1. ftp被暴力破解的危害
用戶名泄露。
破解FTP口令和破解系統的其他應用層口令一樣,首先就是得到對方的用戶名。當然得到用戶名的方法也很多,例如可以使用社會工程學來騙取用戶名,或者使用Finger命令來得到用戶名,甚至可以猜測對方的用戶名。
FTP的口令像大多數的Internet服務一樣,FTP使用客戶機/伺服器系統,你在使用一個名叫FTP的客戶機程序時,就和遠程主機(FTP站點)上的服務程序相連了。理論上講,這種想法是很簡單的。當你用客戶機程序時,你的命令就發送出去了,伺服器響應你發送的命令。
2. 在自己電腦上搭建FTP,對電腦有什麼壞處
沒有啥壞處,只是你的硬碟的負荷會加大一點,如果很多人在用你搭建的FTP上傳下載東西可能會讓你的電腦卡一點,除非有邪惡的人給你傳病毒,一般不會有啥事啦
3. FTP服務的優缺點
FTP伺服器的優點是:
1、完全基於網路,具有網路文件的上傳與下載特性。如支持斷點續傳,不受工作組與IP地址限制等。
2、擁有完善的用戶許可權管理系統,比起網路共享來說,可以詳細設置每個用戶的許可權。如只能上傳,不能修改或刪除等。
3、安全性高,可以進行數據的加密傳輸。更好保護個人隱私。
與網路共享比起來:
使用上感覺不如網路共享方便,網路共享的文件可以像本地文件一樣使用。而FTP必須是下載下來才能使用。
4. ftp有什麼用進入ftp會不會有危險
用於控制文件的雙向傳輸。
進入FTP。。。其實你平時上網就是用的FTP方式。。。你說有沒有危險?危險很小啦~~~
5. 如何保證文件傳輸伺服器FTP的安全
,系統的安全性是非常重要的,這是建立
FTP伺服器
者所考慮的
第一個問題
。其安全性主要包括以下幾個方面:一、
未經授權的用戶禁止在伺服器上進行FTP操作。
二、
FTP用戶不能讀取未經系統所有者允許的文件或目錄。
三、
未經允許,FTP用戶不能在伺服器上建立文件或目錄。
四、
FTP用戶不能刪除伺服器上的文件或目錄。
只有在伺服器的/etc/passwd文件中存在名為"FTP"的用戶時,伺服器才可以接受
匿名FTP
連接,匿名FTP用戶可以使用"
anonymous
"或"FTP"作為用戶名,自己的Internet
電子郵件地址
作為保密字。為了解決上述安全性的另外三個問題,應該對FTP主目錄下的
文件屬性
進行管理,建議對每個目錄及其文件採取以下一些措施:FTP主目錄:將這個目錄的所有者設為"FTP",並且將屬性設為所有的用戶都不可寫,防止不懷好意的用戶刪改文件。
FTP/bin目錄:該目錄主要放置一些
系統文件
,應將這個目錄的所有者設為"root"(即
超級用戶
),並且將屬性設為所有的用戶都不可寫。為保證合法用戶可顯示文件,應將目錄中的ls文件屬性設為可執行。
FTP/etc目錄:將這個目錄的所有者設為"root",並且將屬性設為所有的用戶都不可寫。將目錄下的group文件和passwd文件的屬性設為所有用戶只讀屬性,並用編輯器將passwd文件中用戶加過密的口令刪掉。
###NextPage###FTP/pub目錄:將這個目錄的所有者置為"FTP",並且將它的屬性設為所有用戶均可讀、寫、執行。
這樣經過設置,既保證了系統文件不被刪改,又保證了FTP合法用戶的正常訪問。
作為Internet上的FTP伺服器,系統的安全性是非常重要的,這是建立FTP伺服器者所考慮的第一個問題。其安全性主要包括以下幾個方面:一、
