1
Desactivar FTP anónimo.
Anonymous FTP permite a los usuarios conectarse a su servidor y descargar archivos sin contraseña. Si usted espera que sus usuarios subir archivos, lo que permite FTP anónimo es un riesgo innecesario . Si tiene que dejar que la gente descarga archivos anónimamente, entonces usted debe utilizar un servidor Web.
2
Activa el soporte " chroot ()".
FTP los usuarios pueden ver todos los archivos en el servidor , no sólo el contenido de su propio directorio . Un usuario malintencionado podría ser capaz de robar datos confidenciales si los permisos de archivos del sistema están mal hechos.
Mayoría de los servidores FTP de mitigar este riesgo , proporcionando un entorno " chroot ()". En este modo , el servidor se bloquea cuando un usuario inicia la sesión dentro de la cárcel chroot () , el usuario puede tener acceso a sus propios archivos y nada más.
Ajuste " chroot_local_user = YES" en /etc /vsftpd. conf para activar el soporte chroot ( ) en el servidor vsftpd.
3
habilitar el cifrado.
Porque FTP no ofrece ninguna seguridad de su cuenta, es posible que un intruso para interceptar la contraseña de un usuario sin ser atrapado .
Consulte la documentación del servidor para encontrar la configuración de cifrado. Las funciones de cifrado pueden ser listadas bajo "SSL ", " TLS" o " FTPS . "
Para habilitar el cifrado en vsftpd se ejecuta en Ubuntu Linux , ajuste " ssl_enable = YES" en /etc /vsftpd.conf .
4
Desactivar las cuentas del sistema .
Muchas cuentas en los sistemas Linux tienen el propósito de ser utilizado sólo por el propio sistema. Si alguno de los "root" o " demonio " o usuarios " bin " Regístrese, por ejemplo, entonces lo más probable es que alguien está tratando de atacar a su servidor FTP.
Para mantener estos usuarios puedan acceder , añadir sus nombres, uno por línea , en el archivo /etc /ftpusers . También debe añadir los nombres de usuario de los usuarios legítimos que no necesitan acceder al servidor FTP
5
Asignar usuarios conchas ficticias
cuentas FTP puede hacer más que subir los archivos . . : también tienen permiso para iniciar sesión de forma remota en el sistema Linux . Cualquier cuenta con un shell válido puede iniciar sesión de forma interactiva
El programa /bin /true es un shell simulado adecuado : . Inmediatamente devuelve el control al sistema operativo. Para permitir que /bin /true como cáscara ficticia , editar el archivo " /etc /shells " y añadir " /bin /true " a la lista .
Para cada usuario FTP , utilice el comando " chsh " para cambiar el shell del usuario para la cáscara ficticia . Para cambiar el shell de juansoto , por ejemplo , emita el comando " chsh - s /bin /true juansoto . "