FileZilla FTP Server安全加固的示例分析

這篇文章主要介紹了FileZilla FTP Server安全加固的示例分析，具有一定借鑒價(jià)值，感興趣的朋友可以參考下，希望大家閱讀完這篇文章之后大有收獲，下面讓小編帶著大家一起了解一下。

FileZilla 是一款免費(fèi)的跨平臺(tái) FTP 應(yīng)用程序，由 FileZilla Client 和 FileZilla Server 組成。本文檔依據(jù) FileZilla Server 0.9.59 版本，向您提供一系列簡便有效的加固方案，幫助您安全地使用 FileZilla。

注意：本文提到的大部分配置都是通過 FileZilla 服務(wù)器的 Edit > Settings > FileZilla Server Options 菜單來實(shí)現(xiàn)的。

設(shè)置管理密碼

服務(wù)器的管理密碼默認(rèn)為空，建議您設(shè)置一個(gè)較復(fù)雜的密碼。例如，應(yīng)至少包含大小寫字母、數(shù)字、特殊符號(hào)中的任意兩種。

修改 Banner 信息

在訪問 FTP 服務(wù)器時(shí)，默認(rèn)會(huì)在 Banner 中顯示服務(wù)器的版本信息，通過屏蔽版本信息顯示，可以加大惡意攻擊的時(shí)間成本。操作步驟如下：

前往 General settings > Welcome message。

從右側(cè)的 Custom welcome message 輸入框中刪除 %v 變量，或者直接將全部文本替換為自定義的文字。

建議勾選下面的 Hide welcome message in log，以減少日志中的垃圾信息。

設(shè)置監(jiān)聽地址和端口

建議只在一個(gè)地址上啟用 FTP 服務(wù)。例如，若您只需要在內(nèi)網(wǎng)使用 FTP 服務(wù)時(shí)，就不必在服務(wù)器綁定的公網(wǎng)地址上開啟 FTP 服務(wù)。操作步驟如下：

前往 General settings > IP Bindings。

在右側(cè)窗口中將默認(rèn)的 * 號(hào)修改為指定的地址。

使用訪問控制

設(shè)置全局 IP 過濾器，限制允許訪問的 IP 地址。操作步驟如下：

前往 General settings > IP Filters。

在右側(cè)上部窗口中填入要阻止訪問的 IP 范圍，在右側(cè)下部窗口中填寫允許訪問的 IP 范圍。

注意：通常采用阻止所有 IP（填寫 *），然后僅允許部分 IP 的方式來進(jìn)行有效的限制。例如，下圖中僅允許 192.168.1.0/24 網(wǎng)段訪問 FTP 服務(wù)。

另外，F(xiàn)ileZilla 服務(wù)器也支持用戶級(jí)和用戶組級(jí)的 IP 過濾器。前往 Edit > Users/Groups 打開對應(yīng)設(shè)置頁，在設(shè)置頁中找到 IP Filters，然后選擇需要設(shè)置的用戶，設(shè)置允許和拒絕的 IP 即可。設(shè)置方法與全局 IP 過濾器相同。

開啟 FTP Bounce 攻擊防護(hù)

FTP Bounce 攻擊是一種利用 FXP 功能的攻擊形式，默認(rèn)情況下服務(wù)器未關(guān)閉相關(guān)功能，建議將相關(guān)功能設(shè)置為阻止。

如果服務(wù)器需要在與某個(gè)特定 IP 的服務(wù)器之間使用該功能，建議使用 IPs must match exactly 選項(xiàng)，然后通過 IP Filters（見 使用訪問控制）來進(jìn)行限制來訪 IP。操作步驟如下：

前往 General settings > Security settings。

如下圖所示，默認(rèn)選項(xiàng)已經(jīng)啟用了需要精確匹配連接地址，建議不要修改。

配置用戶認(rèn)證策略

默認(rèn)情況下，當(dāng)出現(xiàn)多次用戶認(rèn)證失敗后，服務(wù)器會(huì)斷開與客戶端的連接，但并沒有嚴(yán)格的限制策略。通過下面的設(shè)置，可以對連續(xù)多次嘗試登錄失敗的客戶端 IP 進(jìn)行阻止，干擾其連續(xù)嘗試行為。

前往 General settings > Autoban。

下圖中的設(shè)置會(huì)對一小時(shí)內(nèi)連續(xù) 10 次登錄失敗的 IP 進(jìn)行阻止，阻止時(shí)長為 1 個(gè)小時(shí)。

