【IT168 专稿】在上篇文章中(点击查看),介绍了ProFTPD服务器的基本配置方法,本文继续介绍如何加固ProFTPD服务器。
二、 基本加固ProFTPD服务器步骤
1.升级版本
升级陈旧的ProFTPD版本,因为早期的ProFTPD版本存在的安全漏洞。对于一个新配置的ProFTPD服务器来说使用最新稳定版本是最明智的选择,可以在其官方网站下载其源代码进行编译。ProFTPD最新版本是1.3.0,官方网址:http://www.ProFTPD.org 。
2.理解ProFTPD服务器运行方式
守护进程(Daemon)定义:是在计算机启动时就被运行的,并在系统中持续运行的进程, 它等待着随时为客户提供自身负责的服务。守护进程的工作就是打开一个端口,并且等待(Listen)进入的连接。 如果客户提请了一个连接,守护进程就创建(fork)子进程来响应此连接, 而父进程继续监听更多的服务请求。正因为如此,每个守护进程都可以处理多个客户服务请求。ProFTPD能以Stand-alone、xinetd两种模式运行。首先我们要理解这两个模式的含义。
(1)Stand-alone(运行独立)守护进程
Stand-alone(独立运行)守护进程由init脚本负责管理,所有独立运行的守护进程的脚本在/etc/rc.d/init.d/目录下。系统服务都是独立运行的守护进程包括:syslogd和cron等。运行独立的守护进程工作方式称作:stand-alone。它Unix传统的C/S模式的访问模式。服务器监听(Listen)在一个特点的端口上等待客户端的联机。如果客户端产生一个连接请求,守护进程就创建(Fork)一个子服务器响应这个连接,而主服务器继续监听。以保持多个子服务器池等待下一个客户端请求。stand-alone模式工作原理见图5。
图5 stand-alone工作模式 |
工作在stand-alone模式下的网络服务有route、gated。另外是大家最熟悉是Web服务器:Apache和邮件服务器Sendmail、域名服务器Bind。因为这些负载很大服务器上,预先创子服务器,可以通过客户的服务速度。在Linux系统中通过stand-alone工作模式启动的服务由/etc/rc.d/下面对应的运行级别当中的符号链接启动。
(2)xinetd模式
从守护进程的概念可以看出,对于系统所要通过的每一种服务,都必须运行一个监听某个端口连接所发生的守护进程,这通常意味着资源浪费。为了解决这个问题,Linux引进了“网络守护进程服务程序”的概念。Redhat Linux 9.0使用的网络守护进程是xinted(eXtended InterNET daemon)。和stand-alone模式相比xinted模式也称 Internet Super-Server(超级服务器)。xinetd能够同时监听多个指定的端口,在接受用户请求时,他能够根据用户请求的端口不同,启动不同的网络服务进程来处理这些用户请求。可以把xinetd看做一个管理启动服务的管理服务器,它决定把一个客户请求交给那个程序处理,然后启动相应的守护进程。xinetd模式工作原理见图6。
图6 xinetd工作模式 |
和stand-alone工作模式相比,系统不想要每一个网络服务进程都监听其服务端口。运行单个xinetd就可以同时监听所有服务端口,这样就降低了系统开销,保护系统资源。但是对于访问量大、经常出现并发访问时,xinetd想要频繁启动对应的网络服务进程,反而会导致系统性能下降。察看系统为Linux服务提供那种模式方法在Linux命令行可以使用pstree命令可以看到两种不同方式启动的网络服务。一般来说系统一些负载高的服务:sendmail、Apache服务是单独启动的。而其他服务类型都可以使用xinetd超级服务器管理。守护进程的分类:系统守护进程:如atd、crond、lpd、syslogd、login等。网络守护进程:如sshd、httpd、sendmail、xinetd等。
查看目前运行的守护进程树可以使用命令:“pstree”。pstree指令用ASCII字符显示树状结构,清楚地表达程序间的相互关系。如果不指定程序识别码或用户名称,则会把系统启动时的第一个程序视为基层,并显示之后的所有程序。若指定用户名称,便会以隶属该用户的第一个程序当作基层,然后显示该用户的所有程序。主要命令选型:
-a 显示每个程序的完整指令,包含路径,参数或是常驻服务的标示。
-c 不使用精简标示法。
-G 使用VT100终端机的列绘图字符。
-h 列出树状图时,特别标明现在执行的程序。
-H<程序识别码> 此参数的效果和指定"-h"参数类似,但特别标明指定的程序。
-l 采用长列格式显示树状图。
-n 用程序识别码排序。预设是以程序名称来排序。
-p 显示程序识别码。
-u 显示用户名称。
-U 使用UTF-8列绘图字符。
pstree 输出界面见图7()内是进程号。
图7 pstree 输出界面 |
xinetd提供类似于inetd+tcp_wrapper的功能,但是更加强大和安全。xinetd(eXtended InterNET services daemon)提供类似于inetd+tcp_wrapper的功能,但是更加强大和安全。它能提供以下特色:
- 支持对tcp、ucp、RPC服务(但是当前对RPC的支持不够稳定) 。
- 基于时间段的访问控制 。
- 功能完备的log功能,即可以记录连接成功也可以记录连接失败的行为。
