FileZillaFTPServer安全加固的示例分析-創(chuàng)新互聯(lián)

這篇文章主要介紹了FileZilla FTP Server安全加固的示例分析，具有一定借鑒價(jià)值，感興趣的朋友可以參考下，希望大家閱讀完這篇文章之后大有收獲，下面讓小編帶著大家一起了解一下。

創(chuàng)新互聯(lián)公司是一家集網(wǎng)站建設(shè),安州企業(yè)網(wǎng)站建設(shè),安州品牌網(wǎng)站建設(shè),網(wǎng)站定制,安州網(wǎng)站建設(shè)報(bào)價(jià),網(wǎng)絡(luò)營(yíng)銷,網(wǎng)絡(luò)優(yōu)化,安州網(wǎng)站推廣為一體的創(chuàng)新建站企業(yè)，幫助傳統(tǒng)企業(yè)提升企業(yè)形象加強(qiáng)企業(yè)競(jìng)爭(zhēng)力?？沙浞譂M足這一群體相比中小企業(yè)更為豐富、高端、多元的互聯(lián)網(wǎng)需求。同時(shí)我們時(shí)刻保持專業(yè)、時(shí)尚、前沿，時(shí)刻以成就客戶成長(zhǎng)自我，堅(jiān)持不斷學(xué)習(xí)、思考、沉淀、凈化自己，讓我們?yōu)楦嗟钠髽I(yè)打造出實(shí)用型網(wǎng)站。

FileZilla 是一款免費(fèi)的跨平臺(tái) FTP 應(yīng)用程序，由 FileZilla Client 和 FileZilla Server 組成。本文檔依據(jù) FileZilla Server 0.9.59 版本，向您提供一系列簡(jiǎn)便有效的加固方案，幫助您安全地使用 FileZilla。

注意：本文提到的大部分配置都是通過(guò) FileZilla 服務(wù)器的 Edit > Settings > FileZilla Server Options 菜單來(lái)實(shí)現(xiàn)的。

設(shè)置管理密碼

服務(wù)器的管理密碼默認(rèn)為空，建議您設(shè)置一個(gè)較復(fù)雜的密碼。例如，應(yīng)至少包含大小寫字母、數(shù)字、特殊符號(hào)中的任意兩種。

修改 Banner 信息

在訪問(wèn) FTP 服務(wù)器時(shí)，默認(rèn)會(huì)在 Banner 中顯示服務(wù)器的版本信息，通過(guò)屏蔽版本信息顯示，可以加大惡意攻擊的時(shí)間成本。操作步驟如下：

前往 General settings > Welcome message。

從右側(cè)的 Custom welcome message 輸入框中刪除 %v 變量，或者直接將全部文本替換為自定義的文字。

建議勾選下面的 Hide welcome message in log，以減少日志中的垃圾信息。

設(shè)置監(jiān)聽地址和端口

建議只在一個(gè)地址上啟用 FTP 服務(wù)。例如，若您只需要在內(nèi)網(wǎng)使用 FTP 服務(wù)時(shí)，就不必在服務(wù)器綁定的公網(wǎng)地址上開啟 FTP 服務(wù)。操作步驟如下：

前往 General settings > IP Bindings。

在右側(cè)窗口中將默認(rèn)的 * 號(hào)修改為指定的地址。

使用訪問(wèn)控制

設(shè)置全局 IP 過(guò)濾器，限制允許訪問(wèn)的 IP 地址。操作步驟如下：

前往 General settings > IP Filters。

在右側(cè)上部窗口中填入要阻止訪問(wèn)的 IP 范圍，在右側(cè)下部窗口中填寫允許訪問(wèn)的 IP 范圍。

注意：通常采用阻止所有 IP（填寫 *），然后僅允許部分 IP 的方式來(lái)進(jìn)行有效的限制。例如，下圖中僅允許 192.168.1.0/24 網(wǎng)段訪問(wèn) FTP 服務(wù)。

另外，F(xiàn)ileZilla 服務(wù)器也支持用戶級(jí)和用戶組級(jí)的 IP 過(guò)濾器。前往 Edit > Users/Groups 打開對(duì)應(yīng)設(shè)置頁(yè)，在設(shè)置頁(yè)中找到 IP Filters，然后選擇需要設(shè)置的用戶，設(shè)置允許和拒絕的 IP 即可。設(shè)置方法與全局 IP 過(guò)濾器相同。

開啟 FTP Bounce 攻擊防護(hù)

FTP Bounce 攻擊是一種利用 FXP 功能的攻擊形式，默認(rèn)情況下服務(wù)器未關(guān)閉相關(guān)功能，建議將相關(guān)功能設(shè)置為阻止。

如果服務(wù)器需要在與某個(gè)特定 IP 的服務(wù)器之間使用該功能，建議使用 IPs must match exactly 選項(xiàng)，然后通過(guò) IP Filters（見 使用訪問(wèn)控制）來(lái)進(jìn)行限制來(lái)訪 IP。操作步驟如下：

前往 General settings > Security settings。

如下圖所示，默認(rèn)選項(xiàng)已經(jīng)啟用了需要精確匹配連接地址，建議不要修改。

配置用戶認(rèn)證策略

默認(rèn)情況下，當(dāng)出現(xiàn)多次用戶認(rèn)證失敗后，服務(wù)器會(huì)斷開與客戶端的連接，但并沒(méi)有嚴(yán)格的限制策略。通過(guò)下面的設(shè)置，可以對(duì)連續(xù)多次嘗試登錄失敗的客戶端 IP 進(jìn)行阻止，干擾其連續(xù)嘗試行為。

