在網(wǎng)絡(luò)上，匿名FTP是一個(gè)很常用的服務(wù)，常用于軟件下載網(wǎng)站，軟件交流網(wǎng)站等，為了提高匿名FTP服務(wù)開放的過(guò)程中的安全性，我們就這一問(wèn)題進(jìn)行一些討論。

以下的設(shè)定方式是由過(guò)去許多網(wǎng)站累積的經(jīng)驗(yàn)與建議組成。我們認(rèn)為可以讓有個(gè)別
需求的網(wǎng)站擁有不同設(shè)定的選擇。
設(shè)定匿名FTP
A.FTP daemon
網(wǎng)站必須確定目前使用的是最新版本的FTP daemon。
B設(shè)定匿名FTP的目錄
匿名ftp的根目錄(~ftp)和其子目錄的擁有者不能為ftp帳號(hào)，或與ftp相同群組的帳號(hào)。這是
一般常見(jiàn)的設(shè)定問(wèn)題。假如這些目錄被ftp或與ftp相同群組的帳號(hào)所擁有，又沒(méi)有做好防止寫入的保護(hù)，入侵者便可能在其中增加文件(例如：.rhosts檔)或修改其它文件。許多網(wǎng)站?市硎褂胷oot帳號(hào)。讓匿名FTP的根目錄與子目錄的擁有者是root，所屬族群(group)為system??⑾薅ù嬡∪?如chmod 0755)，如此只有root有寫入的權(quán)力，這能幫助你維持FTP服務(wù)的安???
以下是一個(gè)匿名ftp目錄的設(shè)定范例：
drwxr-xr-x 7 root system 512 Mar 1 15:17 ./
drwxr-xr-x 25 root system 512 Jan 4 11:30 ../
drwxr-xr-x 2 root system 512 Dec 20 15:43 bin/
drwxr-xr-x 2 root system 512 Mar 12 16:23 etc/
drwxr-xr-x 10 root system 512 Jun 5 10:54 pub/

所有的文件和鏈接庫(kù)，特別是那些被FTP daemon使用和那些在 ~ftp/bin 與~ftp/etc 中的文件，應(yīng)該像上面范例中的目錄做相同的保護(hù)。這些文件和鏈接庫(kù)除了不應(yīng)該被ftp帳號(hào)或與ftp相同群組的帳號(hào)所擁有之外，也必須防止寫入。

C.使用合實(shí)拿藶胗肴鶴槲募?我們強(qiáng)烈建議網(wǎng)站不要使用系統(tǒng)中 /etc/passwd 做為~ftp/etc 目錄中的密碼文件或?qū)⑾到y(tǒng)中 /etc/group 做為 ~ftp/etc目錄中的群組文件。在~ftp/etc目錄中放置這些文件會(huì)使得入侵者取得它們。這些文件是可自定的而且不是用來(lái)做存取控制。

我們建議你在 ~ftp/etc/passwd 與 ~ftp/etc/group 使用代替的文件。這些文件必須由root所擁有。DIR命令會(huì)使用這代替的文件來(lái)顯示文件及目錄的擁有者和群組名稱。網(wǎng)站必須確定 ~/ftp/etc/passwd檔中沒(méi)有包含任何與系統(tǒng)中 /etc/passwd文件中相同的帳號(hào)名稱。這些文件應(yīng)該僅僅包含需要顯示的FTP階層架構(gòu)中文件與目錄的擁有者與所屬群組名稱。此外，確定密碼字段是"整理"過(guò)的。例如使用「*」來(lái)取代密碼字段。

以下為cert中匿名ftp的密碼文件范例
ssphwg:*:3144:20:Site Specific Policy Handbook Working Group::
cops:*:3271:20:COPS Distribution::
cert:*:9920:20:CERT::
tools:*:9921:20:CERT Tools::
ftp:*:9922:90:Anonymous FTP::
nist:*:9923:90:NIST Files::

