淺談運維中的安全問題-FTP篇

 

　　寫這一系列文章的動因很簡單，在年前最後一個項目的時候在客戶現場作了的幾個安全加固。因爲時間問題，不少東西就拿來主義沒通過思考直接更改了，並未細細品味其中的原理和方法，因此特意搭建實驗環境，分析下其中的緣由，也幫助IT運維的同事在平時的安全巡檢與維護中可以關注與理解一些運維上的安全問題。

　  FTP存在的安全問題

• 匿名訪問

　　 FTP匿名訪問是FTP安全問題中最多見的問題，詳情能夠見wooyun。今天經過一天時間經過反覆的複測，嘗試，發現一個看似簡單的FTP匿名訪問實則存在不少隱藏的小坑。因此寫出來幫助你們在安全運維的道路上可以更加遊刃有餘。

　　 首先是你們都知道的，以最多見的Linux FTP軟件VSFTP爲例，咱們分析他的配置文件，發現涉及匿名訪問的主要conf項有以下幾項。

 

anonymous_enable=YES       　　是否容許FTP匿名訪問登陸
anon_upload_enable=YES     　　是否容許FTP匿名上傳
anon_mkdir_write_enable=YES　　是否容許FTP匿名用戶建立目錄

　　

　　（如下實驗過程有些繁瑣，瞭解的朋友能夠直接看後面加粗字體結論）

　　  一般樸素的思惟，咱們把anonymous_enable配置項置爲Off了，咱們就能夠解決匿名訪問的問題。這句話這麼說的確不假，但wooyun上大FTP匿名訪問的數量不在少數，以及本身在作內網滲透時，內網的匿名訪問問題更加嚴重。

　　　

　　我通過屢次試驗，發現FTP匿名訪問若是想形成實質危害須要知足不少條件，並不是簡簡單單匿名登陸了就能形成危害，如下爲條件都須要知足才能形成實質危害：

1. 配置文件三要素要知足，上文提到的vsftp.conf中的三個配置選項必須打開，這個是匿名訪問的根本。我測試用的爲Cent OS6.5經過yum安裝的vsftpd發現配置文件conf中的默認匿名訪問是開啓的，若運維人員缺少安全意識可能會致使匿名訪問狀況發生。
2. 因爲匿名訪問須要Linux ftp帳戶登陸，因此在var/ftp目錄下，存在匿名登陸的目錄至少爲755權限，不然匿名用戶是沒法上傳與下載或讀取相關文件。
3. vsftp.conf中必須配置 anon_umask=022 纔可形成真正的敏感文件讀取泄露問題。我通過反覆大量的實驗發現，vsftpd上傳文件的讀寫權限與不受系統的umask和原有配置文件中local_umask項影響，要想保證上傳文件的可讀可寫性。必需要運維人員手動添加anon_umask值，來確保ftp目錄下上傳的文件可讀可下載。

　　結論：匿名訪問不管在內網仍是外網都應該被杜絕的，尤爲wooyun上大量案例使用FTP匿名訪問，經過實驗應該是企業內部將FTP當作了一個便攜式局域網「U盤」使用形成了相關的安全問題。

• 未限制登陸用戶訪問目錄權限

　　未限制FTP登錄用戶在本身的家目錄中活動，致使可遍歷系統的敏感文件，若系統umask設置不當，可上傳寫入木馬等。輸入/etc發現目錄依舊能夠訪問。致使服務器安全出現問題。

　　

　　vsftp默認登陸，用戶在home家目錄下的ftpuser下。

　　

 

　　咱們能夠經過以下方法來加固，作法如不少博客文章介紹的同樣，編輯vsftpd.conf目錄下的文件特定配置以下：

　　

chroot_local_user=YES
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list

　　除了chroot_list中的用戶都不能訪問上級根目錄，效果以下：

　　

　　將ftpuser添加進入，chroot_list再次實驗，效果以下：

　　

　　

　　如下是一些，本身在安全加固中FTP方面的一些淺顯的認識，但願能幫助到你們。