Mejorar la seguridad del servicio de red. Configuración de seguridad de FTP anónimo

                  Configuración de FTP anónimo El FTP anónimo será un servicio valioso si se configura y administra correctamente. La primera sección de este documento proporciona la forma más básica de configurar un FTP anónimo. La segunda sección plantea problemas y problemas cuando un sitio web debe proporcionar un área de directorio grabable en FTP anónimo. La tercera sección proporciona información sobre los Avisos previos relacionados con FTP de CERT. Las siguientes configuraciones se componen de experiencias y sugerencias acumuladas por muchos sitios web en el pasado. Creemos que los sitios web con necesidades individuales pueden tener diferentes configuraciones. I. Configuración de FTP anónimo El sitio web del demonio A.FTP debe asegurarse de que la versión más reciente del demonio FTP esté actualmente en uso. B. Configuración del directorio para FTP anónimo El directorio raíz de ftp anónimo (~ ftp) y el propietario de sus subdirectorios no pueden ser cuentas ftp o cuentas del mismo grupo que ftp. Este es un problema de configuración común. Si estos directorios son propiedad de ftp o de una cuenta con el mismo grupo que ftp, y no existe protección contra las escrituras, el intruso puede agregar archivos (por ejemplo: .rhosts) o modificar otros archivos. Muchos sitios web permiten el uso de una cuenta de root. Deje que el directorio raíz del FTP anónimo y el propietario del subdirectorio sean raíz, cuyo grupo pertenezca al sistema y los derechos de acceso (como chmod 0755), de modo que solo la raíz tenga derecho a escribir, lo que puede ayudarlo a mantener el servicio FTP. Seguridad El siguiente es un ejemplo de la configuración de un directorio ftp anónimo:

 sistema raíz drwxr-xr-x 7 512 1 de marzo 15:17 ./drwxr-xr-x 25 sistema de raíz 512 4 de enero 11:30 ../drwxr-xr -x 2 sistema raíz 512 20 de diciembre 15:43 bin /drwxr-xr-x 2 sistema raíz 512 mar 12 16:23 etc /drwxr-xr-x 10 sistema raíz 512 5 de junio 10:54 pub /todos los archivos y enlaces Las bibliotecas, especialmente las utilizadas por los daemons FTP y aquellas en ~ ftp /bin y ~ ftp /etc, deben tener la misma protección que los directorios en el ejemplo anterior. Estos archivos y bibliotecas de enlaces deben estar protegidos contra escritura, además de ser propiedad de una cuenta ftp o una cuenta con el mismo grupo que ftp. C. Uso de la contraseña y el archivo de grupo apropiados Recomendamos encarecidamente que el sitio web no utilice /etc /passwd en el sistema como el archivo de contraseña en el directorio ~ ftp /etc o el grupo /etc /en el sistema como ~ ftp /etc directorio. Archivo de grupo. Colocar estos archivos en el directorio ~ ftp /etc permitirá a los intrusos obtenerlos. Estos archivos son personalizables y no se utilizan para el control de acceso. Recomendamos que use un archivo alternativo en ~ ftp /etc /passwd y ~ ftp /etc /group. Estos archivos deben ser propiedad de root. El comando DIR utilizará este archivo alternativo para mostrar el nombre del propietario y del grupo del archivo y el directorio. El sitio web debe asegurarse de que el archivo ~ /ftp /etc /passwd no contenga ninguno de los mismos nombres de cuenta que en el archivo /etc /passwd del sistema. Estos archivos solo deben contener el nombre del propietario y del grupo de los archivos y directorios en la jerarquía de FTP que deben mostrarse. Además, asegúrese de que el campo de contraseña esté "organizado". Por ejemplo, use "*" en lugar del campo de contraseña. El siguiente es un ejemplo del archivo de contraseña para ftp anónimo en cert 
