最近关于Proftpd的一些修改

之前就发现ftp配置上暴露了很多问题,之前一直没有时间来修改,现在服务器负载降下来了,备份也正常了,打算抽时间来做些安全方面的改善,因此ftp的安全被提到了首位。

从日志上来看,每天都有大量的IP试图连接服务器,本想在防火墙上做些配置,限制非公司网段IP登陆ftp,结果在服务器上应用防火墙后,网站上的一个用PHP写的后台管理程序不能正常访问,最终只好取消防火墙,暂时安装了fail2ban软件来防止暴力破解。在另一台服务器上应用防火墙后,web各项应用都没问题,也屏蔽了非公司网段地址的ftp连接,可是公司地址每次连接ftp时,都要等十几秒才能成功连接,一时也没找到解决的方法。另外,ftp账号不属于相同的组,经常出现某个用户的ftp上传的文件权限对其他ftp用户不足的情况,而且有的ftp用户竟然拥有服务器整个目录的权限,一些ftp账号的用户名跟网站名称有类型之处,很容易被非法人员猜到。

首先新建ftp用户和组,新建一个ftp用户组,再建立属于改组的用户,因为这些ftp用户都需要修改web目录下文件的权限,所以修改proftpd配置文件umask002。然后是限制非ftp组用户登陆,在proftpd的配置文件中,用limit字段俩限制:

  Order allow,deny

  DenyGroup !ftpusers

这里只允许ftpusers组的用户登陆。

公司的网段地址可能是117.64.0.0/16,也可能是183.160.0.0/16,这里只允许公司网段地址登陆;

  Order allow,deny

  Allow from 117.64.

  Deny from all

这样就可以只允许117.64.0.0/16的地址登陆,在也是我在网上看到其他人分享的配置,但我还要允许183.160.0.0/16网段的地址,在网上也一时没找到允许两段的地址配置的,没办法只好在虚拟机下慢慢试了。开始我在上面的字段后面又写了个允许183.160的,经测试,允许183.160的无效,后来在Allow from 117.64. 后面添加一句:

 

  Order allow,deny

  Allow from 117.64.

  Allow from 183.160.

  Deny from all

当时公司地址在117.64网段,是可以登录ftp的,然后我把Allow from 117.64.放在Allow from 183.160.后面,还是可以登录ftp的,所以初步判断这样可以的,就应用了配置,然后再观察一段时间。

新用户建立并分配好了,就要删除原来的ftp账户,开始在虚拟机下测试的,并没有太多问题,只是有些文件会导致权限不够,于是我就先改了权限,然后删除用户,最后修改ftp端口号,这样两台服务器ftp的一些修改就结束了。

                                                              2012-10-16