VSFTP基线安全
在企业级的应用中,越来越多的企业应用开源的vsftpd软件来搭建自己的文件共享服务,优点是速度快且节省开支。然而,企业用户行为难以预料,配置稍有不当则会使该服务成为一个安全风险点,导致带宽恶意占用、用户FTP服务密码泄露等。本文将以实例为大家介绍vsftpd的安全设置方法。
1、vsftpd简介
vsftpd是一个基于GPL发布的类UNIX类操作系统上运行的服务器的名字(表明它也是一种守护进程),可以运行在诸如Linux、BSD、Solaris、HP-UX及Irix上,是当前很多Linux发行套件的最新版本提供的默认FTP服务器。该服务器支持很多其他传统的FTP服务器不支持的功能,主要有如下几个显著特点:1)非常高的安全性;2)带宽限制功能;3)良好的扩展性;4)支持创建虚拟用户;5)支持IPv6;6)支持虚拟IP;7)高速、稳定。总体来说,vsftpd是Linux系统中继Wu-ftpd之后又一款优秀的、使用普遍的FTP服务器,
2、vsftpd快速安装
目前在主流的Linux发行版本中,如Red Hat Enterprise Linux(RHEL)、Fedora或CentOS系统上,安装vsftp很简单,这里使用CentOS作为演示来介绍。
首先,需要登录开源分站点将vsftp的安装包下载回来(RHEL版本的操作与其相同),如下命令所示:
#wget htt://ftp.cica.es/CentOS/5/updates/i386/RPMS/vsftpd-2.0.5-16.el5_4.1.i386.rpm
接着,使用rpm命令安装所需软件包:
#rpm -ivh vsftpd-2.0.5-16.el5_4.1.i386.rpm
值得注意的是:在运行vsftpd之前,需要确定系统的SELinux已经支持FTP读写或者SELinux为关闭状态。否则,vsftpd将无法正常运行。
3、vsftpd快速配置
首先,配置vsftpd需要修改vsftpd的主配置文件/etc/vsftpd/vsftpd.conf,并设定默认的匿名用户根目录:/var/ftp/。图1为安装完成后的vsftpd.conf。默认情况下匿名用户的访问是被允许的,图中的anonymous_enable=YES。
图1
如果在配置文件末尾加上anon_upload_enable=YES和anon_mkdir_write_enable=YES。那将允许匿名用户上传文件并可以创建目录。如图2:
图2
接着,需要切换到/var/ftp目录下建立新的文件夹xiaowang,如下命令:
#cd /var/ftp
#mkdir /var/ftp/xiaowang
然后,使用如下命令启动vsftpd服务即可:
#service vsftpd start
其中那个pub文件夹是vsftp安装完自带的,我们暂时不用理会。
值得注意的是:如果在命令行模式下输入ntsysv命令调出系统的面板,并在vsftpd前选上星号,并回车确认,即可以让vsftp开机启动。
4、实例剖析安全设置
(1)用户访问权限管理
前面所看到的是非常简单的vsftp使用过程,基本上没做什么安全上的配置,接下来通过实例配置来介绍常规的vsftpd安全管理应该如何进行。
为了安全起见,一个安全的vsftp服务器肯定不允许匿名登录,更不用说匿名上传和匿名删除服务器中的相关文件。那么,就需要如下一些步骤来进行用户管理,从而保证其安全。
1)修改默认配置文件
需要修改/etc/vsftpd/vsftpd.conf,修改为anonymous_enable=NO,如图3:
图3
2)使用nologin禁止FTP帐户登录Linux服务器
目前大多数使用vsftpd的企业用户都知道这么一种默认情况: vsftp的用户可以使用本地系统帐号。也就是说。如果在这个Linux系统中有一个叫xiaowang的普通用户的话,那这个xiaowang帐号是可以登录vsftp的。初看起来,这没有什么问题,但是,通过分析我们不难得知:如果xiaowang这个FTP帐号信息被人非法获得的话,对方将可以用这个帐号远程ssh登录Linux服务器执行多种命令。这是一个较大的安全隐患。所以企业系统管理员在新建FTP用户时,需要用到nologin。
假设这里添加一个不允许本地登录的帐号xiaowang,执行如下命令:
#useradd -s /sbin/nologin xiaowang
然后再用passwd命令设置密码,这样,就保证了FTP帐号将只能传输文件无法本地登录。即使帐户被丢失,黑客拿到FTP帐号也顶多只能访问FTP服务,而不可能登录到Linux服务器本地,进行更多的非法操作。
在《实例剖析开源系统中vsftpd的安全设置方法(二)》中,我们将介绍如何使用chroot控制用户访问权限,如何限制恶意占有带宽的用户等内容。
【TechTarget中国原创】在《实例剖析开源系统中vsftpd的安全设置方法(一)》中,我们介绍到了用户访问权限管理中的使用nologin禁止FTP帐户登录Linux服务器,下面我们继续介绍如何安全配置开源系统中vsftpd。
3)使用chroot控制用户访问权限
