Come proteggere l'FTP del mio sito web?

0

Quando ho aperto il prompt dei comandi ftp e ho digitato open mydomain.com , mi ha dato quanto segue e penso che questa sia una vulnerabilità di sicurezza.

connected to mydomain.com.
220----- Welcome to Pure-FTPd [privsep] [TLS] -----
220- you are user number 1 of 50 allowed.
220- local time is now 13:18. Server port: 21
220- IPv6 connections are also welcome on this server.
220  you will be disconnected after 15 minutes of inactivity.
user <mydomain.com:<none>>:

Tuttavia, quando ho provato un altro sito web come open stackexchange.com , non ha restituito nulla.

Qualcuno può dirmi come applicare maggiore sicurezza sulle connessioni ftp sul mio server?

    
posta Mina Hafzalla 03.03.2014 - 19:31
fonte

4 risposte

3

Non puoi proteggere l'FTP. Rimuovilo e sostituiscilo con un'alternativa sicura come SFTP se hai bisogno di trasferimento di file. Il modo in cui hai posto la domanda implica che non ne hai un'esigenza valida, che probabilmente è solo attivo per impostazione predefinita.

A seconda di ciò che stai utilizzando, 'rpm -e pure-ftpd' o 'dpkg -r pure-ftpd' potrebbe fare per te.

    
risposta data 03.03.2014 - 19:35
fonte
1

L'FTP è un protocollo molto vecchio e non è più consigliato oggi perché le credenziali sono trasmesse in chiaro e possono essere lette sniffando il traffico di rete.

Se non ne hai bisogno, dovresti disinstallarlo o puoi bloccare questa porta con un firewall. Su Linux è possibile utilizzare iptables per bloccare tutto il traffico su questa porta come segue:

iptables -A INPUT -p tcp --dport 21 -j DROP

Dovresti anche scansionare il tuo host per altre porte aperte che non ti servono. Puoi farlo con nmap:

nmap mydomain.com

Se nmap elenca le porte come aperte che non ti servono, puoi bloccare il traffico verso quelle porte simile al comando iptables giben sopra. Basta sostituire il 21 con il numero di porta appropriato.

    
risposta data 03.03.2014 - 20:37
fonte
0

Per fare eco a Gowenfawr, se non ne hai bisogno, disabilita / disinstalla. Tuttavia, se hai bisogno di FTP, ci sono alcune cose che puoi fare per controllare l'accesso.

  • Controlla la configurazione FTP per assicurarti che le autorizzazioni siano il più dettagliate possibile. Guarda i diritti utente per ftp per vedere quali directory sono consentite per quegli utenti. Limitarli il più possibile.
  • Se le persone che accedono al tuo sistema tramite FTP provengono da reti note o IP, puoi limitare l'accesso alla porta 21 tramite le regole del firewall (se stai utilizzando un firewall basato su host) o molti pacchetti FTP ti consentono di limitare l'accesso IP.
  • Modifica il tuo messaggio di connessione per dare meno informazioni possibili, probabilmente vuoi solo un messaggio che dica l'effetto: solo accesso autorizzato, ecc ...
  • Controlla periodicamente i tuoi log ftp, cerca attività insolite (quantità di upload / download, dimensioni di upload / download).

In genere il tuo server ftp può essere usato per estrarre dati (se hai i dati desiderati sul tuo sistema), usato per ospitare file da distribuire ad altri (usando la larghezza di banda / storage), o un waypoint che esporta dati da un sito compromesso.

    
risposta data 03.03.2014 - 20:46
fonte
0

Anche se la mancanza di SSL / TLS o di altri sistemi di sicurezza del trasporto è sicuramente un problema, è importante notare che non c'è nulla che suggerisca che il tuo server Pure-FTP non sia configurato correttamente. Si intende vedere questo prompt prima di autenticarsi sul server (nome utente / password). Potrebbe valere la pena di verificare che non è possibile accedere digitando "Anonimo" a questo prompt però.

Come notato da @gowenfawr e @DanielE, l'unica cosa reale che è ovviamente insicura del tuo scenario nella mancanza di crittografia e controllo di integrità. Ciò significa che esiste il rischio che terze parti malintenzionate possano spiare i dati o le credenziali che invii e che non puoi essere sicuro di parlare direttamente al tuo server ( man-in-the-middle ). Non fraintendermi, questo è un difetto grave. In questo caso, sostituisci il tuo server FTP con SFTP o FTPS .

L'altro problema potrebbe essere che, se stai usando un server FTP di cui non hai realmente bisogno, stai aumentando inutilmente la tua superficie di attacco, mettendoti a maggior rischio di compromessi. In questo caso, disinstalla Pure-FTP.

    
risposta data 03.03.2014 - 21:25
fonte