[教學]CentOS 6.4 安裝 vsftpd FTP Server

我們有個企業解決方案(無論您需要哪種項目的服務，我們都可以滿足你的需求，如果我們沒有適合您的解決方案，我們也會您開發適合您的解決方案)，最近一個客戶請我們架設FTP Server，需求是便宜、快速、穩定與安全，我第一個就想到使用Linux(免錢)來架vsFTPd(本身系統非常快速與穩定)啦，vsFTPd (very secure FTP daemon) 作者為Chris Evans其主要著眼於安全、快速、穩定，在Linux系統中是很常用到的服務。安裝也非常的快速及簡單，安裝方法如下：

1. 安裝 vsftpd：
[root@localhost ~]# yum -y install vsftpd
[root@localhost ~]# touch /etc/vsftpd/chroot_list
[root@localhost ~]# chkconfig vsftpd on

2. 安裝完後讓防火牆可以通過 21 Port：
[root@localhost ~]# iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
[root@localhost ~]# service iptables save

3. 編輯 "/etc/vsftpd/vsftpd.conf" [root@localhost ~]# vim /etc/vsftpd/vsftpd.conf
找到：anonymous_enable=YES
將 YES 改成 NO。
如要限制用戶只能在自己的家目錄，則在檔案加入:
限制用戶只能在家目錄 (/etc/vsftpd/chroot_list 的用戶可不受限制)
chroot_local_user=YES
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list
如要 ftp 的檔案列表可以看到跟 Server 上同樣的時間，請在檔案加入:
# 使用本地時區
use_localtime=YES

4. 啟動 vsftpd：
[root@localhost ~]# service vsftpd start


基本上以上設定就架好FTP Server了，但如果你使用root登入會發現FTP 會回傳530 Permission denied.。為什麼會這樣呢？root不是最大權限系統管理者帳號嗎？理論上應該是通行無阻才對，原來是因為安全性的關係vsftp預設會將系統某些重要帳號設定為無法使用FTP服務。

[root@localhost ~]# ftp 192.168.0.118
Connected to 192.168.0.118 (192.168.0.118).
220 Welcome to ftp.netqna.com FTP Server.
Name (192.168.0.118:root): root
530 Permission denied.
Login failed.
ftp>

那要怎麼讓root可以登入FTP呢？請執行下面幾個動作

移除ftpusers 裡面的帳號

vim /etc/vsftpd/ftpusers
找到root 前面加上#號註解

[root@localhost ~]# vim /etc/vsftpd/ftpusers
# Users that are not allowed to login via ftpbin
#root
daemon
adm
lp
sync
shutdown
halt
mail
news
uucp
operator
games
nobody
[root@localhost ~]#


移除user_list裡面的帳號

vim /etc/vsftpd/user_list
一樣找到root 前面加上#號註解

[root@localhost ~]# vim /etc/vsftpd/user_list
# vsftpd userlist
# If userlist_deny=NO, only allow users in this file
# If userlist_deny=YES (default), never allow users in this file, and
# do not even prompt for a password.
# Note that the default vsftpd pam config also checks /etc/vsftpd/ftpusers
# for users that are denied.bin
#root
daemon
adm
lp
sync
shutdown
halt
mail
news
uucp
operator
games
nobody
[root@localhost ~]#


重新啟動VSFTPd 

[root@localhost ~]# /etc/init.d/vsftpd restart
Shutting down vsftpd: [ OK ]
Starting vsftpd for vsftpd: [ OK ]


重新使用root登入

[root@localhost ~]# ftp 192.168.0.118
Connected to 192.168.0.118 (192.168.0.118).
220 Welcome to ftp.netqna.com FTP Server.
Name (192.168.0.118:root): root
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> bye
221 Goodbye.
[root@localhost ~]#


增加FTP Server安全性

雖然root登入很方便，但還是有一定程度的安全性議題，畢竟FTP傳輸協定是明文在傳輸的，預設本身沒有加密，萬一帳號被竊取，很有可能導致公司重要資料被竊取，建議新增一個FTP User，而這個User不能登入系統，只能使用FTP 服務，即使帳號密碼被竊取，起碼可以將駭客的權限限制到FTP服務。以下兩個方法可以增加FTP的安全性。

