[教學]CentOS 6.4 安裝 vsftpd FTP Server

我們有個企業解決方案(無論您需要哪種項目的服務，我們都可以滿足你的需求，如果我們沒有適合您的解決方案，我們也會您開發適合您的解決方案)，最近一個客戶請我們架設FTP Server，需求是便宜、快速、穩定與安全，我第一個就想到使用Linux(免錢)來架vsFTPd(本身系統非常快速與穩定)啦，vsFTPd (very secure FTP daemon) 作者為Chris Evans其主要著眼於安全、快速、穩定，在Linux系統中是很常用到的服務。安裝也非常的快速及簡單，安裝方法如下：

1. 安裝 vsftpd：
[root@localhost ~]# yum -y install vsftpd
[root@localhost ~]# touch /etc/vsftpd/chroot_list
[root@localhost ~]# chkconfig vsftpd on

2. 安裝完後讓防火牆可以通過 21 Port：
[root@localhost ~]# iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
[root@localhost ~]# service iptables save

3. 編輯 "/etc/vsftpd/vsftpd.conf" [root@localhost ~]# vim /etc/vsftpd/vsftpd.conf
找到：anonymous_enable=YES
將 YES 改成 NO。
如要限制用戶只能在自己的家目錄，則在檔案加入:
限制用戶只能在家目錄 (/etc/vsftpd/chroot_list 的用戶可不受限制)
chroot_local_user=YES
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list
如要 ftp 的檔案列表可以看到跟 Server 上同樣的時間，請在檔案加入:
# 使用本地時區
use_localtime=YES

4. 啟動 vsftpd：
[root@localhost ~]# service vsftpd start


基本上以上設定就架好FTP Server了，但如果你使用root登入會發現FTP 會回傳530 Permission denied.。為什麼會這樣呢？root不是最大權限系統管理者帳號嗎？理論上應該是通行無阻才對，原來是因為安全性的關係vsftp預設會將系統某些重要帳號設定為無法使用FTP服務。

[root@localhost ~]# ftp 192.168.0.118
Connected to 192.168.0.118 (192.168.0.118).
220 Welcome to ftp.netqna.com FTP Server.
Name (192.168.0.118:root): root
530 Permission denied.
Login failed.
ftp>

那要怎麼讓root可以登入FTP呢？請執行下面幾個動作

移除ftpusers 裡面的帳號

vim /etc/vsftpd/ftpusers
找到root 前面加上#號註解

[root@localhost ~]# vim /etc/vsftpd/ftpusers
# Users that are not allowed to login via ftpbin
#root
daemon
adm
lp
sync
shutdown
halt
mail
news
uucp
operator
games
nobody
[root@localhost ~]#


移除user_list裡面的帳號

vim /etc/vsftpd/user_list
一樣找到root 前面加上#號註解

[root@localhost ~]# vim /etc/vsftpd/user_list
# vsftpd userlist
# If userlist_deny=NO, only allow users in this file
# If userlist_deny=YES (default), never allow users in this file, and
# do not even prompt for a password.
# Note that the default vsftpd pam config also checks /etc/vsftpd/ftpusers
# for users that are denied.bin
#root
daemon
adm
lp
sync
shutdown
halt
mail
news
uucp
operator
games
nobody
[root@localhost ~]#


重新啟動VSFTPd 

[root@localhost ~]# /etc/init.d/vsftpd restart
Shutting down vsftpd: [ OK ]
Starting vsftpd for vsftpd: [ OK ]


重新使用root登入

[root@localhost ~]# ftp 192.168.0.118
Connected to 192.168.0.118 (192.168.0.118).
220 Welcome to ftp.netqna.com FTP Server.
Name (192.168.0.118:root): root
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> bye
221 Goodbye.
[root@localhost ~]#


增加FTP Server安全性

雖然root登入很方便，但還是有一定程度的安全性議題，畢竟FTP傳輸協定是明文在傳輸的，預設本身沒有加密，萬一帳號被竊取，很有可能導致公司重要資料被竊取，建議新增一個FTP User，而這個User不能登入系統，只能使用FTP 服務，即使帳號密碼被竊取，起碼可以將駭客的權限限制到FTP服務。以下兩個方法可以增加FTP的安全性。

