浅谈运维中的安全问题-FTP篇

 

　　写这一系列文章的动因很简单，在年前最后一个项目的时候在客户现场作了的几个安全加固。因为时间问题，不少东西就拿来主义没通过思考直接更改了，并未细细品味其中的原理和方法，因此特意搭建实验环境，分析下其中的缘由，也帮助IT运维的同事在平时的安全巡检与维护中可以关注与理解一些运维上的安全问题。

　  FTP存在的安全问题

• 匿名访问

　　 FTP匿名访问是FTP安全问题中最多见的问题，详情能够见wooyun。今天经过一天时间经过反复的复测，尝试，发现一个看似简单的FTP匿名访问实则存在不少隐藏的小坑。因此写出来帮助你们在安全运维的道路上可以更加游刃有余。

　　 首先是你们都知道的，以最多见的Linux FTP软件VSFTP为例，咱们分析他的配置文件，发现涉及匿名访问的主要conf项有以下几项。

 

anonymous_enable=YES       　　是否容许FTP匿名访问登陆
anon_upload_enable=YES     　　是否容许FTP匿名上传
anon_mkdir_write_enable=YES　　是否容许FTP匿名用户建立目录

　　

　　（如下实验过程有些繁琐，了解的朋友能够直接看后面加粗字体结论）

　　  一般朴素的思惟，咱们把anonymous_enable配置项置为Off了，咱们就能够解决匿名访问的问题。这句话这么说的确不假，但wooyun上大FTP匿名访问的数量不在少数，以及本身在作内网渗透时，内网的匿名访问问题更加严重。

　　　

　　我通过屡次试验，发现FTP匿名访问若是想形成实质危害须要知足不少条件，并不是简简单单匿名登陆了就能形成危害，如下为条件都须要知足才能形成实质危害：

1. 配置文件三要素要知足，上文提到的vsftp.conf中的三个配置选项必须打开，这个是匿名访问的根本。我测试用的为Cent OS6.5经过yum安装的vsftpd发现配置文件conf中的默认匿名访问是开启的，若运维人员缺少安全意识可能会致使匿名访问状况发生。
2. 因为匿名访问须要Linux ftp帐户登陆，因此在var/ftp目录下，存在匿名登陆的目录至少为755权限，不然匿名用户是没法上传与下载或读取相关文件。
3. vsftp.conf中必须配置 anon_umask=022 才可形成真正的敏感文件读取泄露问题。我通过反复大量的实验发现，vsftpd上传文件的读写权限与不受系统的umask和原有配置文件中local_umask项影响，要想保证上传文件的可读可写性。必需要运维人员手动添加anon_umask值，来确保ftp目录下上传的文件可读可下载。

　　结论：匿名访问不管在内网仍是外网都应该被杜绝的，尤为wooyun上大量案例使用FTP匿名访问，经过实验应该是企业内部将FTP当作了一个便携式局域网“U盘”使用形成了相关的安全问题。

• 未限制登陆用户访问目录权限

　　未限制FTP登录用户在本身的家目录中活动，致使可遍历系统的敏感文件，若系统umask设置不当，可上传写入木马等。输入/etc发现目录依旧能够访问。致使服务器安全出现问题。

　　

　　vsftp默认登陆，用户在home家目录下的ftpuser下。

　　

 

　　咱们能够经过以下方法来加固，作法如不少博客文章介绍的同样，编辑vsftpd.conf目录下的文件特定配置以下：

　　

chroot_local_user=YES
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list

　　除了chroot_list中的用户都不能访问上级根目录，效果以下：

　　

　　将ftpuser添加进入，chroot_list再次实验，效果以下：

　　

　　

　　如下是一些，本身在安全加固中FTP方面的一些浅显的认识，但愿能帮助到你们。