FTP可能對很多用戶來說是很陌生的一個東西,不過這個東西在工作上還是很經常用到的,不過因為涉及到文件的交流傳播之類的東西,因此安全性的問題很受人關注。FTP是一種文件傳輸協議。有時我們把他形象的叫做“文件交流集中地”。FTP文件服務器的主要用途就是提供文件存儲的空間,讓用戶可以上傳或者下載所需要的文件。在企業中,往往會給客戶提供一個特定的FTP空間,以方便跟可以進行一些大型文件的交流,如大到幾百兆的設計圖紙等等。同時,FTP還可以作為企業文件的備份服務器,如把數據庫等關鍵應用在FTP服務器上實現異地備份等等。
可見,FTP服務器在企業中的應用是非常廣泛的。真是因為其功能如此的強大,所以,很多黑客、病毒也開始“關注”他了。他們企圖通過FTP服務器為跳板,作為他們傳播木馬、病毒的源頭。同時,由於FTP服務器上存儲著企業不少有價值的內容。在經濟利益的誘惑下,FTP服務器也就成為了別人攻擊的對象。
所以,FTP服務器的安全性工作也逐漸顯得重要。筆者采用的FTP服務器是基於Linxu操作系統平台上的Vsftpd軟件。筆者今天就以這個軟件為例,談談如何若照FTP服務器的安全設計。
一、誰可以訪問FTP服務器?
在考慮FTP服務器安全性工作的時候,第一步要考慮的就是誰可以訪問FTP服務器。在Vsftpd服務器軟件中,默認提供了三類用戶。不同的用戶對應著不同的權限與操作方式。
一類是Real帳戶。這類用戶是指在FTP服務上擁有帳號。當這類用戶登錄FTP服務器的時候,其默認的主目錄就是其帳號命名的目錄。但是,其還可以變更到其他目錄中去。如系統的主目錄等等。
第二類帳戶實Guest用戶。在FTP服務器中,我們往往會給不同的部門或者某個特定的用戶設置一個帳戶。但是,這個賬戶有個特點,就是其只能夠訪問自己的主目錄。服務器通過這種方式來保障FTP服務上其他文件的安全性。這類帳戶,在Vsftpd軟件中就叫做Guest用戶。擁有這類用戶的帳戶,只能夠訪問其主目錄下的目錄,而不得訪問主目錄以外的文件。
第三類帳戶是Anonymous(匿名)用戶,這也是我們通常所說的匿名訪問。這類用戶是指在FTP服務器中沒有指定帳戶,但是其仍然可以進行匿名訪問某些公開的資源。
在組建FTP服務器的時候,我們就需要根據用戶的類型,對用戶進行歸類。默認情況下,Vsftpd服務器會把建立的所有帳戶都歸屬為Real用戶。但是,這往往不符合企業安全的需要。因為這類用戶不僅可以訪問自己的主目錄,而且,還可以訪問其他用戶的目錄。這就給其他用戶所在的空間 帶來一定的安全隱患。所以,企業要根據實際情況,修改用戶雖在的類別。