限制FTP使用者

如果我們想把chris這個用戶目錄定位在/var/www/html/chris/public_html這個目錄中，並且不能登錄系統，我們應該如下操作

[root@localhost ~]# adduser -d /var/www/html/chris/public_html -g ftp -s /sbin/nologin chris
[root@localhost ~]# passwd chris

另外如果希望讓chris可以切換目錄，其它都不行的話，可以修改vsftpd.conf 加上兩行設定

[root@localhost ~]# vim /etc/vsftpd/vsftpd.conf
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list
並將chris寫入 /etc/vsftpd/chroot_list 之中即可!!


限制來源IP

設定只允許 192.168.0.0/24 的主機使用 FTP Server
編輯「/etc/hosts.allow」，輸入 vsftpd: 192.168.0.x
編輯「/etc/hosts.deny」，輸入 vsftpd: ALL

總結

雖然已經限制了FTP使用者，也針對信任的來源IP才可以使用FTP 服務，看起來好像很安全了，但是就如上文所說的，FTP還是使用明文傳輸，萬一網路環境不乾淨，駭客躲在網路的傳輸中加入一個惡意的節點，攔截所有經過的網路封包，接著嘗試取得封包內的機密訊息，例如帳號、密碼等..。這時如果訊息沒有經過加密就很有可能帳號密碼因此就外洩了，可怕的是在攔截的過程中雙方都會收到彼此的訊息，管理者很難發現被中間人攻擊了，建議可以使用SFTP (SSH File Transfer Protocol)，就算封包被攔截竊取，駭客也需要花時間去解密，起碼管理者有緩衝的時間，做一些因應與處理。

延伸閱讀

[資訊安全]如何避免或破解Netcut網路剪刀手(ARP Spoofing)造成的斷線情形
[資訊安全]如何解決麻煩的161816.com ARP Spoofing

Read More

網頁應用防火牆(Web Application Firewal, WAF)

隨著 Web2.0 時代的到來，網站應用也逐漸被大眾廣泛的接受和使用。企業的ｅ化雖然可為企業帶來可觀的商業利益，但建置網站的資安問題也緊跟著浮出檯面。

事實上，網站攻擊會越來越氾濫的原因，其實跟網站本身有很深的關聯。由於網路的興起，從政府機關、金融機構、中小企業以至於學校、個人都開始架設自己的網站，而且，為了與來訪者互動，多半都會使用ASP、PHP、CGI、JSP等網路應用程式。但是因為這些程式的開發者程度不一，有些甚至沒有受過專業訓練，只是從網路上隨便抄程式碼拼湊起來，所以這些程式可說是良莠不齊，漏洞百出。

若想解除Web的安全威脅，最根本的解決方式在於重新檢視所有的Web程式，即所謂的白箱測試Code Review，從中找出不安全的程式碼再加以修改，而且有些程式碼的掃瞄軟體可幫忙程式設計師找出不安全的程式碼。但是Code Review的工程浩大，很不切實際，因此網頁應用防火牆(Web Application Firewal, WAF)應運而生。而面對網站的安全問題，許多廠商推出了像是IDS、IPS、WAF等..網站防護的資安產品，這些產品是什麼？有什麼不同之處呢？今天會針對網頁應用防火牆(Web Application Firewal, WAF)來做個簡單的介紹。

延伸閱讀：

網路型入侵偵測系統(Network-based Intrusion Detection System)

主機型入侵偵測系統﹙Host-based Intrusion Detection System , HIDS﹚

以往僅能看到L3、L4攻擊的網路安全閘道器已無法應付這些針對L7應用程式的攻擊方式，必須仰賴像網頁應用程式防火牆(Web Application Firewal, WAF)的第七層網路安全設備來抵禦這些新型威脅。WAF的設計宗旨是防禦針對網頁應用程式的常見攻擊，像是OWASP Top 10 中最常出現的跨網站腳本攻擊(Cross Site Scripting, XSS)以及資料庫隱碼(SQL injection) 等攻擊。簡單的說WAF的作用就是為了保護網站主機，在我們來得及改善網站的安全性之前，拉起一道防護網，以減少被攻擊成功的機會。

