44、FTP安全指南与服务器配置解析

FTP安全指南与服务器配置解析

1. FTP安全原则

FTP存在多种主要威胁模型，具体如下：
-匿名访问威胁：匿名用户应仅能列出和下载公共文件，可能允许上传文件到指定的“incoming”目录。绝不能让他们将权限提升至更受信任用户的权限。
-本地用户账户威胁：本地用户通过FTP登录其主目录上传或下载文件时，要防止会话被劫持或窃听，避免用户凭据被盗用在telnet、SSH等其他服务上。
-机密性威胁：至少要保护登录凭据不被泄露，同时也要保护传输的任何敏感数据。

然而，FTP协议的设计在应对这些威胁模型时表现不佳。除了防止权限提升，它在其他方面都存在严重缺陷。RFC 959中描述的FTP协议以明文形式传输认证凭据和会话数据，这使得它几乎不适合用于除匿名交换公共文件之外的任何场景。使用真实用户账户进行FTP操作会使这些用户的凭据面临窃听攻击的风险，后续的会话数据也同样如此。因此，大多数人在FTP安全方面的努力主要集中在正确配置匿名FTP服务和及时更新FTP服务器软件上，保护FTP交易本身几乎是徒劳的。如果用户需要在系统上移动数据，建议他们使用scp、sftp或结合stunnel的rsync。

2. 主动模式与被动模式FTP

FTP对TCP端口的使用存在问题。FTP服务器默认监听TCP端口21，但当FTP客户端连接到该端口时，只有部分交易使用这个初始的“控制”连接。默认情况下，当FTP客户端希望下载文件或目录列表时，FTP服务器会使用一个任意的高TCP端口发起一个新的连接返回给客户端，这个新连接用于传输数据，这种方式被称为