漏洞描述

成都創(chuàng)新互聯(lián)是一家集網(wǎng)站建設(shè),天水企業(yè)網(wǎng)站建設(shè),天水品牌網(wǎng)站建設(shè),網(wǎng)站定制,天水網(wǎng)站建設(shè)報價,網(wǎng)絡(luò)營銷,網(wǎng)絡(luò)優(yōu)化,天水網(wǎng)站推廣為一體的創(chuàng)新建站企業(yè)，幫助傳統(tǒng)企業(yè)提升企業(yè)形象加強(qiáng)企業(yè)競爭力?？沙浞譂M足這一群體相比中小企業(yè)更為豐富、高端、多元的互聯(lián)網(wǎng)需求。同時我們時刻保持專業(yè)、時尚、前沿，時刻以成就客戶成長自我，堅持不斷學(xué)習(xí)、思考、沉淀、凈化自己，讓我們?yōu)楦嗟钠髽I(yè)打造出實用型網(wǎng)站。

FTP 弱口令或匿名登錄漏洞，一般指使用 FTP 的用戶啟用了匿名登錄功能，或系統(tǒng)口令的長度太短、復(fù)雜度不夠、僅包含數(shù)字、或僅包含字母等，容易被黑客攻擊，發(fā)生惡意文件上傳或更嚴(yán)重的入侵行為。

漏洞危害

黑客利用弱口令或匿名登錄漏洞直接登錄 FTP 服務(wù)，上傳惡意文件，從而獲取系統(tǒng)權(quán)限，并可能造成數(shù)據(jù)泄露。

加固方案

不同 FTP 服務(wù)軟件可能有不同的防護(hù)程序，本修復(fù)方案以 Windows server 2008 中自帶的 FTP 服務(wù)和 Linux 中的vsftpd服務(wù)為例，您可參考以下方案對您的 FTP 服務(wù)進(jìn)行安全加固。

重要提示：

請確保您的 FTP 服務(wù)軟件為官方最新版本。同時，建議您不定期關(guān)注官方發(fā)布的補(bǔ)丁，并及時進(jìn)行更新。

強(qiáng)烈建議不要將此類型的服務(wù)在互聯(lián)網(wǎng)開放，您可以使用 VPN 等安全接入手段連接到 FTP 服務(wù)器端，同時使用 安全組 來控制訪問源IP。

Windows 系統(tǒng) FTP 服務(wù)安全加固**

打開 IIS 信息服務(wù)管理器，查看所有 FTP 服務(wù)相關(guān)的安全加固功能。

禁用匿名登錄

創(chuàng)建 FTP 帳戶。

在 開始 > 管理工具 > 計算機(jī)管理 > 本地用戶和組 中，創(chuàng)建用戶，設(shè)置強(qiáng)密碼（密碼建議八位以上，包括大小寫字母、特殊字符、數(shù)字等混合體，不要使用生日、姓名拼音等常見字符串），并設(shè)置該用戶屬于 GUESTS 用戶組。

禁用匿名登錄。

Windows 2008 系統(tǒng) FTP 禁用匿名登錄服務(wù)

Windows 2012系統(tǒng) FTP 禁用匿名登錄服務(wù)

啟用強(qiáng)密碼安全策略

在 Windows 系統(tǒng)中，強(qiáng)密碼策略是通過組策略控制的。您可以打開本地組策略編輯器（gpedit.msc），計算機(jī)配置 > Windows 設(shè)置 > 安全設(shè)置 > 賬戶策略 > 密碼策略，啟用密碼復(fù)雜策略。

啟用 密碼必須符合復(fù)雜性要求 策略后，在更改或創(chuàng)建用戶密碼時會執(zhí)行復(fù)雜性策略檢測，密碼必須符合以下最低要求:

密碼不能包含賬戶名密碼不能包含用戶名中超過兩個連續(xù)字符的部分密碼至少有六個字符長度

密碼必須包含以下四類字符中的至少三類字符類型：英文大寫字母(A-Z)、英文小寫字母(a-z)、10個基本數(shù)字(0-9)、特殊字符（例如：!、￥、#、%）

