Как и в случае любых сервисов, всегда есть риск, что его будут использовать в недобрых целях или попытаются взломать сервер, на котором он размещен. Как правило, взломщики пытаются использовать для атаки известные дыры в различных запущенных на сервере демонах.
Осторожный системный администратор, вдумчиво относящийся к вопросам безопасности, должен знать, что два основных пути для атаки - внешний и внутренний. Я буду рассматривать внешние атаки, проводимые личностями, не имеющими действительной учетной записи или "пользовательского" уровня доступа на сервер. Под внутренними атаками будут пониматься случаи, когда атакующий располагает каким-либо доступом на сервер.
Безопасность сервера определяется наличием уязвимостей в ПО, стойкостью паролей. В качестве примера злоупотреблений можно назвать использование FTP-сервера для распространения пиратского софта.
В общем и целом, с точки зрения безопасности ftp-сервер не сильно отличается от других серверов, предоставляющих публичный доступ. Однако конструкция с двойным сокетом и их требования, не позволяющие полностью отказаться от привилегий суперпользователя, оставляют лазейку для грамотного взломщика.
Proftpd обеспечивает дополнительный уровень безопасности за счет использования функции chroot(), ограничения доступа на уровне пользователя и IP-адреса, применения к передаваемым командам и путям различных фильтров и указания того, какие файлы могут быть загружены на сервер, уделяя при этом повышенное внимание операциям, требующим привилегий суперпользователя. Однако все еще сохраняется вероятность ошибок переполнения буфера, которые могут привести к компроментации сервера.
Ниже перечислены простейшие шаги, которые могут быть использованы для ужесточения правил безопасности:
Вести лог-файлы на отдельной машине
Фильтровать входящий трафик
Использовать chroot() для всех сеансов работы
Не предоставлять действительную командную оболочку (shell) тем, кому она не нужна
Использовать системы обнаружения вторжений (IDS)
По возможности, саму операционную систему размещать за загрузочном CD
Tripwire
Помнить о резервных копиях
| Назад | Содержание | Вперед |
| Новые функции/модули | Наверх | Безопасность демона |