iT邦幫忙

1

ftp server 如何設定才能兼顧資安與方便性

  • 分享至 

  • xImage

各位先進好,目前使用 linux vsftpd 作為 ftp server對外網開啟.因為有資安的顧慮,雖然使用率不會很高(但有必要).所以每次先透過SSH login enable 後再使用 (時間不會太長,大約 5~10分鐘).使用後 再 disable ftp server. 請問這樣是否還要注意些什麼才能令資安部分更安全一點.另外是否有簡單一點但是仍然安全的辦法來操作 ftp server?

PIZZ iT邦新手 1 級 ‧ 2023-09-08 11:09:35 檢舉
把FTP SERVER放到火牆後面
在火牆設定Policy設一個區域給FTP,或是限定內網的幾個IP才能連到FTP主機,以及限制不讓這台FTP能連到內網特定的VLAN(尤其是放重要服務主機的區域)
內部連FTP的電腦登入密碼複雜度提高最好8~12碼以上的英文大小寫+符號+數字的亂數密碼
設定外部IP的白名單,在裡面的才能連到
給外部登入FTP的密碼複雜度提高,最好12~14碼以上的英文大小寫+符號+數字的亂數密碼

可以參考下
把 ftp server 丟 dmz 之後走 vpn 才能連進去啊,而整個dmz 只有一台 ftp server ...
vpn 帳號發出去要設定登入有效時間限制,正常來說就是 幾個小時而已,
還要嚴禁重複登入,跟登入次數限制
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
0
sd3388
iT邦好手 1 級 ‧ 2023-09-08 11:54:53

說實話
你如果要用才開放,其實已經很安全了
只是操作上很麻煩

如果有硬體式NGFW,PIZZ大大的建議很不錯
決不要將ftp server暴露在外網
尤其開放ssh會很經常被惡意撞庫攻擊

謝謝PIZZ大大的建議,也謝謝sd3388有關NGFW的資訊.這部分我會了解一下.sd3388是指在ssh部分也需要做某些防範嗎?

sd3388 iT邦好手 1 級 ‧ 2023-09-08 22:05:42 檢舉

你的ftp server的IP是所謂的真實IP嗎?
如果是,根據經驗
沒多久之後就有網路爬蟲來掃這個IP的SSH端口
並嘗試世界各地IP來登入(撞庫攻擊)
因此所謂的防範就是盡可能地降低被攻擊的機會
要用時才短暫開放也是一種辦法

0
obarisk
iT邦研究生 1 級 ‧ 2023-09-09 11:34:51

都用 ssh 了,不考慮直接 sftp 嗎?
或是打一個 reverse proxy。這樣感覺很麻煩就是了

obarisk 大您講的比較深一點,我需要了解一下什麼是sftp,時麼是reverse proxy.我要如何加入這兩個到 vsftp (或是需要更換ftpd server才能做到. (Sorry我不太專業)

obarisk iT邦研究生 1 級 ‧ 2023-09-11 08:11:38 檢舉

sftp
比如你用某些 ssh 軟體,他可以提供伺服器上的資料夾檢視

reverse proxy 我應該用錯字了。改成用 port forward。
透過 ssh 建立一個通道,連到伺服器上的 ftp 伺服器。

steps

  • 把 ftp 伺服器一直開著,限制只有本機或是區域網路可連。
  • 外部網路透過 ssh 建立通道,外部網路的 ftp 用戶透過通道連到 ftp 伺服器。
obarisk iT邦研究生 1 級 ‧ 2023-09-11 08:13:22 檢舉

稍微看一下,比如 winscp 就有支援 tunnel

0
sam0407
iT邦大師 1 級 ‧ 2023-09-11 12:08:01

如果您都是從固定的幾個地方連線進FTP,也都有固定IP(ADSL也可以申請一個固定IP),那就在防火牆設定只允許這幾個IP連入存取FTP就可以了~~

這樣其他人也掃不到您有開放FTP,所以您也就不用開開關關了!

我要發表回答

立即登入回答