|
(1)未经授权的用户禁止进行FTP操作,FTP使用的账号必须在Password文件中有记载,并且它的口令不能为空。凡是令被FTP服务器拒绝访问的账号和口令就记录在FTP的保护进程FTP的/ete/FTPuser文件中,凡在此文件出现的用户将拒绝访问。 (2)保护FTP用的文件和目录 1)FTP\\bin目录的所有者设置为root,此目录主要放置系统文件,设置为用户不可访问的文件。 2)FTP\\exe目录的所有者设置为root,此目录存放group文件和password文件,设置为只读属性,并将文件password中用户加密过的口令删除,但不删除文件中已有加密的口令。 3)FTP\\pub目录的所有者设置为FTP,设为所有用户均可读和可写,以保证FTP合法用户的正常访问。 4)FTP的主目录的所有者设置为“FTP”,主目录设置为所有用户不可写,以防止用户删除主目录文件。注意,设置为FTP与设置为“FTP”有不同的含义。 (3)尽量确保用上有上述扩展安全功能的FTP协议,扩展安全功能不再在此重述,见2.7.2节。 (4)尽可能确保能拥有最新的FTP Daemon服务版本。 1)由于有些业务的需要,在匿名FTP上配置有可写目录,但一定要注意有受攻击的风险。 2)系统文件不要放在FTP\\exe目录中,以防黑客闯入并复制。 3)不允许匿名用户去编写目录或文件,以防黑客存放偷来的文件。 4)文件和库,包括Daemon使用的文件和在FTP\\bin及FTP/ete F的文件,也应当有和这些目录同样的保护,它们不属FTP所有,也不与其在同一组中,并有写保护。 5)root拥有FTP根目录及其下级目录,只允许root对其代码有写的极限。 6)设定FTP目录时,匿名FTP根目录“FTP”和其下级目录不应属于FTP账户所有,或者不与它在同一组内。 |
|
|