假设FTP用户根目录在/ftproot/game,那我们就要在配置文件中添加local_root=/ftproot/game。然后激活chroot,编辑添加chroot_list_enable=YES,把允许访问FTP的用户加到/etc/vsftpd/chroot_list这个文件中去,即:chroot_list_file=/etc/vsftpd/chroot_list。修改后的配置文件如图4:
图4
值得注意的是:这里所介绍的/etc/vsftpd/chroot_list文件系统默认是没有的,需要手工创建,命令如下:
#touch /etc/vsftpd/chroot_list
#echo xiaowang > /etc/vsftpd/chroot_list
#echo xiaowang1 >> /etc/vsftpd/chroot_list
上述命令添加了两个用户,分别是xiaowang和xiaowang1。重新启动vsftpd服务即可。
这个时候再从客户端来访问一下FTP服务器,发现需要输入用户名密码。如图5:
图5
下面进一步使用WinSCP这个传输工具来看看上传下载的情况如何。如图6:
图6
可以看到,本地的文件都传输到服务器上去了。如图7:
图7
以上需要说明一点的是:必须先确定FTP根目录没有权限问题,否则将会出现如下问题(见图8)。如果出现该问题,可以使用chmod 757 /ftproot/game这个命令来设定权限。
图8
(2)如何限制恶意占有带宽的用户
如果所在公司或单位服务器性能够强,带宽够多,带宽限制这方面的需求可能不是特别地突出。然而,如果下载量特别大,人也特别多,就有必要进行一下安全的设置。
在vsftp中,匿名用户和本地用户的速度限制是分开的。前者是anon_max_rate,后者是local_max_rate。 它们的单位都是byte(字节)。
如果让匿名用户和本地的用户都以最高100KB的速度下载,所以这个数字应该是1024x100=102400。在vsftpd.conf文件末尾中加入下面的两行即可:
anon_max_rate=102400
local_max_rate=102400
然后重启vsftpd服务即可。
另外,还可以限制FTP的最大连接数和每个IP的最大连接数。这两个参数分别是Max_clients和Max_per_ip。和上面一样,也只需要在vsftpd.conf文件末尾添加参数即可,如下设成了最大连接数100,每个IP的最大连接数5个:
max_clients=100
max_per_ip=5
(3)如何防止FTP密码被恶意嗅探
由于vsftpd发送的数据是以明文方式传输,尤其是密码容易被恶意的嗅探(Sniffering)到,所以企业通常会采用SSL(Secure Sockets Layer,安全套接字层)技术,配置使得vsftpd支持SSL加密传输,以此来抵御恶意嗅探攻击。
SSL是一种国际标准的加密及身份认证通信协议,用户采用的浏览器就支持此协议。SSL最初是由美国Netscape公司研究出来的,后来成为了Internet网上安全通讯与交易的标准。比如,当IE浏览器需要通过不可靠的互联网,与服务器安全地连接时,我们通常可以看到SSL技术被使用于其中。同样,这类技术也可以灵活地运用到邮件服务或FTP服务中去。SSL协议使用通讯双方的客户证书以及CA根证书,允许客户/服务器应用以一种不能被偷听的方式通讯,在通讯双方间建立起了一条安全的、可信任的通讯通道。它具备以下基本特征:信息保密性、信息完整性、相互鉴定。该协议主要使用Hash编码、加密技术。
使用SSL技术,依赖于另外一个软件:OpenSSL,它是一个可以自由使用的SSL实现,首先需要安装这个软件。用户可以从网站http://www.openssl.org/source/上下载Linux下OpenSSL的稳定版本,比如:openssl-0.9.8e-7.el5.i686.rpm,然后执行命令生成密钥:
# openssl req –new –x509 –nodes –out vsftpd.pem –keyout vsftpd.pem
接着,把生成的vsftpd.pem复制到/usr/share/ssl/certs的目录中:
#cp vsftpd.pem /usr/share/ssl/certs/vsftpd.pem
然后,修改/etc/vsftpd/vsftpd.conf文件。在末尾添加SSL相关配置。如图9:
图9
保存后重启vsftpd服务。下面就可以用客户端来尝试进行SSL加密连接了。这里使用的客户端是Core FTP,选择SSL加密登录后,会出现如下提示,如图10:
图10
选择Accept之后我们即可登入远程的ftp服务器。如图11:
图11
若使用不支持SSL的客户端工具访问时有可能会出现:530 Non-anonymous sessions must use encryption.的错误提示。所以提醒用户尽量选择flashfxp或CoreFtp这类的多功能客户端。
到这里为止,采用SSL机制保护下的vsftpd就算配置完成了。其中DES-CBC3-SHA是默认的加密方式,用户可以修改“ssl_ciphers=xxx”的方式来选择想要的加密方式。关于vsftpd对SSL的支持选项设置,可以参见表1。
主要选项 |
功能 |
ssl_enable |
是否启用 SSL,默认为no |
allow_anon_ssl |
是否允许匿名用户使用SSL,默认为no |
rsa_cert_file |
rsa证书的位置 |
dsa_cert_file |