以下為cert中匿名ftp的群組文件范例
cert:*:20:
ftp:*:90: 
II.在你的匿名ftp提供可寫入的目錄

讓一個(gè)匿名ftp服務(wù)允許使用者儲(chǔ)存文件是有風(fēng)險(xiǎn)存在的。我們強(qiáng)烈提醒網(wǎng)站不要自動(dòng)建立一個(gè)上傳目錄，除非已考慮過(guò)相關(guān)的風(fēng)險(xiǎn)。CERT/CC的事件回報(bào)成員接獲許多使用上傳目錄造成非法傳輸版權(quán)軟件或交換帳號(hào)與密碼信息的事件。也接獲惡意地將系統(tǒng)文件灌報(bào)造成denialof service問(wèn)題。

本節(jié)在討論利用三種方法來(lái)解決這個(gè)問(wèn)題。第一種方法是使用一個(gè)修正過(guò)的FTP daemon。第二個(gè)方法是提供對(duì)特定目錄的寫入限制。第三種方法是使用獨(dú)立的目錄。

A. 修正過(guò)的FTP daemon
假如你的網(wǎng)站計(jì)劃提供目錄用來(lái)做文件上傳，我們建議使用修正過(guò)的FTP daemon對(duì)文件上傳的目錄做存取的控制。這是避免使用不需要的寫入?yún)^(qū)域的最好的方法。以下有一些建議：

1.限定上傳的文件無(wú)法再被存取， 如此可由系統(tǒng)管理者檢測(cè)后，再放至于適當(dāng)位置供人下載。
2.限制每個(gè)聯(lián)機(jī)的上傳資料大小。
3.依照現(xiàn)有的磁盤大小限制數(shù)據(jù)傳輸?shù)目偭俊?
4.增加登錄記錄以提前發(fā)現(xiàn)不當(dāng)?shù)氖褂谩?

若您欲修改FTP daemon， 您應(yīng)該可以從廠商那里拿到程序代碼， 或者您可從下列地方取得公開的FTP程序原始碼:wuarchive.wustl.edu ~ftp/packages/wuarchive-ftpd
ftp.uu.net ~ftp/systems/unix/bsd-sources/libexec/ftpd
gatekeeper.dec.com ~ftp/pub/DEC/gwtools/ftpd.tar.Z

CERT/CC 并沒(méi)有正式地對(duì)所提到的FTP daemon做檢測(cè)、評(píng)估或背書。要使用何種FTP daemon由每個(gè)使用者或組織負(fù)責(zé)決定，而CERT/CC建議每個(gè)機(jī)關(guān)在安裝使用這些程序之前， 能做一個(gè)徹底的評(píng)估。

B. 使用保護(hù)的目錄
假如你想要在你的FTP站提供上傳的服務(wù)， 而你又沒(méi)辦法去修改FTP daemon， 我們就可以使用較復(fù)雜的目錄架構(gòu)來(lái)控制存取。這個(gè)方法需要事先規(guī)劃并且無(wú)法百分之百防止FTP可寫入?yún)^(qū)域遭不當(dāng)使用，不過(guò)許多FTP站仍使用此方法。

為了保護(hù)上層的目錄(~ftp/incoming)， 我們只給匿名的使用者進(jìn)入目錄的權(quán)限(chmod 751~ftp/incoming)。這個(gè)動(dòng)作將使得使用者能夠更改目錄位置(cd)，但不允許使用者檢視目錄內(nèi)容。Ex:
drwxr-x--x 4 root system 512 Jun 11 13:29 incoming/

在~ftp/incoming使用一些目錄名只讓你允許他們上傳的人知道。為了要讓別人不易猜到目錄名稱， 我們可以用設(shè)定密碼的規(guī)則來(lái)設(shè)定目錄名稱。請(qǐng)不要使用本文的目錄名稱范例(避免被有心人士發(fā)現(xiàn)您的目錄名， 并上傳文件)
drwxr-x-wx 10 root system 512 Jun 11 13:54 jAjwUth2/
drwxr-x-wx 10 root system 512 Jun 11 13:54 MhaLL-iF/

很重要的一點(diǎn)是，一旦目錄名被有意無(wú)意的泄漏出來(lái)， 那這個(gè)方法就沒(méi)什么保護(hù)作用。只要目錄名稱被大部分人知道， 就無(wú)法保護(hù)那些要限定使用的區(qū)域。假如目錄名被大家所知道，那你就得選擇刪除或更改那些目錄名。