未經授權的用戶禁止在伺服器上進行FTP操作。
二、
FTP用戶不能讀取未經系統所有者允許的文件或目錄。
三、
未經允許,FTP用戶不能在伺服器上建立文件或目錄。
四、
FTP用戶不能刪除伺服器上的文件或目錄。
只有在伺服器的/etc/passwd文件中存在名為"FTP"的用戶時,伺服器才可以接受匿名FTP連接,匿名FTP用戶可以使用"anonymous"或"FTP"作為用戶名,自己的Internet電子郵件地址作為保密字。為了解決上述安全性的另外三個問題,應該對FTP主目錄下的文件屬性進行管理,建議對每個目錄及其文件採取以下一些措施:FTP主目錄:將這個目錄的所有者設為"FTP",並且將屬性設為所有的用戶都不可寫,防止不懷好意的用戶刪改文件。
FTP/bin目錄:該目錄主要放置一些系統文件,應將這個目錄的所有者設為"root"(即超級用戶),並且將屬性設為所有的用戶都不可寫。為保證合法用戶可顯示文件,應將目錄中的ls文件屬性設為可執行。
FTP/etc目錄:將這個目錄的所有者設為"root",並且將屬性設為所有的用戶都不可寫。將目錄下的group文件和passwd文件的屬性設為所有用戶只讀屬性,並用編輯器將passwd文件中用戶加過密的口令刪掉。
FTP/pub目錄:將這個目錄的所有者置為"FTP",並且將它的屬性設為所有用戶均可讀、寫、執行。
這樣經過設置,既保證了系統文件不被刪改,又保證了FTP合法用戶的正常訪問。
6. FTP 將數據發送到伺服器之前不加密或編碼或數據。要保護密碼和數據的安全。請用WebDAV 求高手啊!謝謝了
將數據發送到伺服器之前不加密或編碼或數據。要保護密碼和數據。請用WEB文件......恩 找伺服器供應商吧 如果伺服器你自己能管理,請把FTP軟體設置下:有...
7. 如何提高FTP伺服器安全性
FTP是一種文件傳輸協議。有時我們把他形象的叫做文件交流集中地。FTP文件伺服器的主要用途就是提供文件存儲的空間,讓用戶可以上傳或者下載所需要的文件。在企業中,往往會給客戶提供一個特定的FTP空間,以方便跟可以進行一些大型文件的交流,如大到幾百兆的設計圖紙等等。同時,FTP還可以作為企業文件的備份伺服器,如把資料庫等關鍵應用在FTP伺服器上實現異地備份等等。
可見,FTP伺服器在企業中的應用是非常廣泛的。真是因為其功能如此的強大,所以,很多黑客、病毒也開始關注他了。他們企圖通過FTP伺服器為跳板,作為他們傳播木馬、病毒的源頭。同時,由於FTP伺服器上存儲著企業不少有價值的內容。在經濟利益的誘惑下,FTP伺服器也就成為了別人攻擊的對象。
在考慮FTP伺服器安全性工作的時候,第一步要考慮的就是誰可以訪問FTP伺服器。在Vsftpd伺服器軟體中,默認提供了三類用戶。不同的用戶對應著不同的許可權與操作方式。
一類是Real帳戶。這類用戶是指在FTP服務上擁有帳號。當這類用戶登錄FTP伺服器的時候,其默認的主目錄就是其帳號命名的目錄。但是,其還可以變更到其他目錄中去。如系統的主目錄等等。
第二類帳戶實Guest用戶。在FTP伺服器中,我們往往會給不同的部門或者某個特定的用戶設置一個帳戶。但是,這個賬戶有個特點,就是其只能夠訪問自己的主目錄。伺服器通過這種方式來保障FTP服務上其他文件的安全性。這類帳戶,在Vsftpd軟體中就叫做Guest用戶。擁有這類用戶的帳戶,只能夠訪問其主目錄下的目錄,而不得訪問主目錄以外的文件。
