FileZilla FTP Server安全加固的示例分析

這篇文章主要介紹了FileZilla FTP Server安全加固的示例分析，具有一定借鑒價值，感興趣的朋友可以參考下，希望大家閱讀完這篇文章之后大有收獲，下面讓小編帶著大家一起了解一下。

FileZilla 是一款免費的跨平臺 FTP 應用程序，由 FileZilla Client 和 FileZilla Server 組成。本文檔依據 FileZilla Server 0.9.59 版本，向您提供一系列簡便有效的加固方案，幫助您安全地使用 FileZilla。

注意：本文提到的大部分配置都是通過 FileZilla 服務器的 Edit > Settings > FileZilla Server Options 菜單來實現的。

設置管理密碼

服務器的管理密碼默認為空，建議您設置一個較復雜的密碼。例如，應至少包含大小寫字母、數字、特殊符號中的任意兩種。

修改 Banner 信息

在訪問 FTP 服務器時，默認會在 Banner 中顯示服務器的版本信息，通過屏蔽版本信息顯示，可以加大惡意攻擊的時間成本。操作步驟如下：

前往 General settings > Welcome message。

從右側的 Custom welcome message 輸入框中刪除 %v 變量，或者直接將全部文本替換為自定義的文字。

建議勾選下面的 Hide welcome message in log，以減少日志中的垃圾信息。

設置監聽地址和端口

建議只在一個地址上啟用 FTP 服務。例如，若您只需要在內網使用 FTP 服務時，就不必在服務器綁定的公網地址上開啟 FTP 服務。操作步驟如下：

前往 General settings > IP Bindings。

在右側窗口中將默認的 * 號修改為指定的地址。

使用訪問控制

設置全局 IP 過濾器，限制允許訪問的 IP 地址。操作步驟如下：

前往 General settings > IP Filters。

在右側上部窗口中填入要阻止訪問的 IP 范圍，在右側下部窗口中填寫允許訪問的 IP 范圍。

注意：通常采用阻止所有 IP（填寫 *），然后僅允許部分 IP 的方式來進行有效的限制。例如，下圖中僅允許 192.168.1.0/24 網段訪問 FTP 服務。

另外，FileZilla 服務器也支持用戶級和用戶組級的 IP 過濾器。前往 Edit > Users/Groups 打開對應設置頁，在設置頁中找到 IP Filters，然后選擇需要設置的用戶，設置允許和拒絕的 IP 即可。設置方法與全局 IP 過濾器相同。

開啟 FTP Bounce 攻擊防護

FTP Bounce 攻擊是一種利用 FXP 功能的攻擊形式，默認情況下服務器未關閉相關功能，建議將相關功能設置為阻止。

如果服務器需要在與某個特定 IP 的服務器之間使用該功能，建議使用 IPs must match exactly 選項，然后通過 IP Filters（見 使用訪問控制）來進行限制來訪 IP。操作步驟如下：

前往 General settings > Security settings。

如下圖所示，默認選項已經啟用了需要精確匹配連接地址，建議不要修改。

配置用戶認證策略

默認情況下，當出現多次用戶認證失敗后，服務器會斷開與客戶端的連接，但并沒有嚴格的限制策略。通過下面的設置，可以對連續多次嘗試登錄失敗的客戶端 IP 進行阻止，干擾其連續嘗試行為。

前往 General settings > Autoban。

下圖中的設置會對一小時內連續 10 次登錄失敗的 IP 進行阻止，阻止時長為 1 個小時。

提高用戶密碼復雜度

FileZilla 服務器未提供限制密碼復雜度的選項，且服務器用戶是由管理員通過管理接口來添加的，用戶也無法通過 FTP 命令來修改密碼。因此，建議管理員在添加用戶時為用戶配置復雜的密碼。

最小化訪問授權

FileZilla 支持目錄級別的訪問權限設置，可對某個目錄設置文件讀 、寫、刪除、添加、目錄創建、刪除、列舉等權限。建議根據實際應用需要，結合用戶權限最小化原則來分配文件夾的權限。

注意：該操作需要提前添加賬號和組后才能配置。

啟用 TLS 加密認證

FileZilla 服務器支持 TLS 加密功能，用戶如果沒有證書可以使用自帶功能來創建。

也支持針對單個用戶強制啟用 TLS 加密訪問。

啟動日志記錄

FileZilla 服務器默認未開啟日志記錄，為了方便對各種事件的追查，建議開啟日志記錄功能，并將日志設置為每天一個日志文件，避免單文件過大。

默認情況下，日志已經設置不記錄用戶密碼；但在加固的時候應檢查此選項，確保其已啟用，避免密碼泄露。

下面的其它網友的補充非常不錯

FileZilla Server 默認是以系統服務運行，運行賬戶為 SYSTEM ，這樣非常危險。需要降權并給
予適當的讀寫權限。

1、建立一個運行 FileZilla Server 的系統賬戶
1）新增一個用戶，名為 FileZilla_HWS ；
2）設置用戶 FileZilla_HWS 只屬于 Guests 組 ；

2、設置 FileZilla Server 目錄的權限
1）找到FileZilla Server執行目錄（在系統服務里面獲取，服務名默認為FileZilla Server）
；
給FileZilla Server執行目錄目錄 Administrators、SYSTEM "完全控制" 權限；給
FileZilla_HWS "完全控制" 權限；
2）找到FTP文件存放目錄（FileZilla Server的管理控制臺里面獲取）；
給FTP文件存放目錄 Administrators、SYSTEM "完全控制" 權限；FileZilla_HWS "讀取/寫
入/刪除" 權限；
(如有多個FTP文件存放目錄，需要都添加上FileZilla_HWS "讀取/寫入/刪除" 權限；)

3、設置FileZilla Server服務
1）設置 FileZilla Server 服務啟動帳戶為 FileZilla_HWS ；
2）重啟 FileZilla Server 服務；

4、測試結果
1）FileZilla Server 運行賬戶是 FileZilla_HWS ，成功降權；
2）FlashFXP連接測試

“讀/寫/刪除”均正常；

5、其他防護辦法
如果您的FileZilla Server不能降權，但又要解決安全問題；可以使用護衛神·防篡改系統（專業版）來解決。
通過護衛神·防篡改系統（專業版）的“進程限制”模塊，
設置FileZilla Server只能對FileZilla Server主目錄和FTP目錄有相關操作權限。
這樣黑客就無法通過FileZilla Server入侵服務器了。

感謝你能夠認真閱讀完這篇文章，希望小編分享的“FileZilla FTP Server安全加固的示例分析”這篇文章對大家有幫助，同時也希望大家多多支持億速云，關注億速云行業資訊頻道，更多相關知識等著你來學習!