- 能有效的防止DoS攻击(Denial of Services) 。
- 能限制同时运行的同意类型的服务器数目 。
- 能限制启动的所有服务器数目 。
- 能限制log文件大小 。
- 将某个服务绑定在特定的系统接口上,从而能实现只允许私有网络访问某项服务 。
- 能实现作为其他系统的代理。如果和ip伪装结合可以实现对内部私有网络的访问。
原则上任何系统服务都可以使用xinetd,然而,我认为,最适合应该是哪些常用的internet服务,同时,这个服务的请求数目和频繁程度不会太高。象DNS和Apache就不适合采用这种方式,而象Ftp、telnet、 SSH等就很适合使用xinetd方式,系统默认使用xinetd的服务可以分为如下几类:
1、标准internet服务:telnet ftp
2、信息服务:finger netstat systat
3、邮件服务:imap imaps pop2 pop3 pops
4、RPC服务:rquotad rstatd rusersd sprayd walld
5、BSD服务:comsat exec login ntalk shell talk
6、内部服务:chargen daytime echo servers services time
7、安全服务:irc
8、其他服务:name uucp
Red Hat 中xinetd 的配置文件:主配置文件:/etc/xinetd.conf,每一个由xinetd启动的服务在目录/etc/xinetd.d/下都有一个以服务名称命名的配置文件。在主配置文件/etc/xinetd.conf中将/etc/xinetd.d目录下的所有文件的内容使用 includedir /etc/xinetd.d语句包含进来。xinetd的配置选项见表-1。
表 1. xinetd的指示符 |
xinetd能有效的防止拒绝服务攻击(Denial of Services)原理:
(a)限制同时运行的进程数:
通过设置instances选项设定同时运行的并发进程数:
instances=20
当服务器被请求连接的进程数达到20个时,xinetd将停止接受多出部分的连接请求。直到请求连接数低于设定值为止。
(b)限制一个IP地址的最大连接数:
通过限制一个主机的最大连接数,从而防止某个主机独占某个服务。
per_source=5
这里每个IP地址可以连接单个IP地址的连接数是5个。
(c)限制负载:
xinetd还可以使用限制负载的方法防范拒绝服务攻击。用一个浮点数作为负载系数,当负载达到这个数目的时候,该服务将暂停处理后续的连接:
max_load = 2.8
上面的例子中当一项系统负载达到2.8时,所有服务将暂时中止,直到系统负载下降到设定值以下。说明要使用这个选项,编译时要加入--with-loadavg ,xinetd将而已处理max-load配置选项。从而在系统负载过重时关闭某些服务进程,来实现某些拒绝服务攻击。
(d)限制所有服务器数目(连接速率):
xinetd可以使用cps选项设定连接速率,下面的例子:
cps = 25 60
第一个参数表示每秒可以处理的连接数,如果超过了这个连接数之后进入的连接将被暂时停止处理;第二个参数表示停止处理多少秒后继续处理先前暂停处理的连接。即服务器最多启动25个连接,如果达到这个数目将停止启动新服务60秒。在此期间不接受任何请求。
3.尽量使用xinetd方式运行ProFTPD服务器
ProFTPD能以Stand-alone、xinetd两种模式运行。当用户账号比较少又经常需要连接到ProFTPD服务器时推荐使用xinetd模式运行。使用xinetd方式运行ProFTPD可以有效防范DoS攻击。使用xinetd方式运行ProFTPD的步骤:
(1)检查确省运行情况
确省情况下ProFTPD以stand-alone工作模式运行,可以使用“ps aux| grep proftpd”命令查看进程号,然后使用kill命令中止运行。
(2)修改配置文件
修改/etc/proftpd.conf文件的ServerType选项由“standalone”改为“inetd”。
(3)建立用户组
groupadd nogroup
(4)创建配置文件/etc/xinetd.d/proftpd,代码如下:
service ftp
{
flags = REUSE
socket_type = stream “服务的数据封包类型为stream”
instances = 30 “最多可以同时建立30个ftp连接。”
max_load = 3.0 “最大负载“
wait = no “不需等待,即ftp服务将以多线程的方式运行”
user = root “执行此服务进程的用户是root”
server = /usr/local/sbin/proftpd “启动脚本位置”
log_on_success = HOST PID
log_on_failure = HOST RECORD
disable = no “允许运行proftpd”
}
(5)重新启动xinetd配置
killall -USR1 xinetd
(6)使用命令连接服务器
可以使用“ftp localhost”连接本地服务器,如果连接被拒绝,可以使用命令:
tail -f /var/log/messages查看错误信息。
在下一篇文章中,介绍配置安全的ProFTPD服务器的其他安全策略,敬请关注。(未完待续)