C. 只使用一顆硬盤:
假如你想要在你的FTP站提供上傳的服務(wù)， 而你又沒(méi)辦法去修改FTP daemon，您可以將所有上傳的資料集中在同一個(gè)掛(mount)在~ftp/incoming上的文件系統(tǒng)。可以的話，將一顆單獨(dú)的硬盤掛(mount)在~ftp/incoming上。系統(tǒng)管理者應(yīng)持續(xù)檢視這個(gè)目錄(~ftp/incoming)， 如此便可知道開放上傳的目錄是否有問(wèn)題。

限制FTP用戶目錄
匿名FTP可以很好地限制用戶只能在規(guī)定的目錄范圍內(nèi)活動(dòng)，但正式的FTP用戶默認(rèn)不會(huì)受到這種限制，這樣，他可以自由在根目錄、系統(tǒng)目錄、其他用戶的目錄中讀取一些允許其他用戶讀取的文件。
如何才能把指定的用戶象匿名用戶一樣限制在他們自己的目錄中呢？以下我們以red hat和wu-ftp為例做一介紹。
1 創(chuàng)建一個(gè)組，用groupadd命令，一般可以就用ftp組，或者任何組名.
-----相關(guān)命令: groupadd ftpuser
-----相關(guān)文件: /etc/group
-----相關(guān)幫助: man groupadd
2 創(chuàng)建一個(gè)用戶，如testuser，建立用戶可用adduser命令.如果你已在先前建立了 testuser這個(gè)用戶，可以直接編輯/etc/passwd文件，把這個(gè)用戶加入到ftpuser這個(gè)組中.
-----相關(guān)命令: adduser testuser -g ftpuser
-----相關(guān)文件: /etc/passwd
-----相關(guān)幫助: man adduser
3 修改/etc/ftpaccess文件，加入guestgroup的定義： guestgroup ftpuser我是這樣改的，加的是最后5行
compress yes all
tar yes all
chmod no anonymous
delete no anonymous
overwrite no anonymous
rename no anonymous
chmod yes guest
delete yes guest
overwrite yes guest
rename yes guest
guestgroup ftpuser

除了加 guestgroup ftpuser 這行，其他4行也要加上，否則用戶登陸后，雖然可以達(dá)到用戶不能返回上級(jí)目錄的目的，但是卻只能上傳，不能覆蓋、刪除文件!

-----相關(guān)命令: vi /etc/ftpaccess
-----相關(guān)文件: /etc/ftpaccess
-----相關(guān)幫助: man ftpaccess，man chroot

4 向這個(gè)用戶的根目錄下拷貝必要的文件，拷貝ftp server自帶的目錄，把 /home/ftp/下的bin，lib兩個(gè)目錄拷貝到這個(gè)用戶的根目錄下，因?yàn)橐恍┟?主要是ls)需要Lib支持，否則不能列目錄和文件.

-----相關(guān)命令:
cp -rf /home/ftp/lib /home/testuser;cp -rf /home/ftp/bin /home/testuser

5 另外可別忘了關(guān)掉用戶的telnet權(quán)，否則就白做了噢. 怎么不讓用戶telnet呢?很簡(jiǎn)單:在/etc/shells里加一行/dev/null ，然后可以直接編輯/etc/passwd文件，把用戶的shell設(shè)置為/dev/null就可以了.

-----相關(guān)命令: vi /etc/passwd
這一步可以在步驟2 創(chuàng)建一個(gè)用戶時(shí)就先做好.
-----相關(guān)命令: adduser testuser -g ftpuser -s /dev/null
小經(jīng)驗(yàn):只要把/home/ftp下的bin和lib目錄cp到/etc/skel目錄里，以后新建用戶都會(huì)自動(dòng)把bin和lib目錄CP到用戶目錄里，當(dāng)然你也可以加上public_html目錄和cgi-bin目錄.
經(jīng)過(guò)以上設(shè)置，testuser這個(gè)用戶的所有FTP動(dòng)作將限制在他的/home/testuser目錄中。