漏洞描述
????????FTP 弱口令或匿名登錄漏洞,一般指使用 FTP 的用戶啟用了匿名登錄功能谣殊,或系統(tǒng)口令的長度太短拂共、復(fù)雜度不夠、僅包含數(shù)字姻几、或僅包含字母等宜狐,容易被黑客攻擊,發(fā)生惡意文件上傳或更嚴(yán)重的入侵行為蛇捌。
????????黑客利用弱口令或匿名登錄漏洞直接登錄 FTP 服務(wù)抚恒,上傳惡意文件,從而獲取系統(tǒng)權(quán)限络拌,并可能造成數(shù)據(jù)泄露俭驮。
????????不同 FTP 服務(wù)軟件可能有不同的防護(hù)程序,本修復(fù)方案以 Windows server 2008 中自帶的 FTP 服務(wù)和 Linux 中的vsftpd服務(wù)為例春贸,您可參考以下方案對您的 FTP 服務(wù)進(jìn)行安全加固混萝。
重要提示:
????????請確保您的 FTP 服務(wù)軟件為官方最新版本。同時祥诽,建議您不定期關(guān)注官方發(fā)布的補(bǔ)丁譬圣,并及時進(jìn)行更新瓮恭。
????????強(qiáng)烈建議不要將此類型的服務(wù)在互聯(lián)網(wǎng)開放雄坪,您可以使用?VPN?等安全接入手段連接到 FTP 服務(wù)器端,同時使用?安全組?來控制訪問源IP。
Windows 系統(tǒng) FTP 服務(wù)安全加固**
打開 IIS 信息服務(wù)管理器维哈,查看所有 FTP 服務(wù)相關(guān)的安全加固功能绳姨。
1. 禁用匿名登錄
? ? i. 創(chuàng)建 FTP 帳戶。
? ? ? ? 在?開始?>?管理工具?>?計算機(jī)管理?>?本地用戶和組?中阔挠,創(chuàng)建用戶飘庄,設(shè)置強(qiáng)密碼(密碼建議八位以上,包括大小寫字母购撼、特殊字符跪削、數(shù)字等混合體,不要使用生日迂求、姓名拼音等常見字符串)碾盐,并設(shè)置該用戶屬于 GUESTS 用戶組。
? ?ii. 禁用匿名登錄揩局。
? ? ?Windows 2008 系統(tǒng) FTP 禁用匿名登錄服務(wù)
Windows 2012系統(tǒng) FTP 禁用匿名登錄服務(wù)
2. 啟用強(qiáng)密碼安全策略
在 Windows 系統(tǒng)中毫玖,強(qiáng)密碼策略是通過組策略控制的。您可以打開本地組策略編輯器(gpedit.msc)凌盯,計算機(jī)配置?>?Windows 設(shè)置?>?安全設(shè)置?>?賬戶策略?>?密碼策略付枫,啟用密碼復(fù)雜策略。
啟用?密碼必須符合復(fù)雜性要求?策略后驰怎,在更改或創(chuàng)建用戶密碼時會執(zhí)行復(fù)雜性策略檢測阐滩,密碼必須符合以下最低要求:
?- 密碼不能包含賬戶名
?- 密碼不能包含用戶名中超過兩個連續(xù)字符的部分
?- 密碼至少有六個字符長度
?- 密碼必須包含以下四類字符中的至少三類字符類型:英文大寫字母(A-Z)、英文小寫字母(a-z)砸西、10個基本數(shù)字(0-9)叶眉、特殊字符(例如:!、¥芹枷、#衅疙、%)
注意: 推薦 Windows 所有需要進(jìn)行用戶認(rèn)證的服務(wù)都采用上述復(fù)雜密碼策略。
3.? 啟用賬戶登錄失敗處理機(jī)制
? 該機(jī)制對登錄失敗的賬戶實施強(qiáng)處理鸳慈,可有效防止暴力破解攻擊事件饱溢。
4. 啟用 FTP 目錄隔離機(jī)制
? ? FTP 目錄隔離功能可以防止用戶查看其它用戶目錄的文件,防止數(shù)據(jù)泄露走芋。
5.? 指定訪問源 IP
6.? 啟用授權(quán)機(jī)制
您可以根據(jù)業(yè)務(wù)需求配置授權(quán)規(guī)則绩郎,限制用戶訪問的權(quán)限。
7. 啟用 SSL 加密傳輸功能
啟用 SSL 加密傳輸功能翁逞,需要先創(chuàng)建服務(wù)器證書:
在 FTP SSL 設(shè)置中肋杖,選定已創(chuàng)建的服務(wù)器證書即可。
8.? 啟用日志功能
IIS 中的 FTP 日志是默認(rèn)啟用的挖函,您可以根據(jù)磁盤空間情況配置日志空間大小和其他策略状植。
