首页 » 应用安全 » 其它应用 » FTP » 正文

FileZilla Server 安全加固

本文以 FileZilla Server 0.9.43 版本为依据编写,其它版本的设置可能会存在一些差异。

以下大部分配置都是通过 FileZilla 服务器的“Edit”->“Settings”菜单打开的“FileZilla Server Options”来完成。

 

1,Banner 信息

默认情况下,访问 FTP 服务器的时候,将会显示服务器的版本信息,通过屏蔽服务器的版本信息显示,可以加大攻击者的时间成本。

进入“General settings”下的“Welcome message”,从右侧的“Custom welcome message”输入框中删除“%v”变量,或者直接将全部文本替换为自己的文字;另外,建议勾选下面的“Hide welcome message in log”,可以减少日志中的垃圾信息。

 

2,监听地址和端口

 有时候处于安全考虑,可能需要修改服务器的监听端口,进入“General settings”,在右侧窗口中即可修改。

如果服务器绑定了多个IP地址,有时候为了安全考虑,建议只在其中的一个地址上启用 FTP 服务(例如:当我们只需要在内网使用FTP服务时,就不需要再服务器绑定的公网地址上开启 FTP 服务),进入“General settings”下的“IP Bindings”,在右侧窗口中将默认的 * 号修改为指定的地址。

3,访问限制

 进入“General settings”下的“IP Filters”,在右侧上部的窗口中填入要阻止的 IP 范围,在下面的窗口中填写允许的 IP 范围。通常采用默认阻止所有IP(*号),然后仅允许部分 IP 的方式来进行有效的限制。例如,下图中仅允许 192.168.0.0/16 网段和 172.16.0.0/24 网段访问 FTP 服务。

另外,FileZilla 服务器也支持用户级和用户组级的 IP 过滤器,从“Edit”->“Users/Groups”菜单即可打开对应的设置页,在设置页中找到“IP Filters”,然后选择需要设置的用户,设置允许和拒绝的IP即可。设置方法与全局 IP 过滤器相同。

4. 管理接口

4.1 设置管理密码

 服务器默认管理密码为空,建议设置一个较复杂的密码(至少包含大小写字母、数字、特殊符号中的任意两种)。

4.2 访问限制

 默认情况下服务器仅对本地开放,如果管理者有远程管理的需要,建议修改管理端口号,并对访问管理接口的 IP 进行限制。

5,关闭 FXP

FTP Bounce 攻击是一种利用 FXP 功能的攻击形式,默认情况下服务器未关闭相关的功能,建议将相关功能设置为阻止,如果服务器仍然需要在与某个特定IP的服务器之间使用该功能,建议勾选下面的 “Strict IP Filter” 选项,然后通过 “IP Filters” 来进行限制。相关设置参见“访问限制”章节的内容。

6,用户认证策略

默认情况下,当出现多次用户认证失败后,服务器会断开与客户端的链接,但并没有严格的限制策略,通过下面的设置,可以对连续多次尝试登录失败的客户端 IP 进行阻止,干扰其连续暴力尝试行为。

下图中的设置会对一小时内连续10次登录失败的IP进行阻止,阻止时长为1个小时。

7,密码复杂度

 FileZilla 服务器未提供密码复杂度相关的设置项,并且服务器的用户是由管理员通过管理接口来添加的,用户也无法通过 FTP 命令来修改密码,因此建议管理员在添加用户时使用复杂的密码。

8,访问权限

 FileZilla 支持目录级别的访问权限设置,可正对某个目录设置文件读 、写、删除、添加、目录创建、删除、列举等权限。建议根据实际应用需要,结合用户权限最小化原则来进行文件夹的权限分配。

9,日志记录 

9.1,开启日志记录

FileZilla 服务器默认未开启日志记录,为了方便对各种事件的追查,建议开启日志记录功能,并将日志设置为每天一个日志文件,避免单文件过大的问题。

9.2,日志不记录密码

默认情况下,日志已经设置不记录用户密码,但在加固的时候应检查此选项是否启用。建议启用此项,避免密码泄露。

 

发表评论