便用戶文件下載而制定的文件傳輸協議,那么必然有對系統讀寫的權利,所以它也是整個網絡系統的薄弱環節,一些網上的黑客常常利用FTP作為侵入和破壞系統的突破口。他們有時利用FTP將一些監控程序裝入系統,以竊取管理口令;有時利用FTP獲取系統的passwd文件,從而了解系統的用戶信息;有時利用FTP的puts和gets功能,增加系統負擔,從而導致硬盤塞滿甚至系統崩潰。
FTP主要工作原理
FTP是基于客戶端/服務器方式來提供文件傳輸服務的。一個FTP服務器進程可同時為多個客戶進程提供服務,即用戶所在的一方是客戶方,客戶方翻譯用戶發出的命令,向提供FTP服務的文件服務器傳送適當的請求。
服務器端則一直運行著ftpd守護程序,遵循TCP協議,服務進程ftpd在指定的通信端口監聽客戶發來的FTP請求,當ftpd確認該用戶為合法時,就開始為其客戶進程提供文件傳輸服務了。因此FTP協議在客戶和服務器之間通過TCP來建立連接,并利用TCP提供的可靠傳輸在不同的站點間傳輸文件。當FTP客戶與FTP服務器進行會話時,FTP建立了兩個連接,一個是控制連接,一個是數據連接,如圖所示。
windows.chinaitlab.com/UploadFiles_3263/200701/20070115085631711.jpg" border=1>
FTP的客戶服務器模式
在一個FTP會話中需建立一個控制連接和若干個數據連接。控制連接是執行ftp命令時由客戶建立的通向FTP服務器的連接,該連接只能用來傳送FTP執行的內部命令以及命令的響應等控制信息而非數據,數據連接是為在服務器與客戶端,或兩個ftp服務器之間傳輸文件(即FTP代理傳輸方式)而建立的連接,該連接是全雙工的,允許同時進行雙向數據的傳輸。一旦數據傳輸結束,就撤消數據連接,再回到交互會話狀態,直到客戶撤消控制連接,并退出FTP會話為止。
FTP服務器的安全分析
我們可以通過編輯FTP服務器的配置文件來調整訪問權限,在傳輸文件過程中進行文件加密等措施來達到FTP服務器的安全工作。下面是FTP服務器對用戶、目錄和文件管理安全問題的分析。
1)FTP服務器對用戶的管理
為了不允許其它用戶用匿名ftp訪問系統,必須創建一個名為ftp的帳號,給帳號ftp設置一些限制,使得任何遠程的ftp用戶不能訪問系統的其他部分。必須改變此帳號在文件/etc/passwd中的項,使一般的用戶不能訪問它,這一項是ftp:*:14:50:FTPUser:/home/ftp:。
口令區域中的星號用來保護帳號,它將阻止其他用戶以此帳號注冊以及控制它的文件或訪問系統的其他部分。用戶ID為14,是一個獨立的ID,注釋域是“FTP User”,注冊目錄是/home/ftp,當ftp用戶注冊到系統時,它將處于此目錄中。
如果沒有設置主目錄,需創建一個,并用命令chown為ftp用戶改變它的權限。組ID是ftp組的ID,專門為匿名ftp用戶設置的。通過為ftp組設置限制來限制匿名的ftp用戶。下面是一個在/etc/group文件中找到的關于ftp組的項。對于Linux系統,如果沒有此項,應該加上ftp:: 50。
目錄/home/ftp的權限中應該否定寫權限。如果不希望ftp用戶創建和刪除目錄,可以用chmod命令設置權限555來禁止寫訪問,這個命令是chmod555/home/ftp。
2)FTP服務器對目錄的管理
為了防止系統遭到ftp用戶的一些意外的訪問,應在ftp目錄中(如/home/ftp中),創建一組有限制的目錄。在表1中提供一列目錄。保護一個重要部分的方法是阻止遠程用戶使用不在限制目錄中的命令或程序。例如,因為ls命令位于/bin目錄中,可能不希望用戶使用ls列出文件名,同時,又希望用戶使用ls命令。
windows.chinaitlab.com/UploadFiles_3263/200701/20070115085631974.jpg" border=1>
為了做到這一點,需要在目錄/home/ftp中創建一個新的目錄bin,接著復制一份命令ls放到/home/ftp/bin中。此目錄將限制ftp用戶的使用,他們使用的命令ls是目錄/home/ftp/bin中的命令,而不是管理員用的/bin中的ls命令。通過同樣的方法,可以讓ftp用戶使用其他命令。
目錄/home/ftp/etc中存放passwd和group文件的副本,這個目錄的存在也阻止ftp用戶訪問/etc目錄下的原文件。編輯 /home/ftp/etc/passwd文件,刪除系統的一般用戶的項,剩余的項的口令應被設置為3,以保護訪問。對于group文件,除去所有的用戶組并設置所有的口令為3。