dsa证书的位置 |
force_local_logins_ssl |
非匿名用户登陆时是否加密,默认为yes |
force_local_data_ssl |
非匿名用户传输数据时是否加密,默认为yes |
force_anon_logins_ssl |
匿名用户登录时是否加密,默认为no |
force_anon_data_ssl |
匿名用户数据传输时是否加密,默认为no |
ssl_sslv2 |
是否激活sslv2加密,默认no |
ssl_sslv3 |
是否激活sslv3加密,默认no |
ssl_tlsv1 |
是否激活tls v1加密,默认yes |
ssl_ciphers |
默认是DES-CBC3-SHA |
表1
前两部分文章(http://www.2cto.com/Article/201112/114141.html)详细的介绍了如何进行sftpd的安全设置方法,最后我们总结一下vsftpd的配置清单。
(4)一个完整的vsftpd高级配置清单
为了使用户更加清晰地了解vsftpd的安全配置方法,下面给出一个完整的vsftpd高级配置清单及其注释,供用户在实际的配置中参考使用。
Part I:基本登录和权限配置部分
Anonymous_enable=yes(允许匿名登录)
Dirmessage_enable=yes (切换目录时,显示目录下.message的内容)
Local_umask=022(FTP上本地的文件权限,默认是077)
Connect_form_port_20=yes (启用FTP数据端口的数据连接)
Xferlog_enable=yes (激活上传和下传的日志)
Xferlog_std_format=yes(使用标准的日志格式)
Ftpd_banner=XXXXX (欢迎信息)
Pam_service_name=vsftpd (验证方式)*
Listen=yes (独立的VSFTPD服务器)*
Anon_upload_enable=yes(开放上传权限)
Anon_mkdir_write_enable=yes (可创建目录的同时可以在此目录中上传文件)
Write_enable=yes(开放本地用户写的权限)
Anon_other_write_enable=yes(匿名帐号可以有删除的权限)
Anon_world_readable_only=no(放开匿名用户浏览权限)
Ascii_upload_enable=yes(启用上传的ASCII传输方式)
Ascii_download_enable=yes(启用下载的ASCII传输方式)
Part II:FTP连接控制部分
Banner_file=/var/vsftpd_banner_file(用户连接后欢迎信息使用的是此文件中的相关信息)
Idle_session_timeout=600(秒) (用户会话空闲后10分钟)
Data_connection_timeout=120(秒) (将数据连接空闲2分钟断)
Accept_timeout=60(秒) (将客户端空闲1分钟后断)
Connect_timeout=60(秒) (中断1分钟后又重新连接)
Local_max_rate=50000(bite) (本地用户传输率50K)
Anon_max_rate=30000(bite) (匿名用户传输率30K)
Pasv_min_port=50000
Pasv_max_port=60000(将客户端的数据连接端口改在50000—60000之间)
Max_clients=200 (FTP的最大连接数)
Max_per_ip=4 (每IP的最大连接数)
Listen_port=5555 (从5555端口进行数据连接)
Part III:本地帐户权限控制部分
Local_enble=yes (本地帐户能够登录)
Write_enable=no (本地帐户登录后无权删除和修改文件)
Userlist_enable=yes (在指定的文件中的用户不可以访问)
Userlist_deny=yes
Userlist_file=/指定的路径/vsftpd.user_list
Banner_fail=/路径/文件名 (连接失败时显示文件中的内容)
Ls_recurse_enable=no
Async_abor_enable=yes
One_process_model=yes
Listen_address=10.2.2.2 (将虚拟服务绑定到某端口)
Part III:虚拟用户权限控制部分
Guest_enable=yes (虚拟用户可以登录)
Guest_username=所设的用户名 (将虚拟用户映射为本地用户)
User_config_dir=/任意指定的路径/为用户策略自己所建的文件夹
(指定不同虚拟用户配置文件的路径)
Part IV:其他配置部分
Chown_uploads=yes (改变上传文件的所有者为root)
Chown_username=root
Deny_email_enable=yes (是否允许禁止匿名用户使用某些邮件地址)
Banned_email_file=//任意指定的路径/xx/
Pasv_enable=yes (服务器端用被动模式)
User_config_dir=/任意指定的路径//任意文件目录 (指定虚拟用户存放配置文件的路径)
【TechTarget中国原创】