提供匿名FTP服务应该注意的问题
2000-08-23 00:00出处:YESKY作者:不详【我要评论】
[导读] 作为匿名FTP,用户登录名为ANONYMOUS,口令希望为用户的电子邮件地址。匿名 用户的口令一般被用于日志,而有些UNIX系统根本不对匿名FTP作日志……
如果你提供匿名FTP服务,确信所提供信息是你所要提供的,而不要让外部匿名用 户使用一些服务器上的其他信息。在配置匿名FTP时,你可以做的一个预防措施是 限制在提供匿名FTP服务器机器上的信息。这样一来,即使黑客入侵了你的匿名F TP用品,但上面提供的信息对他们来说是没有兴趣的。
许多FTP服务器在开始处理匿名用户的命令时,CHROOT到匿名FTP的区域。如果要 同时支持匿名和有名FTP,那么FTP服务器就要访问到所有的文件了。这就意味着 认为招待了CHTOOT命令后非常安全的FTP用品其实并不安全。
要解决这个问题,你可以修改INETD的配置来代替直接启动FTP服务器,由它来执 行CHROOT命令并启动FTP服务器(使用类似于CHROOTUID的程序)。FTP只是对匿名 用户的访问进行限制,而对于有名用户则应该有他们正常的访问权限。但是在启 动FTP服务器之前就执行CHROOT命令的话,就将使得有名用户也要受到限制。一般 来说在匿名FTP服务器上不要再有有名FTP用户,这样管理方便、安全。 配置一个匿名FTP系统的具体细节根据所使用的操作系统和FTP服务器程序的不同 而有所不同。通常一个FTP服务器程序会提供安装步骤和注意事项,你可以根据上 面的安装步骤进行安装配置。
大多数情况下匿名FTP用户在访问由FTP服务器管理者提供的文件和由匿名用户上 载的文件时,并不知道这些文件是否可靠只能假设它们是安全的。但不幸的事实 并非如此,由于FTP服务器的管理者不可能将他所提供的文件全部进行测试,而他 的文件也是来自其他匿名FTP服务器和匿名用户的上载。人们对于FTP服务器上的 文件是很注意的,特别是那些从文件名就能了解文件内容的文件夹下载次数是很 高的。在一些著名的FTP站点上,总是被不停地访问,当看到一些新文件时就会好 奇将它们下载回去。在一些人们不太访问的FTP站点上的文件一直要到ARCHIE服务 器来进行索引后,才被人们了解。除非你特别地进行了配置不让ARCHIE服务器进 行索引,否则你的FTP服务器会被索引的,因为ARCHIE在查找FTP上强大的能力。
如果你不想让所有的人都看到你提供的一些文件的话,那么最好不要将它们放在 匿名FTP服务器上,尽可能地采用其他方法来提供文件。如果实在没有其他方法的 话,那么你应该使用一个修? 的FTP服务器,如WUARCHIVE服务器。该服务器允 许半匿名访问,即要求匿名用户使用一个另外的口令来访问某些目录。你也可以 将文件存放在只有执行权限而无读权限的目录中,这样将使得人们只能看到文件 名而无法下载文件。不管你采用何种方法,都要让能上载文件到匿名FTP中的内部 用户了解。在一般的匿名FTP上不要放一些私人的秘密的文件,因为在这些地方的 文件全世界所有的匿名用户都能够访问到。一个简单的解决办法是:不允许内部 用户直接写匿名FTP目录,只能由系统管理者帮助他将文件写到匿名FTP的目录中。
