FTP服务器

关注公众号 jb51net

关闭
首页 > 网站技巧 > 服务器 > FTP服务器 > FileZilla服务器安全加固

FileZilla FTP Server 安全加固图文教程

投稿:mdxy-dxy

FileZilla 是一款免费的跨平台 FTP 应用程序,由 FileZilla Client 和 FileZilla Server 组成。本文档依据 FileZilla Server 0.9.59 版本,向您提供一系列简便有效的加固方案,帮助您安全地使用 FileZilla

FileZilla 是一款免费的跨平台 FTP 应用程序,由 FileZilla Client 和 FileZilla Server 组成。本文档依据 FileZilla Server 0.9.59 版本,向您提供一系列简便有效的加固方案,帮助您安全地使用 FileZilla。

注意:本文提到的大部分配置都是通过 FileZilla 服务器的 Edit > Settings > FileZilla Server Options 菜单来实现的。

设置管理密码

服务器的管理密码默认为空,建议您设置一个较复杂的密码。例如,应至少包含大小写字母、数字、特殊符号中的任意两种。

ad

修改 Banner 信息

在访问 FTP 服务器时,默认会在 Banner 中显示服务器的版本信息,通过屏蔽版本信息显示,可以加大恶意攻击的时间成本。操作步骤如下:

前往 General settings > Welcome message

从右侧的 Custom welcome message 输入框中删除 %v 变量,或者直接将全部文本替换为自定义的文字。

ba

建议勾选下面的 Hide welcome message in log,以减少日志中的垃圾信息。

设置监听地址和端口

建议只在一个地址上启用 FTP 服务。例如,若您只需要在内网使用 FTP 服务时,就不必在服务器绑定的公网地址上开启 FTP 服务。操作步骤如下:

前往 General settings > IP Bindings

在右侧窗口中将默认的 * 号修改为指定的地址。

bi

使用访问控制

设置全局 IP 过滤器,限制允许访问的 IP 地址。操作步骤如下:

前往 General settings > IP Filters

在右侧上部窗口中填入要阻止访问的 IP 范围,在右侧下部窗口中填写允许访问的 IP 范围。

注意:通常采用阻止所有 IP(填写 *),然后仅允许部分 IP 的方式来进行有效的限制。例如,下图中仅允许 192.168.1.0/24 网段访问 FTP 服务。

ac

另外,FileZilla 服务器也支持用户级和用户组级的 IP 过滤器。前往 Edit > Users/Groups 打开对应设置页,在设置页中找到 IP Filters,然后选择需要设置的用户,设置允许和拒绝的 IP 即可。设置方法与全局 IP 过滤器相同。

开启 FTP Bounce 攻击防护

FTP Bounce 攻击是一种利用 FXP 功能的攻击形式,默认情况下服务器未关闭相关功能,建议将相关功能设置为阻止。

如果服务器需要在与某个特定 IP 的服务器之间使用该功能,建议使用 IPs must match exactly 选项,然后通过 IP Filters(见 使用访问控制)来进行限制来访 IP。操作步骤如下:

前往 General settings > Security settings

如下图所示,默认选项已经启用了需要精确匹配连接地址,建议不要修改。

fxp

配置用户认证策略

默认情况下,当出现多次用户认证失败后,服务器会断开与客户端的连接,但并没有严格的限制策略。通过下面的设置,可以对连续多次尝试登录失败的客户端 IP 进行阻止,干扰其连续尝试行为。

前往 General settings > Autoban

下图中的设置会对一小时内连续 10 次登录失败的 IP 进行阻止,阻止时长为 1 个小时。

au

提高用户密码复杂度

FileZilla 服务器未提供限制密码复杂度的选项,且服务器用户是由管理员通过管理接口来添加的,用户也无法通过 FTP 命令来修改密码。因此,建议管理员在添加用户时为用户配置复杂的密码。

最小化访问授权

FileZilla 支持目录级别的访问权限设置,可对某个目录设置文件读 、写、删除、添加、目录创建、删除、列举等权限。建议根据实际应用需要,结合用户权限最小化原则来分配文件夹的权限。

注意:该操作需要提前添加账号和组后才能配置。

ac

启用 TLS 加密认证

FileZilla 服务器支持 TLS 加密功能,用户如果没有证书可以使用自带功能来创建。

TLS

也支持针对单个用户强制启用 TLS 加密访问。

tls2

启动日志记录

FileZilla 服务器默认未开启日志记录,为了方便对各种事件的追查,建议开启日志记录功能,并将日志设置为每天一个日志文件,避免单文件过大。

log

默认情况下,日志已经设置不记录用户密码;但在加固的时候应检查此选项,确保其已启用,避免密码泄露。

pic2

下面的其它网友的补充非常不错

FileZilla Server 默认是以系统服务运行,运行账户为 SYSTEM ,这样非常危险。需要降权并给
予适当的读写权限。

1、建立一个运行 FileZilla Server 的系统账户
1)新增一个用户,名为 FileZilla_HWS ;
2)设置用户 FileZilla_HWS 只属于 Guests 组 ;

2、设置 FileZilla Server 目录的权限
1)找到FileZilla Server执行目录(在系统服务里面获取,服务名默认为FileZilla Server)

给FileZilla Server执行目录目录 Administrators、SYSTEM "完全控制" 权限;给
FileZilla_HWS "完全控制" 权限;
2)找到FTP文件存放目录(FileZilla Server的管理控制台里面获取);
给FTP文件存放目录 Administrators、SYSTEM "完全控制" 权限;FileZilla_HWS "读取/写
入/删除" 权限;
(如有多个FTP文件存放目录,需要都添加上FileZilla_HWS "读取/写入/删除" 权限;)

3、设置FileZilla Server服务
1)设置 FileZilla Server 服务启动帐户为 FileZilla_HWS ;
2)重启 FileZilla Server 服务;

4、测试结果
1)FileZilla Server 运行账户是 FileZilla_HWS ,成功降权;
2)FlashFXP连接测试

“读/写/删除”均正常;

5、其他防护办法
如果您的FileZilla Server不能降权,但又要解决安全问题;可以使用护卫神·防篡改系统(专业版)来解决。
通过护卫神·防篡改系统(专业版)的“进程限制”模块,
设置FileZilla Server只能对FileZilla Server主目录和FTP目录有相关操作权限。
这样黑客就无法通过FileZilla Server入侵服务器了。

您可能感兴趣的文章:
阅读全文