在組建FTP伺服器的時候,我們就需要根據用戶的類型,對用戶進行歸類。默認情況下,Vsftpd伺服器會把建立的所有帳戶都歸屬為Real用戶。但是,這往往不符合企業安全的需要。因為這類用戶不僅可以訪問自己的主目錄,而且,還可以訪問其他用戶的目錄。這就給其他用戶所在的空間 帶來一定的安全隱患。所以,企業要根據實際情況,修改用戶雖在的類別。
修改方法:第一步:修改/etc/Vsftpd/vsftpd.conf文件。
默認情況下,只啟用了Real與Anonymous兩類用戶。若我們需要啟用Guest類用戶的時候,就需要把這個選項啟用。修改/etc/Vsftpd/vsftpd.conf文件,把其中的chroot_list_enable=YES這項前面的注釋符號去掉。去掉之後,系統就會自動啟用Real類型的帳戶。
第二步:修改/etc/vsftpd.conf文件。
若要把某個FTP伺服器的帳戶歸屬為Guest帳戶,則就需要在這個文件中添加用戶。通常情況下,FTP伺服器上沒有這個文件,需要用戶手工的創建。利用VI命令創建這個文件之後,就可以把已經建立的FTP帳戶加入到這個文件中。如此的話,某個帳戶就屬於Real類型的用戶了。他們登錄到FTP伺服器後,只能夠訪問自己的主目錄,而不能夠更改主目錄。
第三步:重新啟動FTP伺服器。
按照上述步驟配置完成後,需要重新啟動FTP伺服器,其配置才能夠生效。我們可以重新啟動伺服器,也可以直接利用Restart命令來重新啟動FTP服務。
在對用戶盡心分類的時候,筆者有幾個善意的提醒。
一是盡量採用Guest類型的用戶,而減少Real類行的用戶。一般我們在建立FTP帳戶的時候,用戶只需要訪問自己的主目錄下的文件即可。當給某個用戶的許可權過大時,會對其他用戶文件的安全產生威脅。
在以下幾種情況下,我們要禁止這些賬戶訪問FTP伺服器,以提高伺服器的安全。
一是某些系統帳戶。如ROOT帳戶。這個賬戶默認情況下是Linxu系統的管理員帳戶,其對系統具有最高的操作與管理許可權。若允許用戶以這個賬戶為賬戶名進行登陸的話,則用戶不但可以訪問Linux系統的所有資源,而且,還好可以進行系統配置。這對於FTP伺服器來說,顯然危害很大。所以,往往不允許用戶以這個Root等系統帳戶身份登陸到FTP伺服器上來。
第二類是一些臨時賬戶。有時候我們出於臨時需要,為開一些臨時賬戶。如需要跟某個客戶進行圖紙上的交流,而圖紙本身又比較大時,FTP伺服器就是一個很好的圖紙中轉工具。在這種情況下,就需要為客戶設立一個臨時賬戶。這些賬戶用完之後,一般就加入到了黑名單。等到下次需要再次用到的時候,再啟用他。
在vstftpd伺服器中,要把某些用戶加入到黑名單,也非常的簡單。在Vsftpd軟體中,有一個/etc/vsftpd.user_lise配置文件。這個文件就是用來指定哪些賬戶不能夠登陸到這個伺服器。我們利用vi命令查看這個文件,通常情況下,一些系統賬戶已經加入到了這個黑名單中。FTP伺服器管理員要及時的把一些臨時的或者不再使用的帳戶加入到這個黑名單中。從而才可以保證未經授權的賬戶訪問FTP伺服器。在配置後,往往不需要重新啟動FTP服務,配置就會生效。
