如何巧妙设定安全的匿名FTP

核心提示： 以下为cert中匿名ftp的密码文件范例ssphwg:*:3144:20:Site Specific Policy Handbook Working Group::cops:*:3271:20:COPS Distribution::cert:*:9920:20:CERT::tools:*:992

以下为cert中匿名ftp的密码文件范例

ssphwg:*:3144:20:Site Specific Policy Handbook Working Group::

cops:*:3271:20:COPS Distribution::

cert:*:9920:20:CERT::

tools:*:9921:20:CERT Tools::

ftp:*:9922:90:Anonymous FTP::

nist:*:9923:90:NIST Files::

以下为cert中匿名ftp的群组文件范例

cert:*:20:

ftp:*:90:

II..在你的匿名ftp提供可写入的目录

让一个匿名ftp服务允许使用者储存文件是有风险存在的。我们强烈提醒网站不要自动建立一个上传目录，除非已考虑过相关的风险。CERT/CC的事件回报成员接获许多使用上传目录造成非法传输版权软件或交换帐号与密码信息的事件。也接获恶意地将系统文件灌报造成denialof service问题。

本节在讨论利用三种方法来解决这个问题。第一种方法是使用一个修正过的FTP daemon。第二个方法是提供对特定目录的写入限制。第三种方法是使用独立的目录。

A. 修正过的FTP daemon

假如你的网站计划提供目录用来做文件上传，我们建议使用修正过的FTP daemon对文件上传的目录做存取的控制。这是避免使用不需要的写入区域的最好的方法。以下有一些建议：

1.限定上传的文件无法再被存取， 如此可由系统管理者检测后，再放至于适当位置供人下载。

2.限制每个联机的上传资料大小。

3.依照现有的磁盘大小限制数据传输的总量。

4.增加登录记录以提前发现不当的使用。

若您欲修改FTP daemon， 您应该可以从厂商那里拿到程序代码， 或者您可从下列地方取得公开的FTP程序原始码:

wuarchive.wustl.edu ~ftp/packages/wuarchive-ftpd

ftp.uu.net ~ftp/systems/unix/bsd-sources/libexec/ftpd