FTP安全指南与服务器配置解析
1. FTP安全原则
FTP存在多种主要威胁模型,具体如下:
-匿名访问威胁:匿名用户应仅能列出和下载公共文件,可能允许上传文件到指定的“incoming”目录。绝不能让他们将权限提升至更受信任用户的权限。
-本地用户账户威胁:本地用户通过FTP登录其主目录上传或下载文件时,要防止会话被劫持或窃听,避免用户凭据被盗用在telnet、SSH等其他服务上。
-机密性威胁:至少要保护登录凭据不被泄露,同时也要保护传输的任何敏感数据。
然而,FTP协议的设计在应对这些威胁模型时表现不佳。除了防止权限提升,它在其他方面都存在严重缺陷。RFC 959中描述的FTP协议以明文形式传输认证凭据和会话数据,这使得它几乎不适合用于除匿名交换公共文件之外的任何场景。使用真实用户账户进行FTP操作会使这些用户的凭据面临窃听攻击的风险,后续的会话数据也同样如此。因此,大多数人在FTP安全方面的努力主要集中在正确配置匿名FTP服务和及时更新FTP服务器软件上,保护FTP交易本身几乎是徒劳的。如果用户需要在系统上移动数据,建议他们使用scp、sftp或结合stunnel的rsync。
2. 主动模式与被动模式FTP
FTP对TCP端口的使用存在问题。FTP服务器默认监听TCP端口21,但当FTP客户端连接到该端口时,只有部分交易使用这个初始的“控制”连接。默认情况下,当FTP客户端希望下载文件或目录列表时,FTP服务器会使用一个任意的高TCP端口发起一个新的连接返回给客户端,这个新连接用于传输数据,这种方式被称为