注意： 推薦 Windows 所有需要進(jìn)行用戶認(rèn)證的服務(wù)都采用上述復(fù)雜密碼策略。

啟用賬戶登錄失敗處理機(jī)制

該機(jī)制對登錄失敗的賬戶實施強(qiáng)處理，可有效防止暴力破解攻擊事件。

啟用 FTP 目錄隔離機(jī)制

FTP 目錄隔離功能可以防止用戶查看其它用戶目錄的文件，防止數(shù)據(jù)泄露。

指定訪問源 IP

啟用授權(quán)機(jī)制

您可以根據(jù)業(yè)務(wù)需求配置授權(quán)規(guī)則，限制用戶訪問的權(quán)限。

啟用 SSL 加密傳輸功能

啟用 SSL 加密傳輸功能，需要先創(chuàng)建服務(wù)器證書：

在 FTP SSL 設(shè)置中，選定已創(chuàng)建的服務(wù)器證書即可。

啟用日志功能

IIS 中的 FTP 日志是默認(rèn)啟用的，您可以根據(jù)磁盤空間情況配置日志空間大小和其他策略。

FileZilla FTP Server 安全加固

FileZilla FTP Server 是一個非常流行的開源的、免費的 FTP 客戶端、服務(wù)器端軟件，如果您使用該搭建 FTP 服務(wù)，F(xiàn)ileZilla FTP Server 提供了相關(guān)的安全功能，您可以參考 FileZilla FTP Server 安全加固 方案加固您的 FileZilla FTP Server 的安全。

Linux 系統(tǒng) vsftpd 服務(wù)安全加固

1、及時安裝更新補(bǔ)丁

在安裝更新補(bǔ)丁前，備份您的 vsftp 應(yīng)用配置。從 VSFTPD官方網(wǎng)站 獲取最新版本的 vsftp 軟件安裝包，完成升級安裝?；蛘?，您可以下載最新版 vsftp 源碼包，自行編譯后安裝更新。您也可以執(zhí)行yum update vsftpd命令通過 yum 源進(jìn)行更新。

2、禁用匿名登錄服務(wù)

添加一個新用戶（test），并配置強(qiáng)密碼。例如，執(zhí)行useradd -d /home -s /sbin/nologin test命令。

其中，/sbin/nologin參數(shù)表示該用戶不能登錄 Linux shell 環(huán)境。test為用戶名。通過passwd test命令，為該用戶配置強(qiáng)密碼。密碼長度建議八位以上，且密碼應(yīng)包括大小寫字母、特殊字符、數(shù)字混合體，且不要使用生日、姓名拼音等常見字符串作為密碼。

修改配置文件 vsftpd.conf，執(zhí)行#vim /etc/vsftpd/vsftpd.conf命令。

anonymous_enable=NO，將該參數(shù)配置為 NO 表示禁止匿名登錄，必須要創(chuàng)建用戶認(rèn)證后才能登錄 FTP 服務(wù)。

3、禁止顯示 banner 信息

修改 VSFTP 配置文件 vsftpd.conf，設(shè)置ftpd_banner=Welcome。重啟 vsftp 服務(wù)后，即不顯示 banner 信息。

>ftp 192.168.10.200
Connected to 192.168.10.200.
220 Welcome
User (192.168.10.200:(none)):

4、限制 FTP 登錄用戶

在 ftpusers 和 user_list 文件中列舉的用戶都是不允許訪問 FTP 服務(wù)的用戶（例如 root、bin、daemon 等用戶）。除了需要登錄 FTP 的用戶外，其余用戶都應(yīng)該添加至此拒絕列表中。

5、限制 FTP 用戶目錄

修改 VSFTP 配置文件 vsftpd.conf。

chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list

新建 /etc/vsftpd/chroot_list 文件，并添加用戶名。例如，將 user1 添加至該文件，則 user1 登錄 FTP 服務(wù)后，只允許在 user1 用戶的 home 目錄中活動。

6、修改監(jiān)聽地址和默認(rèn)端口

例如，修改 VSFTP 配置文件 vsftpd.conf，設(shè)置監(jiān)聽 1.1.1.1 地址的 8888 端口。

 listen_address=1.1.1.1
listen_port=8888

7、啟用日志記錄

修改 VSFTP 配置文件 vsftpd.conf，啟用日志記錄。

 xferlog_enable=YES
xferlog_std_format=YES

如果您需要自定義日志存放位置，可以修改xferlog_file=/var/log/ftplog。

8、其他安全配置

修改 VSFTP 配置文件 vsftpd.conf。

 //限制連接數(shù)
max_clients=100
max_per_ip=5
//限制傳輸速度
anon_max_rate=81920
local_max_rate=81920

注意： 如果您不需要使用 FTP 服務(wù)，建議您關(guān)閉該服務(wù)。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

當(dāng)前標(biāo)題：windows下FTP匿名登錄或弱口令漏洞及服務(wù)加固-創(chuàng)新互聯(lián)
標(biāo)題來源：http://www.rwnh.cn/article22/ceppjc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供全網(wǎng)營銷推廣、ChatGPT、小程序開發(fā)、網(wǎng)站收錄、網(wǎng)站內(nèi)鏈、標(biāo)簽優(yōu)化

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)