限制FTP使用者

如果我們想把chris這個用戶目錄定位在/var/www/html/chris/public_html這個目錄中，並且不能登錄系統，我們應該如下操作

[root@localhost ~]# adduser -d /var/www/html/chris/public_html -g ftp -s /sbin/nologin chris
[root@localhost ~]# passwd chris

另外如果希望讓chris可以切換目錄，其它都不行的話，可以修改vsftpd.conf 加上兩行設定

[root@localhost ~]# vim /etc/vsftpd/vsftpd.conf
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list
並將chris寫入 /etc/vsftpd/chroot_list 之中即可!!


限制來源IP

設定只允許 192.168.0.0/24 的主機使用 FTP Server
編輯「/etc/hosts.allow」，輸入 vsftpd: 192.168.0.x
編輯「/etc/hosts.deny」，輸入 vsftpd: ALL

總結

雖然已經限制了FTP使用者，也針對信任的來源IP才可以使用FTP 服務，看起來好像很安全了，但是就如上文所說的，FTP還是使用明文傳輸，萬一網路環境不乾淨，駭客躲在網路的傳輸中加入一個惡意的節點，攔截所有經過的網路封包，接著嘗試取得封包內的機密訊息，例如帳號、密碼等..。這時如果訊息沒有經過加密就很有可能帳號密碼因此就外洩了，可怕的是在攔截的過程中雙方都會收到彼此的訊息，管理者很難發現被中間人攻擊了，建議可以使用SFTP (SSH File Transfer Protocol)，就算封包被攔截竊取，駭客也需要花時間去解密，起碼管理者有緩衝的時間，做一些因應與處理。

延伸閱讀

[資訊安全]如何避免或破解Netcut網路剪刀手(ARP Spoofing)造成的斷線情形
[資訊安全]如何解決麻煩的161816.com ARP Spoofing

Read More

[資訊安全]讓Linux系統預防簡單的ARP攻擊

如果環境中有電腦中了 161816.com 的 ARP 病毒，要該如何解決呢?之前有po Windows Server的預防跟解決方法，請參考這篇[資訊安全]如何解決麻煩的161816.com ARP Spoofing，但如果是Linux系統該如何預防呢?

Linux下防範arp攻擊有一些基本的防範方法，可以防止一些簡單的攻擊，那就是設定靜態arp。設定靜態arp是最理想的防制方法，網路內電腦的ARP table一律改用靜態的方式來防範arp spoofing，不過這在大型的網路中應該是不可行的，因為需要經常更新每電腦的ARP表，可能會造成網管人員很大的Loading。這裡是對中小型的環境做參考。

設定步驟:

[root@linux ~]# ping -c 1 192.168.1.10

[root@linux ~]# arp -n

Address      HWtype HWaddress        Flags Mask  Iface

192.168.1.10 ether  00:12:34:56:78:9A  C          eth0

知道MAC Address後(這裡假設00:12:34:56:78:9A)

建立/etc/ethers文件(如果不存在的話)

vi /etc/ethers

編輯文件格式，ethers文件內容格式如下

192.168.1.10 00:12:34:56:78:9A

在到 /etc/rc.d/rc/local 文件中最後加一行

arp -f

以便在每次開機之後自動啟用靜態ARP。

透過arp -a 命令查看當前arp表會發現，

所有的靜態ARP記錄中都有「PERM」字樣，

而用cat /proc/net/arp指令會發現，所有靜態ARP記錄的Flags為0×6。

如果某塊網卡所在的網段有ARP攻擊，可以在啟用靜態ARP之後使用

echo 0 > /proc/sys/net/ipv4/conf/ethx/arp_accept

echo 1 > /proc/sys/net/ipv4/conf/ethx/arp_filter

echo 2 > /proc/sys/net/ipv4/conf/ethx/arp_ignore

在一定程度上啟用arp 過濾。

Read More

[資訊安全]如何解決麻煩的161816.com ARP Spoofing

當網域中有一台電腦中了 161816 病毒之後，所有同網域中的電腦都會受到影響。此病毒為 ARP 病毒，會發出 ARP 封包「欺騙」網域中其他正常的電腦，說它自己就是 gateway。所有封包流量都透過這台gateway的話，駭客就可利封包擷取工具抓取機敏資料。

