一、禁止系統級別用户來登錄 FTP 服務器。
為了提高 FTP 服務器的安全,系統管理員最好能夠為員工設置單獨的 FTP 帳號,而不要把系統級別的用户給普通用户來使用,這會帶來很大的安全隱患。在 VSFTP 服務器中,可以通過配置文件 vsftpd.ftpusers 來管理登陸帳户。
不過這個帳户是一個黑名單,列入這個帳户的人員將無法利用其帳户來登錄 FTP 服務器。部署好 VSFTP 服務器後,我們可以利用 vi 命令來查看這個配置文件,發現其已經有了許多默認的帳户。
其中,系統的超級用户 root 也在其中。可見出於安全的考慮,VSFTP 服務器默認情況下就是禁止 root 帳户登陸 FTP 服務器的。如果系統管理員想讓 root 等系統帳户登陸到 FTP 服務器,則知需要在這個配置文件中將 root 等相關的用户名刪除即可。
不過允許系統帳户登錄 FTP 服務器,會對其安全造成負面的影響,為此我不建議系統管理員這麼做。對於這個文件中相關的系統帳户管理員最好一個都不要改,保留這些帳號的設置。
如果出於其他的原因,需要把另外一些帳户也禁用掉,則可以把帳户名字加入到這個文件中即可。如在服務器上可能同時部署了 FTP 服務器與數據庫服務器。那麼為了安全起見,把數據庫管理員的帳户列入到這個黑名單,是一個不錯的做法。
二、加強對匿名用户的控制。
匿名用户是指那些在 FTP 服務器中沒有定義相關的帳户,而 FTP 系統管理員為了便於管理,仍然需要他們進行登陸。
但是他們畢竟沒有取得服務器的授權,為了提高服務器的安全性,必須要對他們的權限進行限制。在 VSFTP 服務器上也有很多參數可以用來控制匿名用户的權限。系統管理員需要根據 FTP 服務器的安全級別,來做好相關的配置工作。
需要説明的是,匿名用户的權限控制的越嚴格,FTP 服務器的安全性越高,但是同時用户訪問的便利性也會降低。故最終系統管理員還是需要在服務器安全性與便利性上取得一個均衡。
下面是我推薦的幾個針對匿名用户的配置,大家若不清楚該如何配置的話,可以參考這些配置。這些配置兼顧了服務器的安全與用户的使用便利。
一是參數 anon_world_readable_only 。這個參數主要用來控制匿名用户是否可以從 FTP 服務器上下載可閲讀的文件。如果 FTP 服務器部署在企業內部,主要供企業內部員工使用的話,則最好把這個參數設置為 YES 。
然後把一些企業常用表格等等可以公開的文件放置在上面,讓員工在匿名的情況下也可以下載這些文件。這即不會影響到 FTP 服務器的安全,而且也有利於其他員工操作的便利性上。
二是參數 anon_upload_enable 。這個參數表示匿名用户能否在匿名訪問的情況下向 FTP 服務器上傳文件。通常情況下,應該把這個參數設置為 No 。即在匿名訪問時不允許用户上傳文件。
否則的話,隨便哪個人都可以上傳文件的話,那對方若上傳一個病毒文件,那企業不是要遭殃了。故應該禁止匿名用户上傳文件。但是這也有例外。
如有些企業通過 FTP 協議來備份文件。此時如果企業網絡的安全性有所保障的話,可以把這個參數設置為 YES,即允許操作系統調用 FTP 命令往 FTP 服務器上備份文件。