Come proteggere l'FTP del mio sito web?

Non puoi proteggere l'FTP. Rimuovilo e sostituiscilo con un'alternativa sicura come SFTP se hai bisogno di trasferimento di file. Il modo in cui hai posto la domanda implica che non ne hai un'esigenza valida, che probabilmente è solo attivo per impostazione predefinita.

A seconda di ciò che stai utilizzando, 'rpm -e pure-ftpd' o 'dpkg -r pure-ftpd' potrebbe fare per te.

L'FTP è un protocollo molto vecchio e non è più consigliato oggi perché le credenziali sono trasmesse in chiaro e possono essere lette sniffando il traffico di rete.

Se non ne hai bisogno, dovresti disinstallarlo o puoi bloccare questa porta con un firewall. Su Linux è possibile utilizzare iptables per bloccare tutto il traffico su questa porta come segue:

iptables -A INPUT -p tcp --dport 21 -j DROP

Dovresti anche scansionare il tuo host per altre porte aperte che non ti servono. Puoi farlo con nmap:

nmap mydomain.com

Se nmap elenca le porte come aperte che non ti servono, puoi bloccare il traffico verso quelle porte simile al comando iptables giben sopra. Basta sostituire il 21 con il numero di porta appropriato.

Per fare eco a Gowenfawr, se non ne hai bisogno, disabilita / disinstalla. Tuttavia, se hai bisogno di FTP, ci sono alcune cose che puoi fare per controllare l'accesso.

• Controlla la configurazione FTP per assicurarti che le autorizzazioni siano il più dettagliate possibile. Guarda i diritti utente per ftp per vedere quali directory sono consentite per quegli utenti. Limitarli il più possibile.
• Se le persone che accedono al tuo sistema tramite FTP provengono da reti note o IP, puoi limitare l'accesso alla porta 21 tramite le regole del firewall (se stai utilizzando un firewall basato su host) o molti pacchetti FTP ti consentono di limitare l'accesso IP.
• Modifica il tuo messaggio di connessione per dare meno informazioni possibili, probabilmente vuoi solo un messaggio che dica l'effetto: solo accesso autorizzato, ecc ...
• Controlla periodicamente i tuoi log ftp, cerca attività insolite (quantità di upload / download, dimensioni di upload / download).

In genere il tuo server ftp può essere usato per estrarre dati (se hai i dati desiderati sul tuo sistema), usato per ospitare file da distribuire ad altri (usando la larghezza di banda / storage), o un waypoint che esporta dati da un sito compromesso.

Anche se la mancanza di SSL / TLS o di altri sistemi di sicurezza del trasporto è sicuramente un problema, è importante notare che non c'è nulla che suggerisca che il tuo server Pure-FTP non sia configurato correttamente. Si intende vedere questo prompt prima di autenticarsi sul server (nome utente / password). Potrebbe valere la pena di verificare che non è possibile accedere digitando "Anonimo" a questo prompt però.

Come notato da @gowenfawr e @DanielE, l'unica cosa reale che è ovviamente insicura del tuo scenario nella mancanza di crittografia e controllo di integrità. Ciò significa che esiste il rischio che terze parti malintenzionate possano spiare i dati o le credenziali che invii e che non puoi essere sicuro di parlare direttamente al tuo server ( man-in-the-middle ). Non fraintendermi, questo è un difetto grave. In questo caso, sostituisci il tuo server FTP con SFTP o FTPS .

L'altro problema potrebbe essere che, se stai usando un server FTP di cui non hai realmente bisogno, stai aumentando inutilmente la tua superficie di attacco, mettendoti a maggior rischio di compromessi. In questo caso, disinstalla Pure-FTP.