您好,登錄后才能下訂單哦!
這篇文章主要介紹了FileZilla FTP Server安全加固的示例分析,具有一定借鑒價值,感興趣的朋友可以參考下,希望大家閱讀完這篇文章之后大有收獲,下面讓小編帶著大家一起了解一下。
FileZilla 是一款免費的跨平臺 FTP 應用程序,由 FileZilla Client 和 FileZilla Server 組成。本文檔依據 FileZilla Server 0.9.59 版本,向您提供一系列簡便有效的加固方案,幫助您安全地使用 FileZilla。
注意:本文提到的大部分配置都是通過 FileZilla 服務器的 Edit > Settings > FileZilla Server Options 菜單來實現的。
設置管理密碼
服務器的管理密碼默認為空,建議您設置一個較復雜的密碼。例如,應至少包含大小寫字母、數字、特殊符號中的任意兩種。
修改 Banner 信息
在訪問 FTP 服務器時,默認會在 Banner 中顯示服務器的版本信息,通過屏蔽版本信息顯示,可以加大惡意攻擊的時間成本。操作步驟如下:
前往 General settings > Welcome message。
從右側的 Custom welcome message 輸入框中刪除 %v 變量,或者直接將全部文本替換為自定義的文字。
建議勾選下面的 Hide welcome message in log,以減少日志中的垃圾信息。
設置監聽地址和端口
建議只在一個地址上啟用 FTP 服務。例如,若您只需要在內網使用 FTP 服務時,就不必在服務器綁定的公網地址上開啟 FTP 服務。操作步驟如下:
前往 General settings > IP Bindings。
在右側窗口中將默認的 * 號修改為指定的地址。
使用訪問控制
設置全局 IP 過濾器,限制允許訪問的 IP 地址。操作步驟如下:
前往 General settings > IP Filters。
在右側上部窗口中填入要阻止訪問的 IP 范圍,在右側下部窗口中填寫允許訪問的 IP 范圍。
注意:通常采用阻止所有 IP(填寫 *),然后僅允許部分 IP 的方式來進行有效的限制。例如,下圖中僅允許 192.168.1.0/24 網段訪問 FTP 服務。
另外,FileZilla 服務器也支持用戶級和用戶組級的 IP 過濾器。前往 Edit > Users/Groups 打開對應設置頁,在設置頁中找到 IP Filters,然后選擇需要設置的用戶,設置允許和拒絕的 IP 即可。設置方法與全局 IP 過濾器相同。
開啟 FTP Bounce 攻擊防護
FTP Bounce 攻擊是一種利用 FXP 功能的攻擊形式,默認情況下服務器未關閉相關功能,建議將相關功能設置為阻止。
如果服務器需要在與某個特定 IP 的服務器之間使用該功能,建議使用 IPs must match exactly 選項,然后通過 IP Filters(見 使用訪問控制)來進行限制來訪 IP。操作步驟如下:
前往 General settings > Security settings。
如下圖所示,默認選項已經啟用了需要精確匹配連接地址,建議不要修改。
配置用戶認證策略
默認情況下,當出現多次用戶認證失敗后,服務器會斷開與客戶端的連接,但并沒有嚴格的限制策略。通過下面的設置,可以對連續多次嘗試登錄失敗的客戶端 IP 進行阻止,干擾其連續嘗試行為。
前往 General settings > Autoban。
下圖中的設置會對一小時內連續 10 次登錄失敗的 IP 進行阻止,阻止時長為 1 個小時。
提高用戶密碼復雜度
FileZilla 服務器未提供限制密碼復雜度的選項,且服務器用戶是由管理員通過管理接口來添加的,用戶也無法通過 FTP 命令來修改密碼。因此,建議管理員在添加用戶時為用戶配置復雜的密碼。
最小化訪問授權
FileZilla 支持目錄級別的訪問權限設置,可對某個目錄設置文件讀 、寫、刪除、添加、目錄創建、刪除、列舉等權限。建議根據實際應用需要,結合用戶權限最小化原則來分配文件夾的權限。
注意:該操作需要提前添加賬號和組后才能配置。
啟用 TLS 加密認證
FileZilla 服務器支持 TLS 加密功能,用戶如果沒有證書可以使用自帶功能來創建。
也支持針對單個用戶強制啟用 TLS 加密訪問。
啟動日志記錄
FileZilla 服務器默認未開啟日志記錄,為了方便對各種事件的追查,建議開啟日志記錄功能,并將日志設置為每天一個日志文件,避免單文件過大。
默認情況下,日志已經設置不記錄用戶密碼;但在加固的時候應檢查此選項,確保其已啟用,避免密碼泄露。
下面的其它網友的補充非常不錯
FileZilla Server 默認是以系統服務運行,運行賬戶為 SYSTEM ,這樣非常危險。需要降權并給
予適當的讀寫權限。
1、建立一個運行 FileZilla Server 的系統賬戶
1)新增一個用戶,名為 FileZilla_HWS ;
2)設置用戶 FileZilla_HWS 只屬于 Guests 組 ;
2、設置 FileZilla Server 目錄的權限
1)找到FileZilla Server執行目錄(在系統服務里面獲取,服務名默認為FileZilla Server)
;
給FileZilla Server執行目錄目錄 Administrators、SYSTEM "完全控制" 權限;給
FileZilla_HWS "完全控制" 權限;
2)找到FTP文件存放目錄(FileZilla Server的管理控制臺里面獲取);
給FTP文件存放目錄 Administrators、SYSTEM "完全控制" 權限;FileZilla_HWS "讀取/寫
入/刪除" 權限;
(如有多個FTP文件存放目錄,需要都添加上FileZilla_HWS "讀取/寫入/刪除" 權限;)
3、設置FileZilla Server服務
1)設置 FileZilla Server 服務啟動帳戶為 FileZilla_HWS ;
2)重啟 FileZilla Server 服務;
4、測試結果
1)FileZilla Server 運行賬戶是 FileZilla_HWS ,成功降權;
2)FlashFXP連接測試
“讀/寫/刪除”均正常;
5、其他防護辦法
如果您的FileZilla Server不能降權,但又要解決安全問題;可以使用護衛神·防篡改系統(專業版)來解決。
通過護衛神·防篡改系統(專業版)的“進程限制”模塊,
設置FileZilla Server只能對FileZilla Server主目錄和FTP目錄有相關操作權限。
這樣黑客就無法通過FileZilla Server入侵服務器了。
感謝你能夠認真閱讀完這篇文章,希望小編分享的“FileZilla FTP Server安全加固的示例分析”這篇文章對大家有幫助,同時也希望大家多多支持億速云,關注億速云行業資訊頻道,更多相關知識等著你來學習!
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。