先介紹一下何謂ARP〈Address Resolution Protocol〉

ARP是負責將IP位址轉換成Mac位址的一種通訊協定，當某一台電腦要傳送資料到某個IP位址時，會先傳送ARP封包詢問網路上哪台電腦的MAC Address對應到這個IP位址，當目的端的電腦接收到這個ARP封包之後便會回應給來源電腦進行資料傳送。

若要查看本機的ARP Cache，可在命令提示字元中執行ARP -a。

那什麼是ARP攻擊?〈ARP Poisoning、ARP Spoofing〉

發送一個假的ARP封包竄改ARP Cache使得資料無法正確傳輸到目的地，造成網路無法連結，便稱作ARP攻擊。由於一般的ARP Cache是根據經過的ARP封包不斷的變更本身的ARP列表，假設接收到的ARP封包所提供的資料是偽造的，就會讓資料無法傳輸到實際的目的地。甚至可能因為資料導向某特定電腦，駭客可利用病毒竊取封包資料或修改封包內容。

假設Host B中了ARP病毒，它發送一個假的ARP封包給Switch，告訴Swich說192.168.1.1對應的Mac位址是Host B的Mac Address，原本192.168.1.1對應的Mac Address是Router，這時候就會被修改成錯誤的Mac位址。

當Host A要發送HTTP request到192.168.1.1時，經過Swich的時候查看ARP Cache發現192.168.1.1對應到的是Host B的Mac Address，此時資料就會傳送給Host B，而不會傳送到Router，所以Host A就可能無法連上網路。

中161816.com ARP病毒的特徵:

打開網頁時首頁自動連接 hxxp://www.161816.com/www.htm 或 hxxp://www.112161.com/www.htm網頁，然後IE就像死當了一樣，而且一會兒就彈出「虛擬記憶體太低」的訊息，導致系統過慢最後當機。

如何找出感染ARP病毒的電腦

使用arp -a的指令

上圖的ARP Cache有三個IP均指向同一個Mac Address，表示這個Mac Address實際對應的電腦可能感染了ARP病毒。

清除方法1:

這是 Windows 系統的一個很嚴重的 bug，微軟也出了修補程式。

1.首先在"安全模式下"刪除IE屬性的 [Cookie] 與 [Temporary Internet Files] 和 [清除歷史記錄]

2.更新微軟的修補程式.

3.更新完畢請重新開機.

Microsoft 安全性公告 MS06-014:

http://www.microsoft.com/taiwan/technet/security/bulletin/ms06-014.mspx

Microsoft 安全性公告 MS07-017:

http://www.microsoft.com/taiwan/technet/security/Bulletin/ms07-017.mspx

PS:找到與你 Windows 作業系統相對的版本下載修補程式即可.

清除方法2:

新型ARP變種病毒 161816 & 112161 清除程式下載位置

http://www.hatea.com.tw/tech/files/ARPVirus_Clear.zip

下載完成,解壓縮檔案後直接執行[ARPVirus_Clear.exe],執行完畢請馬上重新開機,病毒即清除完成…^^

預防方法:

ARP變種病毒可能連接的網頁如下，請利用防火牆封鎖:

hxxp://www.161816.com

hxxp://161816.com

hxxp://www.121161.com

hxxp://web.123563.com

hxxp://www.123563.com

hxxp://www.199008.com

hxxp://199008.com

hxxp://www.851733.cn

hxxp://851733.cn

hxxp://ora.3168a.com

hxxp://www.220033.cn

hxxp://220033.cn

hxxp://sdo.90908080.com

hxxp://movie.yl0708.cn

hxxp://www.9533.com

hxxp://tb.9533.com

hxxp://www.qqadd.com

hxxp://qqadd.com

hxxp://Www.Jh45.Com

hxxp://Jh45.Com

hxxp://www.11xp.com

hxxp://11xp.com

hxxp://www.linkad.cn

hxxp://linkad.cn

hxxp://aaa.369678.cn

hxxp://www.nb46.com

hxxp://nb46.com

hxxp://www.8749.com

hxxp://8749.com

hxxp://www.7255.com

hxxp://7255.com

hxxp://www.4318.com

hxxp://4318.com

Read More

[資訊安全]如何避免或破解Netcut網路剪刀手(ARP Spoofing)造成的斷線情形

要破解使用Netcut造成的斷線問題，必須先了解Netcut的運作原理。由於Netcut使用的是ARP spoofing封包造成目標主機ARP table記錄錯誤來達成斷線目的，因此必須先由ARP協議開始說明。

在乙太網路上僅僅知道某台主機的IP address，並不能立即將封包傳送過去，必須先查明該主機的實體位址(Physical address / MAC address)才能真正發送出去，而ARP協議的功用就是在於將IP address轉換成實體位址。

網路上每一台主機都有一個ARP table，此table中記錄了最近一段時間裡其它IP address及其MAC address的對應關係。如果本機想跟某一台主機通信，則會先在ARP table中查尋對應目的主機IP address的MAC address，如果該對應記錄存在，則直接將目的主機的MAC address填入Data Link層的封包表頭中，然後將封包發送出去；如果該對應記錄不存在，則會向本網段廣播一個ARP請求封包，當目的主機聽見該請求封包後，會將本身的 MAC address填入封包並用廣播方式回送出去，本機收到此回應封包後，就會將相關訊息記錄在ARP table中，然後將目的主機的MAC address填入Data Link層的封包表頭裡。

由於ARP請求封包發送端只管接收回應訊息，卻無法分辨訊息的真偽，因此第三方主機只要建構一個ARP spoofing封包，就可以造成請求端的ARP table資訊錯誤。由於MAC address不正確，所以封包就再也無法傳送到目的主機上，這就是Netcut造成連線中斷的原因。

舉例來說，裝有Netcut的A主機向受害B主機發送假的ARP訊息，使得B主機上ARP table中對應到閘道器IP address的MAC address，更新成錯誤的MAC address。由於B主機上網必須透過閘道器傳送，閘道器的MAC address資訊錯誤，當然會造成B主機的封包再也無法傳送到閘道器上，原本建立好的連線也會因為timeout而導致斷線的情形發生。

知道Netcut的運作原理了，可是要怎樣才能預防或解決被Netcut斷線的問題呢？其實只要下達一個小小的指令就可以對Netcut完全免疫了~~方法很簡單，由於Netcut的工作原理是透過假造ARP封包，造成你主機上的ARP table記錄到錯誤的閘道器MAC address，藉此讓你的主機跟目地主機間的往來封包發生中斷，所以你只要將正確的對應位址設定成static記錄就可以避免狀況發生。

設定指令如下：

arp -s 閘道器IP address 閘道器MAC address

舉例來說，假設閘道器的IP address是192.168.88.254，打開命令提示字元，執行ping 192.168.88.254，只要ping得通就可以得到正確的閘道器MAC address。這時執行 arp -a 就可以查出192.168.88.254的對應MAC address(就是Physical Address)。例如192.168.88.254的MAC address是00-90-cc-4f-db-18，那麼只要執行 arp -s 192.168.88.254 00-90-cc-4f-db-18 就搞定了。

假如你的主機已經被斷線，這時該怎麼辦呢？很簡單，你只要借用同網段的其他主機查詢閘道器的MAC address，然後用上述方法將正確的對應資訊加入到你的主機上就行了。

注意：如果主機的閘道器IP address改變，MAC address通常也會跟著變動，這時只要下達 arp -d 就可以將原先設定的ARP table對應資訊清除掉。

網智數位-軟體開發（軟件開發） 
針對各特殊產業都可以量身定做符合貴公司的需求，別人無法克服的就是我們的挑戰  
業務合作、軟體委外開發  
業務窗口：allen@netqna.com  
聯繫電話：0920-883-870  
skype： netqna  
line：netqna  
微信：netqna  
黃先生 Allen

Read More