FileZilla FTP Server 是一個非常流行的開源的、免費(fèi)的 FTP 客戶端、服務(wù)器端軟件津畸,如果您使用該搭建 FTP 服務(wù)振定,F(xiàn)ileZilla FTP Server 提供了相關(guān)的安全功能,您可以參考?FileZilla FTP Server 安全加固?方案加固您的 FileZilla FTP Server 的安全肉拓。
Linux 系統(tǒng) vsftpd 服務(wù)安全加固
及時安裝更新補(bǔ)丁
在安裝更新補(bǔ)丁前后频,備份您的 vsftp 應(yīng)用配置。從?VSFTPD官方網(wǎng)站?獲取最新版本的 vsftp 軟件安裝包暖途,完成升級安裝卑惜。或者驻售,您可以下載最新版 vsftp 源碼包残揉,自行編譯后安裝更新。您也可以執(zhí)行yum update vsftpd命令通過 yum 源進(jìn)行更新芋浮。
禁用匿名登錄服務(wù)
添加一個新用戶(test)抱环,并配置強(qiáng)密碼。例如纸巷,執(zhí)行useradd -d /home -s /sbin/nologin test命令镇草。
其中,/sbin/nologin參數(shù)表示該用戶不能登錄 Linux shell 環(huán)境瘤旨。
test為用戶名梯啤。
通過passwd test命令,為該用戶配置強(qiáng)密碼存哲。密碼長度建議八位以上因宇,且密碼應(yīng)包括大小寫字母、特殊字符祟偷、數(shù)字混合體察滑,且不要使用生日、姓名拼音等常見字符串作為密碼修肠。
修改配置文件 vsftpd.conf贺辰,執(zhí)行#vim /etc/vsftpd/vsftpd.conf命令。
anonymous_enable=NO嵌施,將該參數(shù)配置為 NO 表示禁止匿名登錄饲化,必須要創(chuàng)建用戶認(rèn)證后才能登錄 FTP 服務(wù)。
禁止顯示 banner 信息
修改 VSFTP 配置文件 vsftpd.conf吗伤,設(shè)置ftpd_banner=Welcome吃靠。重啟 vsftp 服務(wù)后,即不顯示 banner 信息足淆。
>ftp 192.168.10.200
Connected to 192.168.10.200.
220 Welcome
User (192.168.10.200:(none)):
限制 FTP 登錄用戶
在 ftpusers 和 user_list 文件中列舉的用戶都是不允許訪問 FTP 服務(wù)的用戶(例如 root巢块、bin捺球、daemon 等用戶)。除了需要登錄 FTP 的用戶外夕冲,其余用戶都應(yīng)該添加至此拒絕列表中。
限制 FTP 用戶目錄
修改 VSFTP 配置文件 vsftpd.conf裂逐。
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list
新建 /etc/vsftpd/chroot_list 文件歹鱼,并添加用戶名。例如卜高,將 user1 添加至該文件弥姻,則 user1 登錄 FTP 服務(wù)后,只允許在 user1 用戶的 home 目錄中活動掺涛。
修改監(jiān)聽地址和默認(rèn)端口
例如庭敦,修改 VSFTP 配置文件 vsftpd.conf,設(shè)置監(jiān)聽 1.1.1.1 地址的 8888 端口薪缆。
listen_address=1.1.1.1
listen_port=8888
啟用日志記錄
修改 VSFTP 配置文件 vsftpd.conf秧廉,啟用日志記錄。
xferlog_enable=YES
xferlog_std_format=YES
如果您需要自定義日志存放位置拣帽,可以修改xferlog_file=/var/log/ftplog疼电。
其他安全配置
修改 VSFTP 配置文件 vsftpd.conf。
//限制連接數(shù)
max_clients=100
max_per_ip=5
//限制傳輸速度
anon_max_rate=81920
local_max_rate=81920
注意: 如果您不需要使用 FTP 服務(wù)减拭,建議您關(guān)閉該服務(wù)蔽豺。