提高用戶密碼復(fù)雜度

FileZilla 服務(wù)器未提供限制密碼復(fù)雜度的選項(xiàng)，且服務(wù)器用戶是由管理員通過管理接口來添加的，用戶也無法通過 FTP 命令來修改密碼。因此，建議管理員在添加用戶時(shí)為用戶配置復(fù)雜的密碼。

最小化訪問授權(quán)

FileZilla 支持目錄級(jí)別的訪問權(quán)限設(shè)置，可對某個(gè)目錄設(shè)置文件讀 、寫、刪除、添加、目錄創(chuàng)建、刪除、列舉等權(quán)限。建議根據(jù)實(shí)際應(yīng)用需要，結(jié)合用戶權(quán)限最小化原則來分配文件夾的權(quán)限。

注意：該操作需要提前添加賬號(hào)和組后才能配置。

啟用 TLS 加密認(rèn)證

FileZilla 服務(wù)器支持 TLS 加密功能，用戶如果沒有證書可以使用自帶功能來創(chuàng)建。

也支持針對單個(gè)用戶強(qiáng)制啟用 TLS 加密訪問。

啟動(dòng)日志記錄

FileZilla 服務(wù)器默認(rèn)未開啟日志記錄，為了方便對各種事件的追查，建議開啟日志記錄功能，并將日志設(shè)置為每天一個(gè)日志文件，避免單文件過大。

默認(rèn)情況下，日志已經(jīng)設(shè)置不記錄用戶密碼；但在加固的時(shí)候應(yīng)檢查此選項(xiàng)，確保其已啟用，避免密碼泄露。

下面的其它網(wǎng)友的補(bǔ)充非常不錯(cuò)

FileZilla Server 默認(rèn)是以系統(tǒng)服務(wù)運(yùn)行，運(yùn)行賬戶為 SYSTEM ，這樣非常危險(xiǎn)。需要降權(quán)并給
予適當(dāng)?shù)淖x寫權(quán)限。

1、建立一個(gè)運(yùn)行 FileZilla Server 的系統(tǒng)賬戶
1）新增一個(gè)用戶，名為 FileZilla_HWS ；
2）設(shè)置用戶 FileZilla_HWS 只屬于 Guests 組 ；

2、設(shè)置 FileZilla Server 目錄的權(quán)限
1）找到FileZilla Server執(zhí)行目錄（在系統(tǒng)服務(wù)里面獲取，服務(wù)名默認(rèn)為FileZilla Server）
；
給FileZilla Server執(zhí)行目錄目錄 Administrators、SYSTEM "完全控制" 權(quán)限；給
FileZilla_HWS "完全控制" 權(quán)限；
2）找到FTP文件存放目錄（FileZilla Server的管理控制臺(tái)里面獲取）；
給FTP文件存放目錄 Administrators、SYSTEM "完全控制" 權(quán)限；FileZilla_HWS "讀取/寫
入/刪除" 權(quán)限；
(如有多個(gè)FTP文件存放目錄，需要都添加上FileZilla_HWS "讀取/寫入/刪除" 權(quán)限；)

3、設(shè)置FileZilla Server服務(wù)
1）設(shè)置 FileZilla Server 服務(wù)啟動(dòng)帳戶為 FileZilla_HWS ；
2）重啟 FileZilla Server 服務(wù)；

4、測試結(jié)果
1）FileZilla Server 運(yùn)行賬戶是 FileZilla_HWS ，成功降權(quán)；
2）FlashFXP連接測試

“讀/寫/刪除”均正常；

5、其他防護(hù)辦法
如果您的FileZilla Server不能降權(quán)，但又要解決安全問題；可以使用護(hù)衛(wèi)神·防篡改系統(tǒng)（專業(yè)版）來解決。
通過護(hù)衛(wèi)神·防篡改系統(tǒng)（專業(yè)版）的“進(jìn)程限制”模塊，
設(shè)置FileZilla Server只能對FileZilla Server主目錄和FTP目錄有相關(guān)操作權(quán)限。
這樣黑客就無法通過FileZilla Server入侵服務(wù)器了。

感謝你能夠認(rèn)真閱讀完這篇文章，希望小編分享的“FileZilla FTP Server安全加固的示例分析”這篇文章對大家有幫助，同時(shí)也希望大家多多支持億速云，關(guān)注億速云行業(yè)資訊頻道，更多相關(guān)知識(shí)等著你來學(xué)習(xí)!