漏洞描述

FTP 弱口令或匿名登录漏洞,一般指使用 FTP 的用户启用了匿名登录功能,或系统口令的长度太短、复杂度不够、仅包含数字、或仅包含字母等,容易被黑客攻击,发生恶意文件上传或更严重的入侵行为。

漏洞危害

黑客利用弱口令或匿名登录漏洞直接登录 FTP 服务,上传恶意文件,从而获取系统权限,并可能造成数据泄露。

加固方案

不同 FTP 服务软件可能有不同的防护程序,本修复方案以 Windows server 2008 中自带的 FTP 服务和 Linux 中的vsftpd服务为例,您可参考以下方案对您的 FTP 服务进行安全加固。

重要提示:

  • 请确保您的 FTP 服务软件为官方最新版本。同时,建议您不定期关注官方发布的补丁,并及时进行更新。

  • 强烈建议不要将此类型的服务在互联网开放,您可以使用 VPN 等安全接入手段连接到 FTP 服务器端,同时使用 安全组 来控制访问源IP。

Windows 系统 FTP 服务安全加固**

打开 IIS 信息服务管理器,查看所有 FTP 服务相关的安全加固功能。

  1. 禁用匿名登录

    1. 创建 FTP 帐户。

      在 开始 > 管理工具 > 计算机管理 > 本地用户和组 中,创建用户,设置强密码(密码建议八位以上,包括大小写字母、特殊字符、数字等混合体,不要使用生日、姓名拼音等常见字符串),并设置该用户属于 GUESTS 用户组。

    2. 禁用匿名登录。

      • Windows 2008 系统 FTP 禁用匿名登录服务

      • Windows 2012系统 FTP 禁用匿名登录服务

  2. 启用强密码安全策略

    在 Windows 系统中,强密码策略是通过组策略控制的。您可以打开本地组策略编辑器(gpedit.msc),计算机配置 > Windows 设置 > 安全设置 > 账户策略 > 密码策略,启用密码复杂策略。

    启用 密码必须符合复杂性要求 策略后,在更改或创建用户密码时会执行复杂性策略检测,密码必须符合以下最低要求:

    • 密码不能包含账户名
    • 密码不能包含用户名中超过两个连续字符的部分
    • 密码至少有六个字符长度
    • 密码必须包含以下四类字符中的至少三类字符类型:英文大写字母(A-Z)、英文小写字母(a-z)、10个基本数字(0-9)、特殊字符(例如:!、¥、#、%)

      注意: 推荐 Windows 所有需要进行用户认证的服务都采用上述复杂密码策略。

  3. 启用账户登录失败处理机制

    该机制对登录失败的账户实施强处理,可有效防止暴力破解攻击事件。

  4. 启用 FTP 目录隔离机制

    FTP 目录隔离功能可以防止用户查看其它用户目录的文件,防止数据泄露。

  5. 指定访问源 IP

  6. 启用授权机制

    您可以根据业务需求配置授权规则,限制用户访问的权限。

  7. 启用 SSL 加密传输功能

    1. 启用 SSL 加密传输功能,需要先创建服务器证书:

    2. 在 FTP SSL 设置中,选定已创建的服务器证书即可。

  8. 启用日志功能

    IIS 中的 FTP 日志是默认启用的,您可以根据磁盘空间情况配置日志空间大小和其他策略。

FileZilla FTP Server 安全加固

FileZilla FTP Server 是一个非常流行的开源的、免费的 FTP 客户端、服务器端软件,如果您使用该搭建 FTP 服务,FileZilla FTP Server 提供了相关的安全功能,您可以参考 FileZilla FTP Server 安全加固 方案加固您的 FileZilla FTP Server 的安全。

Linux 系统 vsftpd 服务安全加固

  1. 及时安装更新补丁

    在安装更新补丁前,备份您的 vsftp 应用配置。从 VSFTPD官方网站 获取最新版本的 vsftp 软件安装包,完成升级安装。或者,您可以下载最新版 vsftp 源码包,自行编译后安装更新。您也可以执行yum update vsftpd命令通过 yum 源进行更新。