OWASP TOP 10（年度 10 大 Web 安全漏洞）

OWASP 是一個專門研究 Web 軟體安全的社群，他們每年均會提出最有威脅的 Web 安全漏洞來提醒使用者，以下簡單的說明 OWASP 所提出的 Web 安全漏洞。

Injection（注入攻擊）

由於程式設計師出於疏失或經驗不足而未對於使用者輸入的參數值進行檢驗，以致於惡意使用者可利用惡意的輸入值（如惡意 SQL 指令串或惡意的 script 碼），讓系統自動執行惡意的指令而對系統造成危害。此類攻擊以 SQL injection，command injection 為代表，其中以 SQL injection 最具代表也最具危害性。

Cross Site Scripting（XSS，跨網站腳本攻擊）

跨網站腳本攻擊的原因跟 SQL injection 一樣，同樣是因為程式沒有檢驗使用者輸入的參數內容所造成。不過與 SQL injection 最大的不同在於，SQL injection 會對資料庫所在的主機造成重大危害，但 XSS 攻擊主要會造成瀏覽者安全上的危害，往往不會對於主機造成危害，也因此常被管理者所忽略，而使得此種攻擊有越來越普遍的趨勢。XSS 攻擊流程如下：

1. 攻擊者將含有 XSS 漏洞的網頁，置於受害的網站伺服器上 。 
2. 當不知情的使用者瀏覽此網頁時（如瀏覽某則留言），即會啟動 XSS 攻擊碼而將無辜的第三者相關資訊回傳到駭客的電腦上。

Broken Authentication and Session Management（鑑別與連線管理漏洞）

此漏洞是指網站自行開發的身份證驗證與連線 (session) 管理具有安全性的缺失，例如一個網站身份驗證流程如下：

1. 當使用者登入成功後，會將一個（含有帳號及密碼甚至權限等相關資訊的 cookies，丟至使用者的電腦端上）。 
2. 網站再存取該使用者的授權 cookies 來判別使用者的身份。 

在上述流程中，如果 cookies 並未加密，惡意的使用者只要取得此 cookies 即可得知其它使用者相關的機密資訊。或者加密的演算法不夠嚴謹，一旦被破解，也會造成使用者的機密資料外流，甚至可冒充其它的使用者（提升權限至管理者）。

Insecure Direct Object References（不安全的物件參考）

如果一個經驗不足的程式設計師，想要實做一支能動態顯示檔案內容的程式，會直覺想到直接把要顯示的檔案當做參數傳進去，如下連結所示：

http://xxx.xxx.xxx.xxx/show.php?file=xxx.txt
而後在接到參數值後，再直接開檔顯示即可。可是如果一個有心人傳進去的參數為：
http://xxx.xxx.xxx.xxx/show.php?file=../../etc/passwd
其中 ".." 為回到上一層，此種參數即可能將系統中的 /etc/ 目錄下的 passwd 檔案顯示出來。

Cross Site Request Forgery（CSRF，跨網站冒名請求）

從某種角度來看，CSRF 可視為廣義的跨網站攻擊 (XSS) ，但 CSRF 通常是在使用者已登入系統服務下發動攻擊。例如：

在討論區中的某段留言塞進一段可直接登出 (logout) 的惡意程式碼，當使用者登入後，在瀏覽相關留言時，只要瀏覽到這段留言，即會觸發該段惡意程式碼，而直接將使用者登出。此即為 CSRF 攻擊。

Security Misconfiguration（不安全的組態設定）

此漏洞較偏向管理面的問題，如未更改預設的帳號及密碼或未定時的更新系統的安全修正程式等等。

Failure to Restrict URL Access（未適當限制的 URL 存取）

一般網站通常會分成前端程式及後端管理程式。基於安全的考量 ，後端管理程式不應該直接被 Internet 上的使用者查詢，而應該限制僅有某些管理者可查詢及存取。如果網站未限制，而使 Internet 上的其它使用者也可正常的查詢，即可能造成潛在的安全漏洞。

