教你配置安全的ProFTPD服务器（中）

二、 基本加固ProFTPD服务器步骤

   1.升级版本

    注：如果当前版本已经是最新版本，可以跳过第一步。

    升级陈旧的ProFTPD版本，因为早期的ProFTPD版本存在的安全漏洞。对于一个新配置的ProFTPD服务器来说使用最新稳定版本是最明智的选择，可以在其官方网站下载其源代码进行编译。ProFTPD最新版本是1.3.4a，官方网址：http://www.ProFTPD.org 。

   2.理解ProFTPD服务器运行方式

    守护进程（Daemon）定义：是在计算机启动时就被运行的，并在系统中持续运行的进程， 它等待着随时为客户提供自身负责的服务。守护进程的工作就是打开一个端口，并且等待（Listen）进入的连接。 如果客户提请了一个连接，守护进程就创建（fork）子进程来响应此连接， 而父进程继续监听更多的服务请求。正因为如此，每个守护进程都可以处理多个客户服务请求。ProFTPD能以Stand-alone、xinetd两种模式运行。首先我们要理解这两个模式的含义。

    （1）Stand-alone（运行独立）守护进程

    Stand-alone（独立运行）守护进程由init脚本负责管理，所有独立运行的守护进程的脚本在/etc/rc.d/init.d/目录下。系统服务都是独立运行的守护进程包括：syslogd和cron等。运行独立的守护进程工作方式称作：stand－alone。它Unix传统的C/S模式的访问模式。服务器监听（Listen）在一个特点的端口上等待客户端的联机。如果客户端产生一个连接请求，守护进程就创建（Fork）一个子服务器响应这个连接，而主服务器继续监听。以保持多个子服务器池等待下一个客户端请求。stand－alone模式工作原理见图5。

图5 stand－alone工作模式

    工作在stand－alone模式下的网络服务有route、gated。另外是大家最熟悉是Web服务器：Apache和邮件服务器Sendmail、域名服务器Bind。因为这些负载很大服务器上，预先创子服务器，可以通过客户的服务速度。在Linux系统中通过stand－alone工作模式启动的服务由/etc/rc.d/下面对应的运行级别当中的符号链接启动。

（2）xinetd模式

    从守护进程的概念可以看出，对于系统所要通过的每一种服务，都必须运行一个监听某个端口连接所发生的守护进程，这通常意味着资源浪费。为了解决这个问题，Linux引进了“网络守护进程服务程序”的概念。Redhat Linux 9.0使用的网络守护进程是xinted（eXtended InterNET daemon）。和stand－alone模式相比xinted模式也称 Internet Super－Server（超级服务器）。xinetd能够同时监听多个指定的端口，在接受用户请求时，他能够根据用户请求的端口不同，启动不同的网络服务进程来处理这些用户请求。可以把xinetd看做一个管理启动服务的管理服务器，它决定把一个客户请求交给那个程序处理，然后启动相应的守护进程。xinetd模式工作原理见图6。

图6 xinetd工作模式

    和stand－alone工作模式相比，系统不想要每一个网络服务进程都监听其服务端口。运行单个xinetd就可以同时监听所有服务端口，这样就降低了系统开销，保护系统资源。但是对于访问量大、经常出现并发访问时，xinetd想要频繁启动对应的网络服务进程，反而会导致系统性能下降。察看系统为Linux服务提供那种模式方法在Linux命令行可以使用pstree命令可以看到两种不同方式启动的网络服务。一般来说系统一些负载高的服务：sendmail、Apache服务是单独启动的。而其他服务类型都可以使用xinetd超级服务器管理。守护进程的分类：系统守护进程：如atd、crond、lpd、syslogd、login等。网络守护进程：如sshd、httpd、sendmail、xinetd等。

    查看目前运行的守护进程树可以使用命令：“pstree”。pstree指令用ASCII字符显示树状结构，清楚地表达程序间的相互关系。如果不指定程序识别码或用户名称，则会把系统启动时的第一个程序视为基层，并显示之后的所有程序。若指定用户名称，便会以隶属该用户的第一个程序当作基层，然后显示该用户的所有程序。主要命令选型：

-a 　显示每个程序的完整指令，包含路径，参数或是常驻服务的标示。 
-c 　不使用精简标示法。 
-G 　使用VT100终端机的列绘图字符。 
-h 　列出树状图时，特别标明现在执行的程序。 
-H<程序识别码> 　此参数的效果和指定"-h"参数类似，但特别标明指定的程序。 
-l 　采用长列格式显示树状图。 
-n 　用程序识别码排序。预设是以程序名称来排序。 
-p 　显示程序识别码。 
-u 　显示用户名称。 
-U 　使用UTF-8列绘图字符。 
pstree 输出界面见图7()内是进程号。

图7 pstree 输出界面

    xinetd提供类似于inetd+tcp_wrapper的功能，但是更加强大和安全。xinetd(eXtended InterNET services daemon)提供类似于inetd+tcp_wrapper的功能，但是更加强大和安全。它能提供以下特色：