不過,一般情況下,不會影響當前會話。也就是說,管理員在管理FTP伺服器的時候,發現有一個非法賬戶登陸到了FTP伺服器。此時,管理員馬上把這個賬戶拉入黑名單。但是,因為這個賬戶已經連接到FTP伺服器上,所以,其當前的會話不會受到影響。當其退出當前會話,下次再進行連接的時候,就不允許其登陸FTP伺服器了。所以,若要及時的把該賬戶禁用掉的話,就需要在設置好黑名單後,手工的關掉當前的會話。
對於一些以後不再需要使用的帳戶時,管理員不需要把他加入黑名單,而是直接刪除用戶為好。同時,在刪除用戶的時候,要記得把用戶對應的主目錄也一並刪除。不然主目錄越來越多,會增加管理員管理的工作量。在黑名單中,只保留那些將來可能利用的賬戶或者不是用作FTP伺服器登陸的賬戶。這不但可以減少伺服器管理的工作量,而且,還可以提高FTP伺服器的安全性。
在系統默認配置下,匿名類型的用戶只可以下載文件,而不能夠上傳文件。雖然這不是我們推薦的配置,但是,有時候出於一些特殊的需要,確實要開啟這個功能。如筆者以前在企業中,利用這個功能實現了對用戶終端文件進行備份的功能。為了設置的方便,就在FTP伺服器上開啟了匿名訪問,並且允許匿名訪問賬戶網某個特定的文件夾中上傳某個文件。
筆者再次重申一遍,一般情況下,是不建議用戶開啟匿名賬戶的文件上傳功能。因為很難保證匿名賬戶上傳的文件中,不含有一些破壞性的程序,如病毒或者木馬等等。有時候,雖然開啟了這個功能,但是往往會在IP上進行限制。如只允許企業內部IP可以進行匿名訪問並上傳文件,其他賬戶則不行。如此的話,可以防止外部用戶未經授權匿名訪問企業的FTP伺服器。若用戶具有合法的賬戶,就可以在外網中登陸到FTP伺服器上。
總之,在FTP伺服器安全管理上,主要關注三個方面的問題。一是未經授權的用戶不能往FTP空間上上傳文件;二是用戶不得訪問未經授權的目錄,以及對這些目錄的文件進行更改,包括刪除與上傳;三是FTP伺服器本身的穩定性。以上三個問題中的前兩部分內容,都可以通過上面的三個方法有效的解決。
8. ftp密碼泄漏會有什麼後果
FTP賬戶和密碼泄露後,可能就會造成FTP伺服器上的信息被他人獲取。
如果你放在租用空間的信息都是可以公開的,他人也沒有什麼好利用的。
9. FTP的防範與攻擊如何實現
------------------------FTP安全考慮—RFC2577----------------------------------
1.簡介
文件傳輸協議規范(FTP)[PR85]提供了一種允許客戶端建立FTP控制連接並在兩台
FTP伺服器間傳輸文件的機制。這種「代理FTP」機制可以用來減少網路的流量,客戶端命
令一台伺服器傳輸文件給另一台伺服器,而不是從第一台伺服器傳輸文件給客戶端,然後從
客戶端再傳輸給第二台伺服器。當客戶端連接到網路的速度特別慢時,這是非常有用的。但
同時,代理FTP還帶來了一個安全問題——「跳轉攻擊(bounce attack)」[CERT97:27]。除
了「跳轉攻擊」,FTP伺服器還可以被攻擊者通過強力來猜測密碼。
本文檔並不考慮當FTP和一些強壯的安全協議(比如IP安全)聯合使用的情況。雖然
這些安全關注並不在本文檔的考慮范圍內,但是它們也應該被寫成文檔。
本文給FTP伺服器的實現者和系統管理員提供了一些信息,如下所示。第二章描述了
FTP「跳轉攻擊」。第三章提供了減少「跳轉攻擊」的建議。第四章給基於網路地址限制訪
問的伺服器提供了建議。第五章提供了限制客戶端強力「猜測密碼」的建議。接著,第六章
