M4-4提高FTP服务安全访问及安全防御程序.ppt

《网络安全运行与维护》 模块四 Linux服务器系统安全管理与维护 DHCP DNSWeb FTPCA服务器群集邮件服务 DDN Internet 北京总部 长春分公司 VPN 网管工作站 重庆分公司 DHCP WEB WEB FTP DNS BDNS 总体概述 加强Linux系统的DNS服务的安全防御能力 加固Linux系统的DHCP服务安全防御能力 提升Linux系统的WEB服务的安全防御能力 提高Linux系统的FTP服务安全访问及安全防御能力 使用Linux防火墙模块提升服务器的安全防御能力 能力单元4 提高FTP服务安全访问及安全防御 任务描述 任务描述 在企业网中有一台FTP服务器，FTP服务器不但为内网用户提供文件下载和上传服务，而且为互联网用户提供上传与下载服务，为了实现上传和下载功能必须具有对系统进行读写的权限。这样给网络带来很大的安全威胁。为了保障FTP服务器安全运行，需要进行对FTP服务器进行安全配置。具体配置如下： 禁止系统级别用户来登录FTP服务器 加强对匿名用户的控制 做好目录的控制 进行传输速率的限制 使用虚拟用户访问 任务分析 任务分析 FTP是为了共享资源、方便用户文件下载而制定的文件传输协议，那么必然有对系统读写的权利，所以它也是整个网络系统的薄弱环节，一些攻击者常常利用FTP作为侵入和破坏系统的突破口。 他们有时利用FTP将一些监控程序装入系统，以窃取管理口令；有时利用FTP获取系统的passwd文件，从而了解系统的用户信息；有时利用FTP的puts和gets功能，增加系统负担，从而导致硬盘塞满甚至系统崩溃；有的攻击者利用FTP服务器来传播木马与病毒等等。 相关知识 相关知识 FTP即文件传输协议，是Internet上使用最广泛、信息传输量最大的应用之一。利用它可以从Internet上不同地点的FTP服务器中查询到大量的信息，拷贝到各种各样的文件。 VSFTP是一个基于GPL发布的类Unix系统上使用的FTP服务器软件，它的全称是Very Secure FTP 从此名称可以看出来，编制者的初衷是代码的安全。 安全性是编写VSFTP的初衷，除了这与生俱来的安全特性以外，高速与高稳定性也是VSFTP的两个重要特点。 任务实施——拓扑结构 拓扑结构 任务实施——实施步骤 实施步骤 〖步骤1〗禁止系统级别用户来登录FTP服务器 [root@lab2 ~]# cat /etc/vsftpd.ftpusers # Users that are not allowed to login via ftp root bin daemon adm lp sync shutdown halt mail news ………… 任务实施——实施步骤(cont.) 实施步骤 〖步骤2〗加强对匿名用户的控制 参数anon_world_readable_only 参数anon_upload_enable 参数anon_other_write_enable与参数anon_mkdir_write_enable。 〖步骤3〗做好目录的控制 [root@lab2 ~]# vi /etc/vsftpd/vsftpd.conf chroot_list_enable=YES chroot_list_file=/etc/vsftpd.chroot_list 〖步骤4〗进行传输速率的限制 修改配置文件/etc/vsftpd/vsftpd.conf，如下所示： max_per_ip=5 max_clients=100 local_max_rate=500000 anon_max_rate=100000 任务实施——实施步骤(cont.) 实施步骤 〖步骤5〗使用虚拟用户访问 第一步：创建虚拟用户 [root@LAB3 ~]# vi logins.txt jack 123 join 123 使用db_load命令生成口令数据库，如下所示： db_load -T -t hash -f logins.txt /etc/vsftpd/vsftpd_login.db 使用命令chmod，只允许root用户可读写，如下所示： [root@LAB3 ~]# chmod 600 /etc/vsftpd/vsftpd_login.db 生成与虚拟用户database相关联的PAM文件，创建一个新的文件同，并在文件加入以下内容，如下所示 任务实施——实施步骤(cont.) 实施步骤 [root@LAB3 ~]# vi /etc/pam.d/vsftpd.vu auth required /lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login account