浅谈运维中的安全问题-FTP篇

 

　　写这一系列文章的动因很简单，在年前最后一个项目的时候在客户现场做了的几个安全加固。由于时间问题，很多东西就拿来主义没经过思考直接更改了，并未细细品味其中的原理和方法，所以特地搭建实验环境，分析下其中的原因，也帮助IT运维的同事在平时的安全巡检与维护中能够关注与理解一些运维上的安全问题。

　  FTP存在的安全问题

• 匿名访问

　　 FTP匿名访问是FTP安全问题中最常见的问题，详情可以见wooyun。今天通过一天时间通过反复的复测，尝试，发现一个看似简单的FTP匿名访问实则存在很多隐藏的小坑。所以写出来帮助大家在安全运维的道路上能够更加游刃有余。

　　 首先是大家都知道的，以最常见的Linux FTP软件VSFTP为例，我们分析他的配置文件，发现涉及匿名访问的主要conf项有如下几项。

 

anonymous_enable=YES       　　是否允许FTP匿名访问登录
anon_upload_enable=YES     　　是否允许FTP匿名上传
anon_mkdir_write_enable=YES　　是否允许FTP匿名用户创建目录

　　

　　（以下实验过程有些繁琐，了解的朋友可以直接看后面加粗字体结论）

　　  通常朴素的思维，我们把anonymous_enable配置项置为Off了，我们就可以解决匿名访问的问题。这句话这么说的确不假，但wooyun上大FTP匿名访问的数量不在少数，以及自己在做内网渗透时，内网的匿名访问问题更加严重。

　　　

　　我经过多次试验，发现FTP匿名访问如果想造成实质危害需要满足很多条件，并非简简单单匿名登录了就能造成危害，以下为条件都需要满足才能造成实质危害：

1. 配置文件三要素要满足，上文提到的vsftp.conf中的三个配置选项必须打开，这个是匿名访问的根本。我测试用的为Cent OS6.5通过yum安装的vsftpd发现配置文件conf中的默认匿名访问是开启的，若运维人员缺乏安全意识可能会导致匿名访问情况发生。
2. 由于匿名访问需要Linux ftp账户登录，所以在var/ftp目录下，存在匿名登录的目录至少为755权限，否则匿名用户是无法上传与下载或读取相关文件。
3. vsftp.conf中必须配置 anon_umask=022 才可造成真正的敏感文件读取泄露问题。我经过反复大量的实验发现，vsftpd上传文件的读写权限与不受系统的umask和原有配置文件中local_umask项影响，要想保证上传文件的可读可写性。必须要运维人员手动添加anon_umask值，来确保ftp目录下上传的文件可读可下载。

　　结论：匿名访问无论在内网还是外网都应该被杜绝的，尤其wooyun上大量案例使用FTP匿名访问，通过实验应该是企业内部将FTP当做了一个便携式局域网“U盘”使用造成了相关的安全问题。

• 未限制登录用户访问目录权限

　　未限制FTP登陆用户在自己的家目录中活动，导致可遍历系统的敏感文件，若系统umask设置不当，可上传写入木马等。输入/etc发现目录依旧可以访问。导致服务器安全出现问题。

　　

　　vsftp默认登录，用户在home家目录下的ftpuser下。

　　

 

　　我们可以通过如下方法来加固，做法如很多博客文章介绍的一样，编辑vsftpd.conf目录下的文件特定配置如下：

　　

chroot_local_user=YES
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list

　　除了chroot_list中的用户都不能访问上级根目录，效果如下：

　　

　　将ftpuser添加进入，chroot_list再次实验，效果如下：

　　

　　

　　以下是一些，自己在安全加固中FTP方面的一些浅显的认识，希望能帮助到大家。