簡單的討論了改善保密性的機制。第七章給出了阻止猜測用戶身份的機制。第八章討論了端
口盜用。最後,第九章討論了其它跟軟體漏洞有關而跟協議本身無關的FTP安全問題。
2.跳轉攻擊(Bounce Attack)
RFC959[PR85]中規定的FTP規范提供了一種攻擊知名網路伺服器的一種方法,並且使
攻擊者很難被跟蹤。攻擊者發送一個FTP"PORT"命令給目標FTP伺服器,其中包含該主機
的網路地址和被攻擊的服務的埠號。這樣,客戶端就能命令FTP伺服器發一個文件給被
攻擊的服務。這個文件可能包括根被攻擊的服務有關的命令(如SMTP,NNTP等)。由於是
命令第三方去連接到一種服務,而不是直接連接,就使得跟蹤攻擊者變得困難,並且還避開
了基於網路地址的訪問限制。
例如,客戶端上載包含SMTP命令的報文到FTP伺服器。然後,使用正確的PORT命
令,客戶端命令伺服器打開一個連接給第三方機器的SMTP埠。最後,客戶端命令服務
器傳輸剛才上載的包含SMTP命令的報文給第三方機器。這就使得客戶端不建立任何直接
的連接而在第三方機器上偽造郵件,並且很難跟蹤到這個攻擊者。
3.避免跳轉攻擊
原來的FTP規范[PR85]假定使用TCP進行數據鏈接,TCP埠號從0到1023時報留給
一些眾所周知的服務的,比如郵件,網路新聞和FTP控制鏈接。FTP規范對數據鏈接沒有
限制TCP埠號。因此,使用代理FTP,客戶端就可以命令伺服器去攻擊任何機器上眾所
周知的服務。
為了避免跳轉攻擊,伺服器最好不要打開數據鏈接到小於1024的TCP埠號。如果服
務器收到一個TCP埠號小於1024的PORT命令,那麼可以返回消息504(對這種參數命
令不能實現)。但要注意這樣遺留下那些不知名服務(埠號大於1023)易受攻擊。
一些建議(例如[AOM98]和[Pis94])提供了允許使用除了TCP以外的其他傳輸協議來
建立數據連接的機制。當使用這些協議時,同樣要注意採用類似的防範措施來保護眾所周知
的服務。
另外,我們注意到跳轉攻擊一般需要攻擊者首先上載一個報文到FTP伺服器然後再下
載到准備攻擊的服務埠上。使用適當的文件保護措施就可以阻止這種情況發生。然而攻擊
者也可能通過從遠程FTP伺服器發送一些能破壞某些服務的數據來攻擊它。
禁止使用PORT命令也是避免跳轉攻擊的一種方法。大多數文件傳輸可以僅通過PASV
命令來實現。但這樣做的缺點就是喪失了使用代理FTP的能力,當然代理FTP並不是在所
有場合都需要的。
4.受限制的訪問
一些FTP伺服器希望有基於網路地址的訪問控制。例如,伺服器可能希望限制來自某
些地點的對某些文件的訪問(例如為了某些文件不被傳送到組織以外)。在這種情況下,服
務器在發送受限制的文件之前應該首先確保遠程主機的網路地址在本組織的范圍內,不管是
控制連接還是數據連接。通過檢查這兩個連接,伺服器就被保護避免了這種情況:控制連接
用一台可信任的主機連接而數據連接不是。同樣的,客戶也應該在接受監聽模式下的開放端
口連接後檢察遠程主機的IP地址,以確保連接是由所期望的伺服器建立的。
注意,基於網路地址的受限訪問留下了FTP伺服器易受「地址盜用(spoof)」攻擊。在
spoof攻擊中,攻擊機器可以冒用在組織內的機器的網路地址,從而將文件下載到在組織之
外的未授權的機器上。只要可能,就應該使用安全鑒別機制,比如在[HL97]中列出的安全鑒
別機制。