Unvalidated Redirects and Forwards（未驗證的網頁重新導向）

有些網站提供網頁重新導向至其它的網站，惡意的攻擊者可利此種特性，將惡意網址插入到重新導向的參數中，讓使用者連接到惡意的網站上。

Insecure Cryptographic Storage（不安全的加密儲存）

網站並未對機密的資料做加密處理或使用不嚴謹的加密演算法，而導致攻擊者在取得相關的機密資料後，可以很輕易的取得相關資訊。

Insufficient Transport Layer Protection（不安全的傳輸防護）

由於 HTTP 連線均是採用明碼的方式連線，攻擊者在任何一個節點均可能利用 Sniffer（竊聽）方式取得來往資料。如果網站採用 HTTP 連線方式，來往的封包均以明碼方式傳輸，攻擊者即可輕易的取得相關機敏資訊。

儘管某些入侵防禦系統(Intrusion Prevention Systems, IPS)也能提供一定程度的應用層的防禦功能，但是它們不具備WAF的精度和準度，為什麼呢？因為這兩者是完全不同的兩種技術，IPS是基於特徵碼，而WAF是從行為來分析，以下介紹WAF與IPS的不同：

1. WAF主要只針對HTTP（s）協定進行防護，而IPS較廣泛的針對大多數的網路協定。 
2. WAF 是針對網路行為來進行分析，IPS 則是作特徵碼的比對，相較之下，WAF屬於動態防護，而IPS就偏於靜態。例如針對一般的SQLInjection（資料庫隱碼注入）攻擊，兩者都能夠防護。但是，如果網站資料是加密的（主要是採用HTTPS）或是攻擊者將資料編碼過（如URL Encoding），由於加密過後，風包頭尾資訊就看不到了，IPS便無法阻擋這種方式的攻擊。 
3. WAF防護行為通常包含了黑白名單與特徵碼分析，所謂黑白名單，主要是指已知允許或不允許的網頁連線行為。例如，必須先到登入頁面才能瀏覽某個網站頁面，如果有攻擊者試著規避此一程序，WAF可以偵測到這種行為，而IPS主要只比對特徵碼。 
4. WAF可針對網站表單欄位內容進行檢查與限制，IPS則無此功能。因此若要做到防止表單欄位內容竄改，就要使用WAF。 
5. WAF從網頁連線要求開始就記錄和追蹤，IPS只針對封包記錄。

總結

所以說IPS主要是防禦面相是廣的，而WAF的防禦面相是深的，每個產品的資安防護都有個有不足，唯有搭配使用才能將網站做到一定程度的防護。

Read More

[資訊安全]如何有效防範社交工程Social Engineering

何謂社交工程(Social engineering)

所謂「社交工程」，就是詐騙！透過電話、電子郵件等方式偽裝身份誘騙您上勾受騙…社交工程是利用人性的弱點進行詐騙，是一種非「全面」技術性的資訊安全攻擊方式，藉由人際關係的互動進行犯罪行為。

簡單的說利用人與人之間的關係，讓使用者信任來源，例如家人、同事、長官….等等。偽裝成可信任的寄件者發送夾雜病毒的e-mail，當使用者對信件判斷為可信任來源時，戒心的下降打開信件附檔，造成了開啟復健後木馬病毒順利植入的情況。有時病毒不見得只在復健的執行檔中，有時會夾雜於文件、圖檔甚至影音檔中，讓使用者防不勝防。