 ssphwg: *: 3144: 20: Grupo de trabajo del manual de políticas específicas del sitio :: policías: *: 3271: 20: Distribución COPS :: cert: *: 9920: 20: CERT :: tools: *: 9921: 20: CERT Tools :: ftp: *: 9922: 90: Anonymous FTP :: nist: *: 9923: 90: NIST Files :: El siguiente es un ejemplo de un archivo de grupo para ftp anónimo en cert < PRE> cert: *: 20: ftp: *: 90: II. Proporcione un directorio grabable en su ftp anónimo para que un servicio ftp anónimo permita a los usuarios almacenar archivos en riesgo. Recomendamos encarecidamente al sitio web que no cree automáticamente un directorio de carga a menos que se hayan considerado los riesgos relevantes. Los miembros que devolvieron eventos de CERT /CC recibieron muchos eventos que utilizan el directorio de carga para transferir ilegalmente software con derechos de autor o intercambiar información de cuenta y contraseña. También recibió un informe malicioso del archivo del sistema causado por el problema de la denegación de servicio. Esta sección discute tres maneras de resolver este problema. El primer método es utilizar un demonio FTP modificado. El segundo método es proporcionar restricciones de escritura en directorios específicos. El tercer método es utilizar un directorio separado. A. Demonio FTP modificado Si su sitio web planea proporcionar un directorio para cargar archivos, le recomendamos que utilice el demonio FTP modificado para controlar el directorio de carga de archivos. Esta es la mejor manera de evitar el uso de áreas de escritura no deseadas. Estas son algunas sugerencias: 1. Ya no se puede acceder al archivo cargado limitado, por lo que el administrador del sistema puede detectarlo y luego colocarlo en la ubicación adecuada para descargarlo. 2. Limite el tamaño de cada carga en línea. 3. Limite la cantidad total de transferencia de datos según el tamaño del disco existente. 4. Aumente el registro de inicio de sesión para encontrar un uso inadecuado por adelantado. Si desea modificar el demonio FTP, debe poder obtener el código del programa del proveedor, o puede obtener el código fuente del programa FTP público de: 
 wuarchive.wustl.edu ~ ftp /packages /wuarchive-ftpdftp.uu .net ~ ftp /systems /unix /bsd-sources /libexec /ftpdgatekeeper.dec.com ~ ftp /pub /DEC /gwtools /ftpd.tar.ZCERT /CC no detecta oficialmente el daemon FTP mencionado, Evaluación o aval. El demonio de FTP que se utilizará lo determina cada usuario u organización, y CERT /CC recomienda que cada autoridad realice una evaluación exhaustiva antes de instalar y utilizar estos programas. B. Uso de directorios protegidos Si desea proporcionar servicios cargados en su sitio FTP y no tiene forma de modificar el demonio FTP, podemos usar una arquitectura de directorios más compleja para controlar el acceso. Este método requiere una planificación previa y no es del 100% para evitar el uso indebido del área de escritura de FTP, pero muchas estaciones de FTP todavía utilizan este método. Para proteger el directorio superior (~ ftp /entrante), solo damos acceso a los usuarios anónimos al directorio (chmod751 ~ ftp /entrante). Esta acción permitirá al usuario cambiar la ubicación del directorio (cd) pero no el usuario para ver el contenido del directorio. Ej: drwxr-x - x 4 sistema raíz 512 11 de junio 13:29 entrante /Use algunos nombres de directorio en ~ ftp /entrante solo déjele saber a las personas a quienes usted les permite subir. Para dificultar que otros adivinen el nombre del directorio, podemos establecer el nombre del directorio con las reglas para establecer la contraseña. No use el ejemplo de nombre de directorio en este artículo (para evitar que alguien interesado en subir el nombre del archivo lo encuentre). 