概要:在服务器上隔离FTP服务,可以很大程度的防止这种漏洞利用攻击。这与基于网络的隔离有所不同,这种隔离是通过处理服务的硬件实现的。FTP隔离可以通过在虚拟环境(开源Xen系统管理程序)中运行FTP服务或者改变根目录(chroot)来实现。在改变根目录这种方法中,管理员能够在处理过程中改变磁盘根目录,这基本上限制了超出自身限制范围的操作以及访问文件系统敏感区域的能力。改变根目录可以用几种方法实现;有些例子用“/etc/ftpchroot”为特定用户确定一个chroot环境,有些则使用“ftp-chroot”登录类。这两种方法都建议FTP后台程序在ls支持下重新编译,所以没有特殊的依赖关系。 最后,目前有一种易于安全维护的FTP替代品,叫做Secure Shell(SSH)。与FTP不一样,SSH以加密的形式发送所有内容。SSH使用加密的传输服务,并且把一个文件传输代理放在最高层,避免了FTP服务普遍的安全缺陷和复杂性。为了简单起见,我认为SCP(主要是文件传输)、SFTP(运行在SSH上面的、全新的文件传输协议)
安全技巧:保护企业FTP安全最佳实践,标签:电脑网络知识,网络学习,http://www.laixuea.com在服务器上隔离FTP服务,可以很大程度的防止这种漏洞利用攻击。这与基于网络的隔离有所不同,这种隔离是通过处理服务的硬件实现的。FTP隔离可以通过在虚拟环境(开源Xen系统管理程序)中运行FTP服务或者改变根目录(chroot)来实现。在改变根目录这种方法中,管理员能够在处理过程中改变磁盘根目录,这基本上限制了超出自身限制范围的操作以及访问文件系统敏感区域的能力。改变根目录可以用几种方法实现;有些例子用“/etc/ftpchroot”为特定用户确定一个chroot环境,有些则使用“ftp-chroot”登录类。这两种方法都建议FTP后台程序在ls支持下重新编译,所以没有特殊的依赖关系。
最后,目前有一种易于安全维护的FTP替代品,叫做Secure Shell(SSH)。与FTP不一样,SSH以加密的形式发送所有内容。SSH使用加密的传输服务,并且把一个文件传输代理放在最高层,避免了FTP服务普遍的安全缺陷和复杂性。为了简单起见,我认为SCP(主要是文件传输)、SFTP(运行在SSH上面的、全新的文件传输协议)和以SSH为通道的FTP会话,每种服务都使用了SSH,它们都可以作为FTP可以接受的、更加安全的替代品。在这个分类中比较奇怪的是FTPS(SSL上的FTP)。说实话,我认为FTPS作为 FTP替代品不可行,因为它与防火墙不兼容。使用更加安全的协议需要进行服务隔离,并且要采取适当的服务器安全强化步骤。
FTP另外一个有趣的替代品可能就是数字内容传输服务了,它能够提供安全的文件传输,又能简化管理。它往往是基于云的服务,其中包括文件跟踪、传输通知、流程集成工具以及可编写脚本的API等功能。虽然这些服务原本是为了数字内容的传输而设计的,但我想它们也可以为企业提供好的文件传输服务。
FTP是一个敏感的话题。有些用户喜欢它的便利性,但是总的来讲,网络和安全团队并没有被这一点所迷惑。人们能够指出FTP的多项缺点,并且指出可以替代它的解决方法。有许多方法可以与FTP共存,但如果你的企业更适合使用像SSH这样更加安全的产品,我强烈建议您用它取代FTP。
Tag:网络知识,电脑网络知识,网络学习,电脑学习 - 网络知识