常見的社交工程攻擊手法除了電話之外，常見的社交工程攻擊還包括︰

1. 電子郵件隱藏電腦病毒
   駭客利用社交工程的概念，將病毒、蠕蟲與惡意程式等隱藏在電子郵件中，這些看似朋友所寄來的郵件，卻是應用社交工程的電子郵件陷阱，例如過去造成重大損害的I LOVE YOU蠕蟲，就是一種利用社交工程散播的電腦病毒。
2. 網路釣魚
   有一種偽裝知名企業或機關單位寄發的電子郵件，通知收件人必須重新驗證密碼或登入某網址輸入個人資料等，這種詐騙稱為網路釣魚。收件人若無小心求證而連結了郵件中的鏈結，可能就下載了惡意程式；或者在假網頁上輸入了帳號密碼或信用卡資料等，造成銀行戶頭被盜領或盜刷等的嚴重後果，這是近年來造成個人與企業極大損害的犯罪手法，而網路釣魚就是一種典型的社交工程攻擊。
3. 圖片中的惡意程式
   明星或色情圖片也是許多惡意程式慣用的社交工程技巧之一，這些都是利用使用者的好奇心來散佈惡意程式，之前Sobig網路病毒出現在某個含有色情內容的網路討論群組，網友點選了其中像是裸照的內容就會感染病毒，而該病毒總共導致了約10億美金的損失。
4. 偽裝修補程式
   另一種社交工程的欺騙手法，就是偽裝成微軟的修補更新程式，因為一般使用者不會覺得這是來路不明的程式，卻沒有防範社交工程也會利用這個漏洞，而將惡意程式隱藏其中。使用者若安裝了這個檔案，不但不會修補作業系統的任何漏洞，還可能被安裝了遠端竊取資料的木馬程式。
5. 即時通也是社交工程新途徑
   近年來，社交工程傳播惡意程式的途徑擴大至即時通訊軟體，如MSN、ICQ、YAHOO即時通、QQ等。2005年2月，一個使用MSN大量散播的病毒造成嚴重災情，這個電腦病毒會利用MSN自動傳檔給MSN聯絡人上的朋友，亞洲各國皆傳出災情，包括台灣的案例也有千起以上。

社交工程攻擊步驟

• 首先取得一個攻擊目標的背景資訊
• 向目標騙取資訊
• 再利用這些資訊向其他人欺騙
• 重覆這些步驟致達到最後目標

如何防範社交工程郵件

1. 郵件軟體取消信件預覽及自動發信(相關設定如下)
2. 使用純文字閱讀郵件(相關設定如下)
3. 不開啟與公司無關之郵件
4. 遵守組織安全政策與程序--確認對方的身份
5. 認識常見社交工程攻擊的可疑徵兆

關閉Microsoft Outlook 的郵件預覽視窗（以Microsoft Outlook 2010 為例）

選擇「收件匣」 →點選「檢視」 →「讀取窗格」 「讀取窗格」 「讀取窗格」 →「關 閉」除「收件匣」外，刪除的郵、垃圾寄備份也請按以上步驟設定

使用純文字讀取，設定郵件禁止下載圖片和超連結

點選左上角的「檔案」 →「選項」 → 在「 Outlook 選項」點選「信任中心」 →「信任中心設定」 →「電子郵件安全性」→ 選取「以純文字讀所有標準郵件」核取方塊

取消自動發信

點選左上角的「檔案」→「選項」 →「進階 」→ (右邊畫面往下捲 ) 取消勾選「連線時立即傳」

按一下「傳送 /接收…」 → 取消「排定自動傳送/接收每隔 xx 分鐘」及「結束時自動傳送/接收」 

雖然社交工程技巧已經流傳多年，但仍一再被利用，並且不斷演進。各式各樣的資安威脅，包括許多類型的 Web 資安威脅在內，都會使用社交工程技巧。社交工程技巧在目標式攻擊中使用的頻率愈來愈高。網路罪犯以往只會利用全球性事件或新聞 (例如世界盃足球賽或情人節等) 來引誘使用者。現在，蠕蟲、大量發信程式及其他資安威脅會整合社交工程技巧以鎖定世界上的某個區域或特定國家。網路罪犯可能使用各地的語言，利用各地的重大事件或新聞為誘餌，使特定國家的人產生興趣。這使得運用大規模社交工程技巧的網路罪犯得以躲避偵測，同時還能引發嚴重的災情。在擁有大量新的網際網路使用者上線的國家，這種方式可能特別有效。 

Read More