• 支持对tcp、ucp、RPC服务(但是当前对RPC的支持不够稳定) 。
• 基于时间段的访问控制 。
• 功能完备的log功能，即可以记录连接成功也可以记录连接失败的行为。
• 能有效的防止DoS攻击(Denial of Services) 。
• 能限制同时运行的同意类型的服务器数目 。
• 能限制启动的所有服务器数目 。
• 能限制log文件大小 。
• 将某个服务绑定在特定的系统接口上，从而能实现只允许私有网络访问某项服务 。
• 能实现作为其他系统的代理。如果和ip伪装结合可以实现对内部私有网络的访问。

    原则上任何系统服务都可以使用xinetd，然而，我认为，最适合应该是哪些常用的internet服务，同时，这个服务的请求数目和频繁程度不会太高。象DNS和Apache就不适合采用这种方式，而象Ftp、telnet、 SSH等就很适合使用xinetd方式，系统默认使用xinetd的服务可以分为如下几类：

　　1、标准internet服务：telnet ftp
2、信息服务：finger netstat systat
3、邮件服务：imap imaps pop2 pop3 pops 
4、RPC服务：rquotad rstatd rusersd sprayd walld
5、BSD服务：comsat exec login ntalk shell talk
6、内部服务：chargen daytime echo servers services time
7、安全服务：irc
8、其他服务：name uucp

Red Hat 中xinetd 的配置文件：主配置文件：/etc/xinetd.conf，每一个由xinetd启动的服务在目录/etc/xinetd.d/下都有一个以服务名称命名的配置文件。在主配置文件/etc/xinetd.conf中将/etc/xinetd.d目录下的所有文件的内容使用 includedir /etc/xinetd.d语句包含进来。xinetd的配置选项见表－1。

表 1. xinetd的指示符

    xinetd能有效的防止拒绝服务攻击(Denial of Services)原理：

    （a）限制同时运行的进程数：

    通过设置instances选项设定同时运行的并发进程数：
instances＝20
    当服务器被请求连接的进程数达到20个时，xinetd将停止接受多出部分的连接请求。直到请求连接数低于设定值为止。

    （b）限制一个IP地址的最大连接数：

    通过限制一个主机的最大连接数，从而防止某个主机独占某个服务。
per_source＝5
    这里每个IP地址可以连接单个IP地址的连接数是5个。

    （c）限制负载：

    xinetd还可以使用限制负载的方法防范拒绝服务攻击。用一个浮点数作为负载系数，当负载达到这个数目的时候，该服务将暂停处理后续的连接：
max_load = 2.8
    上面的例子中当一项系统负载达到2.8时，所有服务将暂时中止，直到系统负载下降到设定值以下。说明要使用这个选项，编译时要加入--with-loadavg ，xinetd将而已处理max-load配置选项。从而在系统负载过重时关闭某些服务进程，来实现某些拒绝服务攻击。 

    （d）限制所有服务器数目（连接速率）：

    xinetd可以使用cps选项设定连接速率，下面的例子：
cps = 25 60
    第一个参数表示每秒可以处理的连接数，如果超过了这个连接数之后进入的连接将被暂时停止处理；第二个参数表示停止处理多少秒后继续处理先前暂停处理的连接。即服务器最多启动25个连接，如果达到这个数目将停止启动新服务60秒。在此期间不接受任何请求。

3.尽量使用xinetd方式运行ProFTPD服务器

    ProFTPD能以Stand-alone、xinetd两种模式运行。当用户账号比较少又经常需要连接到ProFTPD服务器时推荐使用xinetd模式运行。使用xinetd方式运行ProFTPD可以有效防范DoS攻击。使用xinetd方式运行ProFTPD的步骤：

    （1）检查确省运行情况

    确省情况下ProFTPD以stand－alone工作模式运行，可以使用“ps aux| grep proftpd”命令查看进程号，然后使用kill命令中止运行。

    （2）修改配置文件

    修改/etc/proftpd.conf文件的ServerType选项由“standalone”改为“inetd”。

    （3）建立用户组

    groupadd nogroup

    （4）创建配置文件/etc/xinetd.d/proftpd，代码如下：

service ftp 
{ 
flags = REUSE 
socket_type = stream   “服务的数据封包类型为stream”
instances = 30           “最多可以同时建立30个ftp连接。”
max_load = 3.0        “最大负载“
wait = no         “不需等待，即ftp服务将以多线程的方式运行”
user = root         “执行此服务进程的用户是root”
server = /usr/local/sbin/proftpd “启动脚本位置”
log_on_success = HOST PID 
log_on_failure = HOST RECORD 
disable = no   “允许运行proftpd”
}

    （5）重新启动xinetd配置

    killall -USR1 xinetd

    （6）使用命令连接服务器

    可以使用“ftp localhost”连接本地服务器，如果连接被拒绝，可以使用命令：
    tail -f /var/log/messages查看错误信息。

 

Trackback:http://hi.baidu.com/tonyty163/blog/item/e0493b5916ca3ad79c8204b2.html