图-ProFTPD

　　ProFTPD是针对Wu-FTP的弱项而开发的，已经成为继Wu-FTP之后最为流行的FTP服务器软件，越来越多的站点选用它构筑安全高效的FTP站点，TurboLinux就是一个例子。

　　1.使用xinetd方式运行ProFTPD

　　ProFTPD能以Stand-alone、xinetd两种模式运行，当用户账号比较少又经常需要连接到ProFTPD服务器时推荐使用xinetd模式运行。使用xinetd方式运行ProFTPD可以有效防范DoS攻击。原理和方法可以查看《网管理员世界》8月的《分类防范Linux的DoS》。

　　2.隐藏服务器版本信息

　　通常软件的版本信息是攻击者寻求最有价值的信息。修改配置文件：/etc/Proftpd.conf：

　　ServerIdent off

　　3.使用非root权限运行Proftpd

　　以非root权限运行Proftpd。修改配置文件：/etc/Proftpd.conf：

　　User nobody //设置FTP服务以nobody运行

　　Group nobody //原来是Group nobody，一定要改为“Group nobody”

　　上面的配置表示以nobody用户身份运行Proftpd。使用nobody身份运行能够降低缓冲区溢出攻击所带来的危险。

　　4.监控Proftpd服务器

　　通常新部署一个FTP服务器之后需要进行一段时间的监控：记录FTP连接记录、谁连接到我的FTP服务器。Proftpd本身附带了几个命令可以使用：

　　usr/local/bin/ftpcout：显示FTP服务器连接数信息。

　　usr/local/bin/ftpwho：显示FTP服务器连接用户名称信息。

　　可以使用watch命令配合使用，运行下面命令：

　　watch -n 60 /usr/local/bin/ftpcount

　　这个命令每六十秒显示一次连接数目信息。

　　5.修改Proftpd服务器配置文件

　　Proftpd服务器配置文件/etc/Proftpd.conf中许多选项可以加固服务器。/etc/Proftpd.conf文件格式和Apache服务器配置非常相像。

　　(1)通过IP地址限制FTP访问

　　假设要允许主机名称myhost.domain.com访问FTP服务器，首先使用命令Ping myhost.domain. com。假设登到IP地址216.112.169. 138，修改配置文件，加入以下内容：

　　Order Allow,Deny

　　Allow from 216.112.169.138

　　Deny from all

　　注意：不要在Allow命令后直接使用主机名称，因为检查主机名称会降低服务器的运行速度。另外主机名称比IP地址更具有欺骗性。

　　(2)使用PAM作为ProFTPD授权用户的鉴别方法

　　ProFTPD也可以加入嵌入式认证模块，成为PAM-aware的FTP服务器。PAM和PAM-aware相关知识和配置请查看相关资料。这样，用户连接到ProFTPD服务器时都由PAM使用/etc/pam.d/ftp文件进行认证。在　　ProFTPD使用PAM比较简单，在配置文件/etc/Proftpd.conf加入：

　　AuthPAMAuthoritative on

　　AuthPAMConfig ftp

　　ProFTPD服务器会自动把/etc/pam.d/ftp配置用于用户授权。

　　(3)限制普通FTP用户可访问的目录

　　同样，ProFTPD服务器也要限制普通FTP用户可以访问的目录，和wu-ftpd相比比较简单。如果限制skate组的skate用户登录时不能切换到其他目录，修改配置文件加入：

　　DefaultRoot ～skate,skate

　　这样它就只能呆在自己的home目录中。

　　(4)限制FTP命令特权

　　禁止一些用户创建和删除目录的特权。如果发现一些用户有威胁行为，可以把他放在一个特定组中　　(badusers)。使用如下的配置：

　　Order deny,allow

　　DenyGroup badusers

　　AllowAll

　　这样除了那个特定的用户组之外，其他用户可以创建和删除目录。

　　(5)控制FTP命令缓冲区大小

　　许多攻击者通过发送大尺寸的命令攻击FTP服务器，希望造成服务器缓冲区溢出。可以使用CommandBuffer Size命令限制客户端命令长度，通常设定为512。

　　(6)修改ProFTPD服务器使用端口

　　ProFTP如果使用Stand-alone模式，可以通过设置proftpd.conf来控制它。使用不同端口的设置也较为简单，只需在proftpd.conf中将“Port xx”改为需要的值即可。

通过上文详细的说明，想必大家都能清楚知道ProFTPD服务器安全策略，希望本文对大家有用！

【编辑推荐】

• Proftpd 大虾的学习笔记
• ProFTPD 详细解析
• Gentoo中的proftpd的一些问题
• Proftpd使用TLS/SSL
• Proftpd登陆速度慢
• 为什么要使用proftpd
• ProFTPD 主要特性