ftp在unix / linux的

ftp的是文件传输协议。 一个新的ftp客户端,使一个tcp / ip连接,以建立一个新的ftp服务器( tcp端口21 ) ,并真实地(或在案件的匿名服务器,用品一个电子邮件地址) 。 客户可以列出,付诸表决,或取出档案。

  

大多数客户机/服务器协议只使用一台服务器端口,而使用ftp的两个,一个是控制连接,处理指令(端口21 ) ,另一种是一个数据连接(端口20 )为传输数据。 数据方面,可以主动或被动。 服务器启动的一个积极方面的基础上有一个端口号指定由客户端,而客户端发起一个被动连接的基础上有一个端口号指定的ftp服务器。 这影响到你的能力,以成功防火墙的ftp ,因为防火墙必须允许动态数据连接基于信息转经指挥方面。 这就要求防火墙能够解码的ftp指挥联系,妥善和跟踪ftp协议的状态转换。 数据方面发生过一个短暂端口(即是一个港口大于1024 ) 。 标准路由器通常不提供这种先进水平,这意味着网络管理员要实行非常宽松的acl 。

ftp的风险

ftp协议的设计是取巧,以安全可靠。 该基地的ftp规格,可以发现在rfc 959 -但是,也有很多扩展。 防火墙厂商恨它,瓦雷兹贩子喜欢它,和保安从业人员应尽量避免。

一些风险运行的ftp是

•与telnet的,没有加密,所以平均值攻击适用。

•与telnet的,有很多的ftp守护进程发布系统/守护进程版本信息时,客户端连接。 这是一个信息泄露。

•兼容rfc兼容的ftp守护进程许可证港口弹跳攻击。 港口弹跳是一项新的技术,攻击者指令一个偏僻的ftp服务器端口扫描无关系统通过明智地使用ftp和港口指挥。 受害人机连接看到从ftp服务器,因此攻击者没有得到难辞其咎。 反弹攻击也可以被用来绕过基本包过滤装置和出口的限制,软件下载。

这是一个老问题,而一些销售商终于打破rfc遵守,以防止这种情况出现。 其他厂商仍然船舶的ftp守护进程容易受到这种"特色" 科研贷记与发现这一弱点。 他的论文,可在网上浏览: http://www.insecure.org/nmap/hobbit.ftpbounce.txt

• ftp协议,是难以防火墙妥当。 建立数据连接, tcp / ip的解决信息,是传下来的控制方面。 以计算出正确的地址/端口一双允许通过,防火墙必须仔细监测控制协商衔接。 基本包过滤装置不具有应用层协议的情报,以做到这一点,因此,大洞要挥拳打在网的acl只是为了支持ftp的。 第二,更严重的问题是,很难防火墙似乎有正确认识和应用之间的对话,客户端和服务器。 这可以被利用来攻击其他网络服务运行于同一系统与ftp服务器。

原先报告的队员,奥尔森,同样的问题,是独立发现的约翰麦克唐纳(也称为视野)和托马斯洛帕蒂奇。 这是对站滞和solaris的ftp服务器,但这一原则适用于任何其他组合如防火墙错误解析ftp的控制流。

• ftp的服务器与船舶所有权分布通常提供很少的存取控制能力。

•访问控制可以迷惑性和易于程序失败。 一些ftp的守护进程谘询文件名为ftpusers ,其中载列的用户,可以不使用ftp的。 这往往混淆新手管理员,即使在经验丰富的手中,导致新用户并没有被包括在内;也就是说,当一个新的用户添加到该系统中,他得到的ftp获得默认。 如果你的网站政策,是基于对最不发达国家的特权原则,这是没有任何帮助。

-写的,匿名f tp的服务器是令人难以置信的努力争取。 不允许任何人写信给你的文件,是难做到的安全。

•默认的umask设置许多的ftp守护进程的结果,在新建立的档案,方便大家。 这是常见的结果,继承了一个疲软的umask从inetd (守护进程会产生至ftp deamon ) 。

•默认情况下,许多专有的ftp守护进程不登录客户端连接。

争取的ftp

如果你想提供匿名ftp服务,以来路不明的客户,认真考虑使用一个专门的,独立的系统(对自己的非军事区小康防火墙) 。 这株有任何突破,在到ftp只能做好服务工作。 而且,正如古语有云: "连锁只是为强作为其最薄弱的环节"

服务器应被剥夺了。 只有ftp服务应该容易向来路不明的客户(例如,互联网) 。

最受欢迎的选择运行一个专有的ftp守护进程是华盛顿大学的ftp守护进程,可从http://www.wu-ftpd.org/ 。 这一增强的ftp服务器上提供了更多的功能,有利于最大限度地减少被滥用。 不过,它有一个历史检举安全明智的。 如果你选择要运行它,准备升级在匆忙之间时,下一个重要的是孔发现,每一个脚本kiddy是拖网在互联网上寻找脆弱吴ftpd设施。

另外,评价的好处运行截下来的ftp守护进程。 丹伯恩斯坦写了一个下拉在ftp更换所谓publicfile ,设计和书面与安全作为其首要目标。 它是理想的匿名ftp 。 下载网页是http://cr.yp.to/publicfile.html 。 publicfile还可以作为一项很基本的网络服务器提供服务的静态内容只。

如果在所有可能,避免跑一个无名氏写的ftp服务器共有。 你很可能就要结束了作为一面镜子,为盗版软件隐藏在暗中命名的目录中。 不仅如此,但写来访问文件艾滋病的攻击者可以利用,甚至轻微不当对你的一部分。 一个非常全面的名单匿名ftp滥用的情况,检查出http://www.uga.edu/ucns/wsg/security/ftp/anonymous_ftp_abuses.html

不同的计划,已建议日期,但没有一个似乎是防弹。 不过,虽然如此,你可以做不如后续证书的意见,在这里: http://www.bristol.ac.uk/is/computing/advice/networks/documentation/anonftp/anonftp.html

最后,激活的ftp守护进程伐木,并确保syslog配置日志log_daemon讯息。 (检查你的ftpd男子页为具体测井设备使用) 。

这是一篇文章说,由安德烈亚斯施密特
免责声明:我们的网站是不负责所载资料由本条规定。 这篇文章根本没有反映看法,意见,思想或信仰的文章目录中的工作人员。

翻译预告:文章" ftp在unix / linux的"被翻译使用的自动翻译服务。 我们真诚地道歉,对任何翻译错误发生。 谢谢你的谅解。

Online: 408 users browsing the articles directory