浅谈运维中的安全问题-FTP篇

　　写这一系列文章的动因很简单，在年前最后一个项目的时候在客户现场做了的几个安全加固。由于时间问题，很多东西就拿来主义没经过思考直接更改了，并未细细品味其中的原理和方法，所以特地搭建实验环境，分析下其中的原因，也帮助IT运维的同事在平时的安全巡检与维护中能够关注与理解一些运维上的安全问题。

• FTP存在的安全问题（以VSFTP为事例）

1. 匿名访问

　　 FTP匿名访问是FTP安全问题中最常见的问题，详情可以见wooyun。今天通过一天时间通过反复的复测，尝试，发现一个看似简单的FTP匿名访问实则存在很多隐藏的小坑。所以写出来帮助大家在安全运维的道路上能够更加游刃有余。

　　 首先是大家都知道的，以最常见的Linux FTP软件VSFTP为例，我们分析他的配置文件，发现涉及匿名访问的主要conf项有如下几项。

anonymous_enable=YES       　　是否允许FTP匿名访问登录
anon_upload_enable=YES     　　是否允许FTP匿名上传
anon_mkdir_write_enable=YES　　是否允许FTP匿名用户创建目录

　　 （以下实验过程有些繁琐，了解的朋友可以直接看后面加粗字体结论）

　　  通常朴素的思维，我们把anonymous_enable配置项置为Off了，我们就可以解决匿名访问的问题。这句话这么说的确不假，但wooyun上大FTP匿名访问的数量不在少数，以及自己在做内网渗透时，内网的匿名访问问题更加严重。

　　我经过多次试验，发现FTP匿名访问如果想造成实质危害需要满足很多条件，并非简简单单匿名登录了就能造成危害，以下为条件都需要满足才能造成实质危害：

1. 配置文件三要素要满足，上文提到的vsftp.conf中的三个配置选项必须打开，这个是匿名访问的根本。我测试用的为Cent OS6.5通过yum安装的vsftpd发现配置文件conf中的默认匿名访问是开启的，若运维人员缺乏安全意识可能会导致匿名访问情况发生。
2. 由于匿名访问需要Linux ftp账户登录，所以在var/ftp目录下，存在匿名用户的目录至少为755权限，否则匿名用户是无法上传与下载或读取相关文件。
3. vsftp.conf中必须配置 anon_umask=022 才可造成真正的敏感文件读取泄露问题。我经过反复大量的实验发现，vsftpd上传文件的读写权限与不受系统的umask和原有配置文件中local_umask项影响，要想保证上传文件的可读可写性。必须要运维人员手动添加anon_umask值，来确保ftp目录下上传的文件的权限。

浅谈运维中的安全问题-FTP篇

原文：http://www.cnblogs.com/Hyber/p/6362916.html