前往 General settings > Autoban。

下圖中的設(shè)置會(huì)對(duì)一小時(shí)內(nèi)連續(xù) 10 次登錄失敗的 IP 進(jìn)行阻止，阻止時(shí)長(zhǎng)為 1 個(gè)小時(shí)。

提高用戶密碼復(fù)雜度

FileZilla 服務(wù)器未提供限制密碼復(fù)雜度的選項(xiàng)，且服務(wù)器用戶是由管理員通過(guò)管理接口來(lái)添加的，用戶也無(wú)法通過(guò) FTP 命令來(lái)修改密碼。因此，建議管理員在添加用戶時(shí)為用戶配置復(fù)雜的密碼。

最小化訪問(wèn)授權(quán)

FileZilla 支持目錄級(jí)別的訪問(wèn)權(quán)限設(shè)置，可對(duì)某個(gè)目錄設(shè)置文件讀 、寫、刪除、添加、目錄創(chuàng)建、刪除、列舉等權(quán)限。建議根據(jù)實(shí)際應(yīng)用需要，結(jié)合用戶權(quán)限最小化原則來(lái)分配文件夾的權(quán)限。

注意：該操作需要提前添加賬號(hào)和組后才能配置。

啟用 TLS 加密認(rèn)證

FileZilla 服務(wù)器支持 TLS 加密功能，用戶如果沒(méi)有證書可以使用自帶功能來(lái)創(chuàng)建。

也支持針對(duì)單個(gè)用戶強(qiáng)制啟用 TLS 加密訪問(wèn)。

啟動(dòng)日志記錄

FileZilla 服務(wù)器默認(rèn)未開啟日志記錄，為了方便對(duì)各種事件的追查，建議開啟日志記錄功能，并將日志設(shè)置為每天一個(gè)日志文件，避免單文件過(guò)大。

默認(rèn)情況下，日志已經(jīng)設(shè)置不記錄用戶密碼；但在加固的時(shí)候應(yīng)檢查此選項(xiàng)，確保其已啟用，避免密碼泄露。

下面的其它網(wǎng)友的補(bǔ)充非常不錯(cuò)

FileZilla Server 默認(rèn)是以系統(tǒng)服務(wù)運(yùn)行，運(yùn)行賬戶為 SYSTEM ，這樣非常危險(xiǎn)。需要降權(quán)并給
予適當(dāng)?shù)淖x寫權(quán)限。

1、建立一個(gè)運(yùn)行 FileZilla Server 的系統(tǒng)賬戶
1）新增一個(gè)用戶，名為 FileZilla_HWS ；
2）設(shè)置用戶 FileZilla_HWS 只屬于 Guests 組 ；

2、設(shè)置 FileZilla Server 目錄的權(quán)限
1）找到FileZilla Server執(zhí)行目錄（在系統(tǒng)服務(wù)里面獲取，服務(wù)名默認(rèn)為FileZilla Server）
；
給FileZilla Server執(zhí)行目錄目錄 Administrators、SYSTEM "完全控制" 權(quán)限；給
FileZilla_HWS "完全控制" 權(quán)限；
2）找到FTP文件存放目錄（FileZilla Server的管理控制臺(tái)里面獲取）；
給FTP文件存放目錄 Administrators、SYSTEM "完全控制" 權(quán)限；FileZilla_HWS "讀取/寫
入/刪除" 權(quán)限；
(如有多個(gè)FTP文件存放目錄，需要都添加上FileZilla_HWS "讀取/寫入/刪除" 權(quán)限；)

3、設(shè)置FileZilla Server服務(wù)
1）設(shè)置 FileZilla Server 服務(wù)啟動(dòng)帳戶為 FileZilla_HWS ；
2）重啟 FileZilla Server 服務(wù)；

4、測(cè)試結(jié)果
1）FileZilla Server 運(yùn)行賬戶是 FileZilla_HWS ，成功降權(quán)；
2）FlashFXP連接測(cè)試

“讀/寫/刪除”均正常；

5、其他防護(hù)辦法
如果您的FileZilla Server不能降權(quán)，但又要解決安全問(wèn)題；可以使用護(hù)衛(wèi)神·防篡改系統(tǒng)（專業(yè)版）來(lái)解決。
通過(guò)護(hù)衛(wèi)神·防篡改系統(tǒng)（專業(yè)版）的“進(jìn)程限制”模塊，
設(shè)置FileZilla Server只能對(duì)FileZilla Server主目錄和FTP目錄有相關(guān)操作權(quán)限。
這樣黑客就無(wú)法通過(guò)FileZilla Server入侵服務(wù)器了。

感謝你能夠認(rèn)真閱讀完這篇文章，希望小編分享的“FileZilla FTP Server安全加固的示例分析”這篇文章對(duì)大家有幫助，同時(shí)也希望大家多多支持創(chuàng)新互聯(lián)，關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，更多相關(guān)知識(shí)等著你來(lái)學(xué)習(xí)!

本文題目：FileZillaFTPServer安全加固的示例分析-創(chuàng)新互聯(lián)
本文地址：http://muchs.cn/article22/dcghcc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供小程序開發(fā)、網(wǎng)站導(dǎo)航、網(wǎng)站設(shè)計(jì)、外貿(mào)建站、全網(wǎng)營(yíng)銷推廣、微信公眾號(hào)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)