具體命令如下:
#cat/home/ftp/etc/kpasswd
root:3:0:0:::
bin:3:1:1:::
operator:3:11:0:::
ftp:3:14:50:::
nobody:3:99:99:::
#cat/home/ftp/etc/group
root::0:
bin::1:
daemon::2:
sys::3:
adm::4:
ftp::50:
目錄/home/ftp/pub中放有想讓遠程ftp用戶下載的文件。當ftp用戶注冊到系統時,它將處于目錄/home/ftp中,并能切換到目錄/home/ftp/pub中開始訪問其中的文件。在/home/ftp/pub中能加入任何希望的目錄和文件,甚至可以指定一些目錄為上傳目錄,允許ftp用戶上傳文件到系統中。
一些Linux系統要求,ls命令工作時要訪問libc.so.l和rld文件。它們通常存放在/lib目錄中。因為不希望ftp用戶間接訪問系統,所以要創建一個/home/ftp/lib目錄,并復制這些文件到此目錄中。
另外,因為rld使用/dev/zero文件,還要創建一個/home/ftp/dev目錄并用mknod復制設備文件/dev/zero,然后把它放到此目錄中。
3)權限
為了限制ftp用戶只能訪問目錄/home/ftp和它的子目錄,需要對ftp用戶隱藏文件結構的其余部分。要讓目錄/home/ftp呈現為ftp用戶的主目錄,實際的主目錄和其他的目錄結構則對ftp用戶隱藏。可以用命令chroot加上參數ftp,使得目錄/home/ftp呈現為主目錄。
ftp目錄的權限應該設置為允許ftp用戶訪問。對于所有者、組和另外的用戶,有三組權限為讀、寫和執行。為了允許ftp用戶訪問,組和目錄的其他權限應設置為可讀和執行。執行權限允許ftp用戶訪問目錄,讀權限則允許列出目錄中內容。目錄不允許ftp用戶具有寫權限,沒人想讓ftp用戶能刪除或添加一個目錄。對于擁有可以下載的文件的目錄/home/ftp/pub來說,它必須擁有讀和執行的權限。
作為目錄的所有者,需要寫權限以便能添加新文件或子目錄。當然,只有當做改變時才需要寫權限。為了進一步的安全,當不需要做改動時,能設置這些目錄對所有的用戶包括所有者都只開放讀和執行的權限。用命令chmod加上數字555和目錄名將設置對所有的用戶為讀和執行權限。
對于目錄/home/ftp/bin中文件的權限和其他指定的ftp目錄的權限有時需要更多的限制。一些文件需要執行,而另一些文件只要被讀。目錄 /home/ftp/bin或/home/ftp/lib中的文件ls和rld需要執行,可以設置權限為555。在目錄/home/ftp/etc中的文件象passwd和group可以設置權限為111,即只讀的權限。
4)監測和記錄
用ftpwho命令可以顯示通過FTP正在與系統連接的所有用戶的進程信息。下面是ftpwho輸出的一個例子:
Service class all
10448?S0:00
ftpd:vestax.domain.com:anonymouws/sshah@domain.com:DLE
10501?S0:00
ftpd:toybox.domain.com:heidi:PETR mklinux-ALL.sit.bin-2 user(-1 maximum)
在這里,可以看到有兩個用戶登錄進入系統(本例沒有對用戶數進行限制)。第一個用戶是一個稱sshah@domain.com的匿名用戶,他目前沒有執行任何操作;第二個用戶名為heidi,他目前正在獲取mklinux-ALL.sit.bin文件。用ftpcount命令可以查看當前每個組的用戶個數。顯示信息如下:
Serviceclassall-2user(-1maximum)
最后,建議詳細記載ftp登錄,以防不測。
適度隔離保證安全
FTP被我們廣泛應用,自建立后其主框架相當穩定,二十多年沒有什么變化,但在Internet迅猛發展的形勢下,其安全問題日益突出,因此對于FTP的使用首先應做到正確地配置FTP,防止系統文件被竊取或者目錄下程序進程被啟動。
其次,有條件的地方將FTP服務器與網絡上的其他應用隔離,這樣即便被攻擊也不會影響整個系統。最后注意定期觀察FTP服務器的運行情況,檢查硬盤的大小,并做出相應處理。
上述對FTP服務器的安全性能分析在一定程度上緩解了FTP服務的安全問題,而RFC2228.txt中提出的FTP擴展,提供了強大的認證和集成,并引入新的可選命令、應答和文件傳輸加密,使得控制和數據連接中的安全性大大提高。
