proftpd安全加固:禁用匿名登录

其实,proftpd默认是禁止匿名登录的。今天我们反其道,研究一下如何开启匿名登录。清楚了怎么破防,才能更好得防。

查看/etc/proftpd.conf 配置文件:

# A basic anonymous configuration, with an upload directory
# Enable this with PROFTPD_OPTIONS=-DANONYMOUS_FTP in /etc/sysconfig/proftpd

Include /etc/proftpd/anonftp.conf


# Include other custom configuration files
Include /etc/proftpd/conf.d/*.conf

这么一段配置其实是一个KEY,proftpd已经定义了相对安全的匿名登录配置,都在/etc/proftpd/anonftp.conf文件中。我们只需要修改proftpd的/etc/sysconfig/proftpd环境变量文件中,增加配置PROFTPD_OPTIONS=-DANONYMOUS_FTP即可。

查看/etc/sysconfig/proftpd环境变量文件:

# Set PROFTPD_OPTIONS to add command-line options for proftpd.
# See proftpd(8) for a comprehensive list of what can be used.
#
# The following "Defines" can be used with the default configuration file:
# -DANONYMOUS_FTP       : Enable anonymous FTP
# -DDYNAMIC_BAN_LISTS   : Enable dynamic ban lists (mod_ban)
# -DQOS                 : Enable QoS bits on server traffic (mod_qos)
# -DTLS                 : Enable TLS (mod_tls)
#
# For example, for anonymous FTP and dynamic ban list support:
# PROFTPD_OPTIONS="-DANONYMOUS_FTP -DDYNAMIC_BAN_LISTS"
#PROFTPD_OPTIONS=""
PROFTPD_OPTIONS="-DANONYMOUS_FTP"

如上,已注释掉默认值#PROFTPD_OPTIONS="",并新增了开启匿名登录的参数PROFTPD_OPTIONS="-DANONYMOUS_FTP"。

但是,此时你重启proftpd会发现仍然无法匿名登录。

这是因为proftpd的认证模块会验证用户的shell是否允许登录,在/etc/proftpd/anonftp.conf文件中通过UserAlias            anonymous ftp指令,将ftp用户重命名为anonymous。而ftp用户的shell是:/usr/sbin/nologin。我们通过usermod -s /bin/bash ftp ,然后再次匿名登录就会成功了。

综上,通过上面研究实验,如果要成功匿名登录,如下配置是关键点:
1、UserAlias             anonymous user1
2、用户user1的shell不能为/usr/sbin/nologin、/bin/fasle等
 

那么我们只要确保如上两点没有生效,那么就可以起到禁用匿名登录的目的。

你可能感兴趣的:(操作系统,安全,java,服务器)