2.2.6. FTP beveiligen

Het File Transfer Protocol (FTP) is een ouder TCP protocol ontworpen voor het overbrengen van bestanden over een netwerk. Omdat alle transacties met de server, inclusief gebruikers authenticatie, onversleuteld zijn, wordt het beschouwd als een onveilig protocol en moet het zorgvuldig ingesteld worden.

Fedora levert drie FTP servers.

gssftpd — Een ftp daemon gebaseerd op xinetd en bewust van Kerberos, die geen authenticatie informatie over het netwerk verstuurt.
Red Hat Content Accelerator (tux) — Een kernel-ruimte Web server met FTP mogelijkheden.
vsftpd — Een op zich staande, op veiligheid georienteerde uitvoering van de FTP service.

De volgende beveiligingsrichtlijnen gelden voor het instellen van de vsftpd FTP service.

2.2.6.1. FTP begroetings koptekst

Voordat een gebruikersnaam en wachtwoord verstuurd worden, krijgen alle gebruikers een begroetings koptekst. Standaard bevat deze koptekst versie informatie die nuttig is voor crackers om te proberen zwaktes in een systeem te identificeren.

Om de begroetings koptekst voor vsftpd te veranderen, voeg je de volgende instructie toe aan het /etc/vsftpd/vsftpd.conf bestand:

ftpd_banner=<vul_hier_begroeting_in>

Vervang <vul_hier_begroeting_in> in bovenstaande instructie met de tekst van de begroetingsboodschap.

Voor kopteksten met meerdere regels, is het het beste om een kopstekst bestand te gebruiken. Om het beheer van meerdere kopteksten te vereenvoudigen, plaats je alle kopteksten in een nieuwe map met de naam /etc/banners/. Het koptekst bestand voor FTP verbindingen is in dit voorbeeld /etc/banners/ftp.msg. Hieronder is een voorbeeld hoe zo'n bestand er uit kan zien:

######### # Hallo, alle activiteit op ftp.example.com wordt gelogged. #########

Opmerking

Het is niet nodig om elke regel van het bestand te beginnen met 220 zoals opgegeven is in Paragraaf 2.2.1.1.1, “TCP wrappers en verbindings banners”.

Om deze begroetings koptekst te koppelen aan vsftpd, voeg je de volgende instructie toe aan het /etc/vsftpd/vsftpd.conf bestand:

banner_file=/etc/banners/ftp.msg

Het is ook mogelijk om extra kopteksten te sturen naar binnenkomende verbindingen die TCP wrappers gebruiken zoals beschreve in Paragraaf 2.2.1.1.1, “TCP wrappers en verbindings banners”.