5.保護密碼
為了減少通過FTP伺服器進行強力密碼猜測攻擊的風險,建議伺服器限制嘗試發送正
確的密碼的次數。在幾次嘗試(3~5次)後,伺服器應該結束和該客戶的控制連接。在結束
控制連接以前,伺服器必須給客戶端發送一個返回碼421(「服務不可用,關閉控制連接」
[PR85])。另外,伺服器在相應無效的「PASS」命令之前應暫停幾秒來消減強力攻擊的有效
性。若可能的話,目標操作系統提供的機制可以用來完成上述建議。
攻擊者可能通過與伺服器建立多個、並行的控制連接破壞上述的機制。為了搏擊多個並
行控制連接的使用,伺服器可以限制控制連接的最大數目,或探查會話中的可疑行為並在以
後拒絕該站點的連接請求。然而上述兩種措施又引入了「服務否決」攻擊,攻擊者可以故意
的禁止有效用戶的訪問。
標准FTP[PR85]在明文文本中使用「PASS」命令發送密碼。建議FTP客戶端和伺服器
端使用備用的鑒別機制,這種鑒別機制不會遭受竊聽。比如,IETF公共鑒別技術工作組開
發的機制[HL97]。
6.私密性
在FTP標准中[PR85]中,所有在網路上被傳送的數據和控制信息(包括密碼)都未被
加密。為了保障FTP傳輸數據的私密性,應盡可能使用強壯的加密系統。在[HL97]中定義
了一個這樣的機制。
7.保護用戶名
當「USER」命令中的用戶名被拒絕時,在FTP標准中[PR85]中定義了相應的返回碼530。
而當用戶名是有效的但卻需要密碼,FTP將使用返回碼331。為了避免惡意的客戶利用USER
操作返回的碼確定一個用戶名是否有效,建議伺服器對USER命令始終返回331,然後拒絕
對無效用戶名合並用戶名和密碼。
8.埠盜用
許多操作系統以遞增的順序動態的分配埠號。通過合法的傳輸,攻擊者能夠觀察當前
由伺服器端分配的埠號,並「猜」出下一個即將使用的埠號。攻擊者可以與這個埠建
立連接,然後就剝奪了下一個合法用戶進行傳輸的能力。或者,攻擊者可以盜取給合法用戶
的文件。另外,攻擊者還可能在從授權用戶發出的數據流中插入偽造的文件。通過使FTP
客戶和伺服器隨機的給數據連接分配埠號,或者要求操作系統隨機分配埠號,或者使用
與系統無關的機制都可以減少埠盜用的發生。
9.基於軟體的安全問題
本文檔的重點是和協議相關的安全問題。另外還有一些成文的FTP安全問題是由於不
完善的FTP實現造成的。雖然這種類型的問題的細節超出本文檔的范圍,還是有必要指出
以下那些過去曾被誤用,今後的實現應該慎重考慮的FTP特性。
? 匿名FTP
匿名FTP服務使客戶端用最少的證明連接到FTP伺服器分享公共文件。如果這樣的用
戶能夠讀系統上所有的文件或者能建立文件,那麼問題就產生了。[CERT92:09] [CERT93:06]
? 執行遠程命令
FTP擴展命令"SITE EXEC"允許客戶端執行伺服器上任意的命令。這種特性顯然需要非
常小心的實現。已經有幾個成文的例子說明攻擊者利用FTP「SITE EXEC」命令可以破壞服
務器的安全性。[CERT94:08] [CERT95:16]
? 調試代碼
前面的一些跟FTP有關危及安全的問題是由於置入了調試特性的軟體造成的。
[CERT88:01]
本文建議有這些功能的FTP伺服器的實現者在發布軟體之前參閱所有的CERT有關這
些問題的攻擊以及類似機制的忠告。
10.結論
使用以上建議可以減少和FTP伺服器有關的安全問題的發生,而不用刪除其功能。