  2. 禁用匿名登录服务

    1. 添加一个新用户(test),并配置强密码。例如,执行useradd -d /home -s /sbin/nologin test命令。

      • 其中,/sbin/nologin参数表示该用户不能登录 Linux shell 环境。
      • test为用户名。
      • 通过passwd test命令,为该用户配置强密码。密码长度建议八位以上,且密码应包括大小写字母、特殊字符、数字混合体,且不要使用生日、姓名拼音等常见字符串作为密码。
    2. 修改配置文件 vsftpd.conf,执行#vim /etc/vsftpd/vsftpd.conf命令。

      anonymous_enable=NO,将该参数配置为 NO 表示禁止匿名登录,必须要创建用户认证后才能登录 FTP 服务。

  3. 禁止显示 banner 信息

    修改 VSFTP 配置文件 vsftpd.conf,设置ftpd_banner=Welcome。重启 vsftp 服务后,即不显示 banner 信息。

    1. >ftp 192.168.10.200
    2. Connected to 192.168.10.200.
    3. 220 Welcome
    4. User (192.168.10.200:(none)):
  4. 限制 FTP 登录用户

    在 ftpusers 和 user_list 文件中列举的用户都是不允许访问 FTP 服务的用户(例如 root、bin、daemon 等用户)。除了需要登录 FTP 的用户外,其余用户都应该添加至此拒绝列表中。

  5. 限制 FTP 用户目录

    1. 修改 VSFTP 配置文件 vsftpd.conf。

      1. chroot_list_enable=YES
      2. chroot_list_file=/etc/vsftpd/chroot_list
    2. 新建 /etc/vsftpd/chroot_list 文件,并添加用户名。例如,将 user1 添加至该文件,则 user1 登录 FTP 服务后,只允许在 user1 用户的 home 目录中活动。

  6. 修改监听地址和默认端口

    例如,修改 VSFTP 配置文件 vsftpd.conf,设置监听 1.1.1.1 地址的 8888 端口。

    1. listen_address=1.1.1.1
    2. listen_port=8888
  7. 启用日志记录

    修改 VSFTP 配置文件 vsftpd.conf,启用日志记录。

    1. xferlog_enable=YES
    2. xferlog_std_format=YES

    如果您需要自定义日志存放位置,可以修改xferlog_file=/var/log/ftplog

  8. 其他安全配置

    修改 VSFTP 配置文件 vsftpd.conf。

    1. //限制连接数
    2. max_clients=100
    3. max_per_ip=5
    4. //限制传输速度
    5. anon_max_rate=81920
    6. local_max_rate=81920

注意: 如果您不需要使用 FTP 服务,建议您关闭该服务。

转载于:https://www.cnblogs.com/Fluorescence-tjy/p/10933113.html

FTP匿名登录或弱口令漏洞及服务加固相关推荐

  1. snmp的团体名配置_snmp默认团体名/弱口令漏洞及安全加固

    0x00基础知识 简单网络管理协议(SNMP)被广泛用于计算机操作系统设备.网络设备等领域监测连接到网络上的设备是否有任何引起管理上关注的情况.在运行SNMP服务的设备上,若管理员配置不当运行默认团体 ...

  2. snmp默认团体名/弱口令漏洞及安全加固

    https://cloud.tencent.com/developer/news/14370

  3. cmd 220 ftp 远程主机关闭连接_针对一些弱口令漏洞的解决办法——设置远程管理登录的配置...

    弱口令漏洞描述 弱口令的漏洞的存在很大原因上是因为使用者的不良使用习惯导致的,当然也有一些是因为系统或者应用启用时未设置可用账户的密码信息而使用默认的配置:这就给攻击者毫不费力攻进信息系统的机会了. ...

