我要评论filezilla 是一款免费的跨平台 ftp 应用程序,由 filezilla client 和 filezilla server 组成。本文档依据 filezilla server 0.9.59 版本,向您提供一系列简便有效的加固方案,帮助您安全地使用 filezilla。
注意:本文提到的大部分配置都是通过 filezilla 服务器的 edit > settings > filezilla server options 菜单来实现的。
设置管理密码
服务器的管理密码默认为空,建议您设置一个较复杂的密码。例如,应至少包含大小写字母、数字、特殊符号中的任意两种。
修改 banner 信息
在访问 ftp 服务器时,默认会在 banner 中显示服务器的版本信息,通过屏蔽版本信息显示,可以加大恶意攻击的时间成本。操作步骤如下:
前往 general settings > welcome message。
从右侧的 custom welcome message 输入框中删除 %v 变量,或者直接将全部文本替换为自定义的文字。
建议勾选下面的 hide welcome message in log,以减少日志中的垃圾信息。
设置监听地址和端口
建议只在一个地址上启用 ftp 服务。例如,若您只需要在内网使用 ftp 服务时,就不必在服务器绑定的公网地址上开启 ftp 服务。操作步骤如下:
前往 general settings > ip bindings。
在右侧窗口中将默认的 * 号修改为指定的地址。
使用访问控制
设置全局 ip 过滤器,限制允许访问的 ip 地址。操作步骤如下:
前往 general settings > ip filters。
在右侧上部窗口中填入要阻止访问的 ip 范围,在右侧下部窗口中填写允许访问的 ip 范围。
注意:通常采用阻止所有 ip(填写 *),然后仅允许部分 ip 的方式来进行有效的限制。例如,下图中仅允许 192.168.1.0/24 网段访问 ftp 服务。
另外,filezilla 服务器也支持用户级和用户组级的 ip 过滤器。前往 edit > users/groups 打开对应设置页,在设置页中找到 ip filters,然后选择需要设置的用户,设置允许和拒绝的 ip 即可。设置方法与全局 ip 过滤器相同。
开启 ftp bounce 攻击防护
ftp bounce 攻击是一种利用 fxp 功能的攻击形式,默认情况下服务器未关闭相关功能,建议将相关功能设置为阻止。
如果服务器需要在与某个特定 ip 的服务器之间使用该功能,建议使用 ips must match exactly 选项,然后通过 ip filters(见 使用访问控制)来进行限制来访 ip。操作步骤如下:
前往 general settings > security settings。
如下图所示,默认选项已经启用了需要精确匹配连接地址,建议不要修改。
配置用户认证策略
默认情况下,当出现多次用户认证失败后,服务器会断开与客户端的连接,但并没有严格的限制策略。通过下面的设置,可以对连续多次尝试登录失败的客户端 ip 进行阻止,干扰其连续尝试行为。
前往 general settings > autoban。
下图中的设置会对一小时内连续 10 次登录失败的 ip 进行阻止,阻止时长为 1 个小时。
提高用户密码复杂度
filezilla 服务器未提供限制密码复杂度的选项,且服务器用户是由管理员通过管理接口来添加的,用户也无法通过 ftp 命令来修改密码。因此,建议管理员在添加用户时为用户配置复杂的密码。
最小化访问授权
filezilla 支持目录级别的访问权限设置,可对某个目录设置文件读 、写、删除、添加、目录创建、删除、列举等权限。建议根据实际应用需要,结合用户权限最小化原则来分配文件夹的权限。
注意:该操作需要提前添加账号和组后才能配置。
启用 tls 加密认证
filezilla 服务器支持 tls 加密功能,用户如果没有证书可以使用自带功能来创建。
也支持针对单个用户强制启用 tls 加密访问。
启动日志记录
filezilla 服务器默认未开启日志记录,为了方便对各种事件的追查,建议开启日志记录功能,并将日志设置为每天一个日志文件,避免单文件过大。
默认情况下,日志已经设置不记录用户密码;但在加固的时候应检查此选项,确保其已启用,避免密码泄露。
下面的其它网友的补充非常不错
filezilla server 默认是以系统服务运行,运行账户为 system ,这样非常危险。需要降权并给
予适当的读写权限。
1、建立一个运行 filezilla server 的系统账户
1)新增一个用户,名为 filezilla_hws ;
2)设置用户 filezilla_hws 只属于 guests 组 ;
2、设置 filezilla server 目录的权限
1)找到filezilla server执行目录(在系统服务里面获取,服务名默认为filezilla server)
;
给filezilla server执行目录目录 administrators、system "完全控制" 权限;给
filezilla_hws "完全控制" 权限;
2)找到ftp文件存放目录(filezilla server的管理控制台里面获取);
给ftp文件存放目录 administrators、system "完全控制" 权限;filezilla_hws "读取/写
入/删除" 权限;
(如有多个ftp文件存放目录,需要都添加上filezilla_hws "读取/写入/删除" 权限;)
3、设置filezilla server服务
1)设置 filezilla server 服务启动帐户为 filezilla_hws ;
2)重启 filezilla server 服务;
4、测试结果
1)filezilla server 运行账户是 filezilla_hws ,成功降权;
2)flashfxp连接测试
“读/写/删除”均正常;
5、其他防护办法
如果您的filezilla server不能降权,但又要解决安全问题;可以使用(专业版)来解决。
通过护卫神·防篡改系统(专业版)的“进程限制”模块,
设置filezilla server只能对filezilla server主目录和ftp目录有相关操作权限。
这样黑客就无法通过filezilla server入侵服务器了。
您可能感兴趣的文章:
如您对本文有疑问或者有任何想说的,请 点击进行留言回复,万千网友为您解惑!
![iis7配置zend framework的地址重写规则[url_rewrite]](http://www.lhsxpumps.com/_images5/10qianwan/20200522/s_0_202005221226052625.png)
网友评论