FileZilla FTP Server 安全加固图文教程
投稿:mdxy-dxy
FileZilla 是一款免费的跨平台 FTP 应用程序,由 FileZilla Client 和 FileZilla Server 组成。本文档依据 FileZilla Server 0.9.59 版本,向您提供一系列简便有效的加固方案,帮助您安全地使用 FileZilla。
注意:本文提到的大部分配置都是通过 FileZilla 服务器的 Edit > Settings > FileZilla Server Options 菜单来实现的。
设置管理密码
服务器的管理密码默认为空,建议您设置一个较复杂的密码。例如,应至少包含大小写字母、数字、特殊符号中的任意两种。
修改 Banner 信息
在访问 FTP 服务器时,默认会在 Banner 中显示服务器的版本信息,通过屏蔽版本信息显示,可以加大恶意攻击的时间成本。操作步骤如下:
前往 General settings > Welcome message。
从右侧的 Custom welcome message 输入框中删除 %v 变量,或者直接将全部文本替换为自定义的文字。
建议勾选下面的 Hide welcome message in log,以减少日志中的垃圾信息。
设置监听地址和端口
建议只在一个地址上启用 FTP 服务。例如,若您只需要在内网使用 FTP 服务时,就不必在服务器绑定的公网地址上开启 FTP 服务。操作步骤如下:
前往 General settings > IP Bindings。
在右侧窗口中将默认的 * 号修改为指定的地址。
使用访问控制
设置全局 IP 过滤器,限制允许访问的 IP 地址。操作步骤如下:
前往 General settings > IP Filters。
在右侧上部窗口中填入要阻止访问的 IP 范围,在右侧下部窗口中填写允许访问的 IP 范围。
注意:通常采用阻止所有 IP(填写 *),然后仅允许部分 IP 的方式来进行有效的限制。例如,下图中仅允许 192.168.1.0/24 网段访问 FTP 服务。
另外,FileZilla 服务器也支持用户级和用户组级的 IP 过滤器。前往 Edit > Users/Groups 打开对应设置页,在设置页中找到 IP Filters,然后选择需要设置的用户,设置允许和拒绝的 IP 即可。设置方法与全局 IP 过滤器相同。
开启 FTP Bounce 攻击防护
FTP Bounce 攻击是一种利用 FXP 功能的攻击形式,默认情况下服务器未关闭相关功能,建议将相关功能设置为阻止。
如果服务器需要在与某个特定 IP 的服务器之间使用该功能,建议使用 IPs must match exactly 选项,然后通过 IP Filters(见 使用访问控制)来进行限制来访 IP。操作步骤如下:
前往 General settings > Security settings。
如下图所示,默认选项已经启用了需要精确匹配连接地址,建议不要修改。
配置用户认证策略
默认情况下,当出现多次用户认证失败后,服务器会断开与客户端的连接,但并没有严格的限制策略。通过下面的设置,可以对连续多次尝试登录失败的客户端 IP 进行阻止,干扰其连续尝试行为。
前往 General settings > Autoban。
下图中的设置会对一小时内连续 10 次登录失败的 IP 进行阻止,阻止时长为 1 个小时。
提高用户密码复杂度
FileZilla 服务器未提供限制密码复杂度的选项,且服务器用户是由管理员通过管理接口来添加的,用户也无法通过 FTP 命令来修改密码。因此,建议管理员在添加用户时为用户配置复杂的密码。
最小化访问授权
FileZilla 支持目录级别的访问权限设置,可对某个目录设置文件读 、写、删除、添加、目录创建、删除、列举等权限。建议根据实际应用需要,结合用户权限最小化原则来分配文件夹的权限。
注意:该操作需要提前添加账号和组后才能配置。
启用 TLS 加密认证
FileZilla 服务器支持 TLS 加密功能,用户如果没有证书可以使用自带功能来创建。
也支持针对单个用户强制启用 TLS 加密访问。
启动日志记录
FileZilla 服务器默认未开启日志记录,为了方便对各种事件的追查,建议开启日志记录功能,并将日志设置为每天一个日志文件,避免单文件过大。
默认情况下,日志已经设置不记录用户密码;但在加固的时候应检查此选项,确保其已启用,避免密码泄露。
下面的其它网友的补充非常不错
FileZilla Server 默认是以系统服务运行,运行账户为 SYSTEM ,这样非常危险。需要降权并给
予适当的读写权限。
1、建立一个运行 FileZilla Server 的系统账户
1)新增一个用户,名为 FileZilla_HWS ;
2)设置用户 FileZilla_HWS 只属于 Guests 组 ;
2、设置 FileZilla Server 目录的权限
1)找到FileZilla Server执行目录(在系统服务里面获取,服务名默认为FileZilla Server)
;
给FileZilla Server执行目录目录 Administrators、SYSTEM "完全控制" 权限;给
FileZilla_HWS "完全控制" 权限;
2)找到FTP文件存放目录(FileZilla Server的管理控制台里面获取);
给FTP文件存放目录 Administrators、SYSTEM "完全控制" 权限;FileZilla_HWS "读取/写
入/删除" 权限;
(如有多个FTP文件存放目录,需要都添加上FileZilla_HWS "读取/写入/删除" 权限;)
3、设置FileZilla Server服务
1)设置 FileZilla Server 服务启动帐户为 FileZilla_HWS ;
2)重启 FileZilla Server 服务;
4、测试结果
1)FileZilla Server 运行账户是 FileZilla_HWS ,成功降权;
2)FlashFXP连接测试
“读/写/删除”均正常;
5、其他防护办法
如果您的FileZilla Server不能降权,但又要解决安全问题;可以使用护卫神·防篡改系统(专业版)来解决。
通过护卫神·防篡改系统(专业版)的“进程限制”模块,
设置FileZilla Server只能对FileZilla Server主目录和FTP目录有相关操作权限。
这样黑客就无法通过FileZilla Server入侵服务器了。