  4. 存在弱口令漏洞_【安全漏洞通告】secnet安网的AC集中管理平台存在弱口令漏洞...

    安全漏洞通告 INFORMATION secnet安网的AC集中管理平台存在弱口令漏洞 01 漏洞背景 广州安网通信技术有限公司(简称"安网通信")是一家提供网络安全设备,网络通讯 ...

  5. Kali系统MSF模块暴力破解MySQL弱口令漏洞

    一.实验环境 1.攻击方: 攻击环境使用KALI系统(使用虚拟机搭建)的Metasploit模块,msfconsole是metasploit中的一个工具,它集成了很多漏洞的利用的脚本,并且使用起来很简 ...

  6. SNMP弱口令漏洞的使用

    参考地址: 地址:https://www.cnblogs.com/-wenli/p/9571057.html https://www.cnblogs.com/Fluorescence-tjy/p/10 ...

  7. 服务器弱口令修改,Tomcat服务器弱口令漏洞攻击实验

    1.在XP系统上搭建Tomcat服务器平台: 2.在另一台虚拟机上利用弱口令漏洞上传木马程序,使得XP系统中木马. 实验步骤 一.搭建Tomcat服务器平台 1.安装JAVAJDK 环境变量的配置:( ...

  8. 墨者学院tomcat后台弱口令漏洞利用

    墨者学院tomcat后台弱口令漏洞利用 点击之后要我们登录,这里abc123:999user是base64解码之后的结果,可见要爆破base64编码,这里不写爆破过程了,下一期出一下爆破过程,这里直接 ...

  9. XXL-JOB任务调度中心后台默认弱口令漏洞

    1.漏洞描述 XXL-JOB任务调度中心后台存在默认弱口令漏洞,攻击者可通过输入默认的弱口令,进入后台,可进行进一步攻击. 2.资产查找 FOFA:app="XXL-JOB" || ...

最新文章

  1. 如何用 Python 将 Excel 表格转成可视化图形?| 原力计划
  2. HTTP 错误 500.19- Internal Server Error 错误解决方法
  3. CentOS 7下搭建LAMP并把MySQL单独分离
  4. Strom的trident单词计数代码
  5. 高可用Eureka注册中心配置说明(双机部署)
  6. android开发环境的调研
  7. BZOJ4012[HNOI2015]开店——树链剖分+可持久化线段树/动态点分治+vector
  8. python变量图片_在Python中向3D图添加第4个变量
  9. 你不得不知道的通信行业基础介绍
  10. springcloud+eureka+seata实现分布式事务处理
  11. html p首字母缩进,css如何控制首行缩进2个字符?
  12. 2021年模架行业如何乘风破浪?看行业知名人士畅谈模架市场趋势!
  13. Linux操作命令分类详解 - 用户权限(三)
  14. [生存志] 第47节 夏姬媚株林
  15. php编写蜘蛛池站群教程,快车蜘蛛池站群程序 v2.0
  16. 阿里云服务器ECS怎么重装系统?
  17. 阿里云ACP云计算认证通过总结
  18. 阴阳师服务器维护2月20,阴阳师体验服2月20日更新了什么 2.20更新维护公告
  19. A股上市公司现场检查随机抽查数据
  20. DDR2/3-PCB设计规则

热门文章

  1. ASP.NET MVC
  2. Java 复制List的值
  3. JavaWeb学习总结(三)——Tomcat服务器学习和使用(二)
  4. Android核心分析之二十三Andoird GDI之基本原理及其总体框架
  5. Android杂谈--网络状态判断(3G/WIFI)
  6. mysql 如何将一个库的一个表的数据复制到另一个库中的一个表
  7. 利用OpenCV的SimpleBlobDetector检测图像的奇异区域(斑点)
  8. OpenCV2.4.X怎样使开发出来的exe文件或软件可独立运行?
  9. 字符集问题的初步探讨-乱码的产生
  10. acwing yxc总结时间算法复杂度