教你配置安全的ProFTPD服务器

二、 基本加固ProFTPD服务器步骤

    1.升级版本

    升级陈旧的ProFTPD版本，因为早期的ProFTPD版本存在的安全漏洞。对于一个新配置的ProFTPD服务器来说使用最新稳定版本是最明智的选择，可以在其官方网站下载其源代码进行编译。ProFTPD最新版本是1.3.0，官方网址：ftpd.org/">http://www.ProFTPD.org 。

    2.理解ProFTPD服务器运行方式

    守护进程（Daemon）定义：是在计算机启动时就被运行的，并在系统中持续运行的进程， 它等待着随时为客户提供自身负责的服务。守护进程的工作就是打开一个端口，并且等待（Listen）进入的连接。 如果客户提请了一个连接，守护进程就创建（fork）子进程来响应此连接， 而父进程继续监听更多的服务请求。正因为如此，每个守护进程都可以处理多个客户服务请求。ProFTPD能以Stand-alone、xinetd两种模式运行。首先我们要理解这两个模式的含义。

    （1）Stand-alone（运行独立）守护进程

    Stand-alone（独立运行）守护进程由init脚本负责管理，所有独立运行的守护进程的脚本在/etc/rc.d/init.d/目录下。系统服务都是独立运行的守护进程包括：syslogd和cron等。运行独立的守护进程工作方式称作：stand－alone。它Unix传统的C/S模式的访问模式。服务器监听（Listen）在一个特点的端口上等待客户端的联机。如果客户端产生一个连接请求，守护进程就创建（Fork）一个子服务器响应这个连接，而主服务器继续监听。以保持多个子服务器池等待下一个客户端请求。stand－alone模式工作原理见图5。
  
图5 stand－alone工作模式

    工作在stand－alone模式下的网络服务有route、gated。另外是大家最熟悉是Web服务器：Apache和邮件服务器Sendmail、域名服务器Bind。因为这些负载很大服务器上，预先创子服务器，可以通过客户的服务速度。在Linux系统中通过stand－alone工作模式启动的服务由/etc/rc.d/下面对应的运行级别当中的符号链接启动。

 （2）xinetd模式

    从守护进程的概念可以看出，对于系统所要通过的每一种服务，都必须运行一个监听某个端口连接所发生的守护进程，这通常意味着资源浪费。为了解决这个问题，Linux引进了“网络守护进程服务程序”的概念。Redhat Linux 9.0使用的网络守护进程是xinted（eXtended InterNET daemon）。和stand－alone模式相比xinted模式也称 Internet Super－Server（超级服务器）。xinetd能够同时监听多个指定的端口，在接受用户请求时，他能够根据用户请求的端口不同，启动不同的网络服务进程来处理这些用户请求。可以把xinetd看做一个管理启动服务的管理服务器，它决定把一个客户请求交给那个程序处理，然后启动相应的守护进程。xinetd模式工作原理见图6。

 
图6 xinetd工作模式

    和stand－alone工作模式相比，系统不想要每一个网络服务进程都监听其服务端口。运行单个xinetd就可以同时监听所有服务端口，这样就降低了系统开销，保护系统资源。但是对于访问量大、经常出现并发访问时，xinetd想要频繁启动对应的网络服务进程，反而会导致系统性能下降。察看系统为Linux服务提供那种模式方法在Linux命令行可以使用pstree命令可以看到两种不同方式启动的网络服务。一般来说系统一些负载高的服务：sendmail、Apache服务是单独启动的。而其他服务类型都可以使用xinetd超级服务器管理。守护进程的分类：系统守护进程：如atd、crond、lpd、syslogd、login等。网络守护进程：如sshd、httpd、sendmail、xinetd等。

    查看目前运行的守护进程树可以使用命令：“pstree”。pstree指令用ASCII字符显示树状结构，清楚地表达程序间的相互关系。如果不指定程序识别码或用户名称，则会把系统启动时的第一个程序视为基层，并显示之后的所有程序。若指定用户名称，便会以隶属该用户的第一个程序当作基层，然后显示该用户的所有程序。主要命令选型：

　-a 　显示每个程序的完整指令，包含路径，参数或是常驻服务的标示。
　-c 　不使用精简标示法。
　-G 　使用VT100终端机的列绘图字符。
　-h 　列出树状图时，特别标明现在执行的程序。
　-H<程序识别码> 　此参数的效果和指定"-h"参数类似，但特别标明指定的程序。
　-l 　采用长列格式显示树状图。
　-n 　用程序识别码排序。预设是以程序名称来排序。
　-p 　显示程序识别码。
　-u 　显示用户名称。
　-U 　使用UTF-8列绘图字符。
  pstree 输出界面见图7()内是进程号。

 
图7 pstree 输出界面

    xinetd提供类似于inetd+tcp_wrapper的功能，但是更加强大和安全。xinetd(eXtended InterNET services daemon)提供类似于inetd+tcp_wrapper的功能，但是更加强大和安全。它能提供以下特色：

支持对tcp、ucp、RPC服务(但是当前对RPC的支持不够稳定) 。
基于时间段的访问控制 。
功能完备的log功能，即可以记录连接成功也可以记录连接失败的行为。 
能有效的防止DoS攻击(Denial of Services) 。
能限制同时运行的同意类型的服务器数目 。
能限制启动的所有服务器数目 。
能限制log文件大小 。
将某个服务绑定在特定的系统接口上，从而能实现只允许私有网络访问某项服务 。
能实现作为其他系统的代理。如果和ip伪装结合可以实现对内部私有网络的访问。
    原则上任何系统服务都可以使用xinetd，然而，我认为，最适合应该是哪些常用的internet服务，同时，这个服务的请求数目和频繁程度不会太高。象DNS和Apache就不适合采用这种方式，而象Ftp、telnet、 SSH等就很适合使用xinetd方式，系统默认使用xinetd的服务可以分为如下几类：

　　1、标准internet服务：telnet ftp
　　2、信息服务：finger netstat systat
　　3、邮件服务：imap imaps pop2 pop3 pops
　　4、RPC服务：rquotad rstatd rusersd sprayd walld
　　5、BSD服务：comsat exec login ntalk shell talk
　　6、内部服务：chargen daytime echo servers services time
　　7、安全服务：irc
　　8、其他服务：name uucp

    Red Hat 中xinetd 的配置文件：主配置文件：/etc/xinetd.conf，每一个由xinetd启动的服务在目录/etc/xinetd.d/下都有一个以服务名称命名的配置文件。在主配置文件/etc/xinetd.conf中将/etc/xinetd.d目录下的所有文件的内容使用 includedir /etc/xinetd.d语句包含进来。xinetd的配置选项见表－1。

技术无忧.com