windows下FTP匿名登錄或弱口令漏洞及服務加固

漏洞描述

FTP 弱口令或匿名登錄漏洞，一般指使用 FTP 的用戶啟用了匿名登錄功能，或系統口令的長度太短、復雜度不夠、僅包含數字、或僅包含字母等，容易被黑客攻擊，發生惡意文件上傳或更嚴重的入侵行為。

漏洞危害

黑客利用弱口令或匿名登錄漏洞直接登錄 FTP 服務，上傳惡意文件，從而獲取系統權限，并可能造成數據泄露。

加固方案

不同 FTP 服務軟件可能有不同的防護程序，本修復方案以 Windows server 2008 中自帶的 FTP 服務和 Linux 中的vsftpd服務為例，您可參考以下方案對您的 FTP 服務進行安全加固。

重要提示：

請確保您的 FTP 服務軟件為官方最新版本。同時，建議您不定期關注官方發布的補丁，并及時進行更新。

強烈建議不要將此類型的服務在互聯網開放，您可以使用 VPN 等安全接入手段連接到 FTP 服務器端，同時使用 安全組 來控制訪問源IP。

Windows 系統 FTP 服務安全加固**

打開 IIS 信息服務管理器，查看所有 FTP 服務相關的安全加固功能。

禁用匿名登錄

創建 FTP 帳戶。

在 開始 > 管理工具 > 計算機管理 > 本地用戶和組 中，創建用戶，設置強密碼（密碼建議八位以上，包括大小寫字母、特殊字符、數字等混合體，不要使用生日、姓名拼音等常見字符串），并設置該用戶屬于 GUESTS 用戶組。

禁用匿名登錄。

Windows 2008 系統 FTP 禁用匿名登錄服務

Windows 2012系統 FTP 禁用匿名登錄服務

啟用強密碼安全策略

在 Windows 系統中，強密碼策略是通過組策略控制的。您可以打開本地組策略編輯器（gpedit.msc），計算機配置 > Windows 設置 > 安全設置 > 賬戶策略 > 密碼策略，啟用密碼復雜策略。

啟用 密碼必須符合復雜性要求 策略后，在更改或創建用戶密碼時會執行復雜性策略檢測，密碼必須符合以下最低要求:

密碼不能包含賬戶名密碼不能包含用戶名中超過兩個連續字符的部分密碼至少有六個字符長度

密碼必須包含以下四類字符中的至少三類字符類型：英文大寫字母(A-Z)、英文小寫字母(a-z)、10個基本數字(0-9)、特殊字符（例如：!、￥、#、%）

注意： 推薦 Windows 所有需要進行用戶認證的服務都采用上述復雜密碼策略。

啟用賬戶登錄失敗處理機制

該機制對登錄失敗的賬戶實施強處理，可有效防止暴力破解攻擊事件。

啟用 FTP 目錄隔離機制

FTP 目錄隔離功能可以防止用戶查看其它用戶目錄的文件，防止數據泄露。

指定訪問源 IP

啟用授權機制

您可以根據業務需求配置授權規則，限制用戶訪問的權限。

啟用 SSL 加密傳輸功能

啟用 SSL 加密傳輸功能，需要先創建服務器證書：

在 FTP SSL 設置中，選定已創建的服務器證書即可。

啟用日志功能

IIS 中的 FTP 日志是默認啟用的，您可以根據磁盤空間情況配置日志空間大小和其他策略。

FileZilla FTP Server 安全加固

FileZilla FTP Server 是一個非常流行的開源的、免費的 FTP 客戶端、服務器端軟件，如果您使用該搭建 FTP 服務，FileZilla FTP Server 提供了相關的安全功能，您可以參考 FileZilla FTP Server 安全加固 方案加固您的 FileZilla FTP Server 的安全。

Linux 系統 vsftpd 服務安全加固

1、及時安裝更新補丁

在安裝更新補丁前，備份您的 vsftp 應用配置。從 VSFTPD官方網站 獲取最新版本的 vsftp 軟件安裝包，完成升級安裝。或者，您可以下載最新版 vsftp 源碼包，自行編譯后安裝更新。您也可以執行yum update vsftpd命令通過 yum 源進行更新。

2、禁用匿名登錄服務

添加一個新用戶（test），并配置強密碼。例如，執行useradd -d /home -s /sbin/nologin test命令。

其中，/sbin/nologin參數表示該用戶不能登錄 Linux shell 環境。test為用戶名。通過passwd test命令，為該用戶配置強密碼。密碼長度建議八位以上，且密碼應包括大小寫字母、特殊字符、數字混合體，且不要使用生日、姓名拼音等常見字符串作為密碼。

修改配置文件 vsftpd.conf，執行#vim /etc/vsftpd/vsftpd.conf命令。

anonymous_enable=NO，將該參數配置為 NO 表示禁止匿名登錄，必須要創建用戶認證后才能登錄 FTP 服務。

3、禁止顯示 banner 信息

修改 VSFTP 配置文件 vsftpd.conf，設置ftpd_banner=Welcome。重啟 vsftp 服務后，即不顯示 banner 信息。

>ftp 192.168.10.200
Connected to 192.168.10.200.
220 Welcome
User (192.168.10.200:(none)):

4、限制 FTP 登錄用戶

在 ftpusers 和 user_list 文件中列舉的用戶都是不允許訪問 FTP 服務的用戶（例如 root、bin、daemon 等用戶）。除了需要登錄 FTP 的用戶外，其余用戶都應該添加至此拒絕列表中。

5、限制 FTP 用戶目錄

修改 VSFTP 配置文件 vsftpd.conf。

chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list

新建 /etc/vsftpd/chroot_list 文件，并添加用戶名。例如，將 user1 添加至該文件，則 user1 登錄 FTP 服務后，只允許在 user1 用戶的 home 目錄中活動。

6、修改監聽地址和默認端口

例如，修改 VSFTP 配置文件 vsftpd.conf，設置監聽 1.1.1.1 地址的 8888 端口。

 listen_address=1.1.1.1
listen_port=8888

7、啟用日志記錄

修改 VSFTP 配置文件 vsftpd.conf，啟用日志記錄。

 xferlog_enable=YES
xferlog_std_format=YES

如果您需要自定義日志存放位置，可以修改xferlog_file=/var/log/ftplog。

8、其他安全配置

修改 VSFTP 配置文件 vsftpd.conf。

 //限制連接數
max_clients=100
max_per_ip=5
//限制傳輸速度
anon_max_rate=81920
local_max_rate=81920

注意： 如果您不需要使用 FTP 服務，建議您關閉該服務。