13:54 MhaLL-iF /Es importante tener en cuenta que una vez que el nombre del directorio se filtró intencionalmente o no, este método no tiene protección. Mientras la mayoría de las personas conozca el nombre del directorio, es imposible proteger las áreas que desea limitar. Si el nombre del directorio es conocido por todos, entonces tiene que elegir eliminar o cambiar esos nombres de directorio. C. Utilice solo un disco duro. Si desea proporcionar el servicio cargado en su estación FTP y no puede modificar el demonio FTP, puede poner todos los datos cargados en el mismo montaje en ~ ftp /El sistema de archivos en entrante. Si es posible, monte un disco duro separado en ~ ftp /entrante. El administrador del sistema debe continuar viendo este directorio (~ ftp /entrante) para que pueda ver si hay un problema con el directorio de carga abierto. III. Restricción del directorio de usuario de FTP El FTP anónimo puede muy bien restringir la actividad de los usuarios dentro del directorio especificado. Sin embargo, los usuarios de FTP oficiales no están sujetos a esta restricción de forma predeterminada, por lo que pueden usar el directorio raíz, el directorio del sistema y otros. El directorio del usuario lee algunos archivos que otros usuarios pueden leer. ¿Cómo puedo limitar los usuarios especificados a sus propios directorios como usuarios anónimos? A continuación tomamos el sombrero rojo y wu-ftp como ejemplo. 1 Cree un grupo, use el comando groupadd, generalmente puede usar el grupo ftp, o cualquier nombre de grupo. ----- Comandos relacionados: groupadd ftpuser ----- Archivos relacionados: /etc /group ----- Ayuda relacionada: man groupadd 2 Cree un usuario, como testuser, para crear un comando de usuario adduser. Si ha creado previamente el usuario testuser, puede editar directamente el archivo /etc /passwd y agregar el usuario al grupo ftpuser. ----- Comandos relacionados: adduser testuser -g ftpuser ----- Archivos relacionados: /etc /passwd ----- Ayuda relacionada: man adduser 3 Modifique el archivo /etc /ftpaccess, agregue la definición de guestgroup: guestgroup ftpuser Cambié de esta manera, además de las últimas 5 líneas: 
 comprimir sí todo tar sí todos chmod no anónimos borrar no anónimos sobrescribir no anónimos renombrar no anónimos chmod sí invitados borrar sí invitados sobrescribir sí invitados renombrar sí invitados grupo de usuarios ftpuser Guestgroup ftpuser Esta línea, las otras 4 líneas también deben agregarse; de ​​lo contrario, el usuario puede iniciar sesión, aunque el usuario no puede volver al directorio superior, pero solo puede cargar, no puede sobrescribir, eliminar archivos. ----- Comandos relacionados: vi /etc /ftpaccess ----- Archivos relacionados: /etc /ftpaccess ----- Ayuda relacionada: man ftpaccess, man chroot 4 Copie los archivos necesarios al directorio raíz de este usuario, copie el directorio que viene con el servidor ftp. Copie los directorios bin y lib bajo /home /ftp /al directorio raíz de este usuario, ya que algunos comandos (principalmente ls) requieren soporte de Lib, de lo contrario no pueden ser listados y Piezas. ----- Comandos relacionados: cp -rf /home /ftp /lib /home /testuser; cp -rf /home /ftp /bin /home /testuser 5 También, no olvide apagar el telnet a la derecha del usuario, de lo contrario Blanco lo hizo. ¿Por qué no dejar a los usuarios telnet? Muy simple: agregue /dev /null a /etc /shells, luego edite el archivo /etc /passwd directamente y configure el shell del usuario en /dev /null. ----- Comandos relacionados: vi /etc /passwd Este paso se puede hacer primero al crear un usuario en el paso 2. ----- Comandos relacionados: adduser testuser -g ftpuser -s /dev /null Pequeña experiencia: simplemente coloque el directorio bin y lib en /home /ftp en el directorio /etc /skel, el nuevo usuario colocará automáticamente el bin Y el directorio lib del CP al directorio de usuario, por supuesto, también puede agregar el directorio public_html y el directorio cgi-bin. Después de la configuración anterior, todas las acciones de FTP del usuario de testuser se restringirán a su directorio /home /testuser.