Melhor maneira de proteger um servidor FTP

Question

Você poderia melhorar a segurança substituindo-o por um servidor SFTP ou FTPS.

O FTP é inseguro, pois os detalhes de login são passados em texto simples. Você pode substituí-lo por um protocolo seguro ou usar apenas contas que você honestamente não se importa se estiverem quebradas (como apenas anônimas) ou exigir que sejam encapsuladas por IPSec ou limitar as conexões apenas a endereços IP conhecidos (que é uma segurança muito ruim, mas ei, faça o que for preciso.)

Estas são sugestões gerais e algumas boas práticas. A "melhor maneira" e a "segurança" realmente precisam levar em consideração o que você está protegendo, quais são seus requisitos, etc. Você não nos contou nenhum de seus requisitos ou restrições. Adicione mais alguns detalhes e você poderá obter uma resposta mais útil.

/editar: Você diz

Estou preocupado com a violação do servidor FTP e com a possibilidade de as pessoas acessarem o controlador de domínio.

Para que isso acontecesse, teria que haver uma exploração no código do filezilla. Como é um código fechado (AFAIK), pode haver esse tipo de bug. [editar - isso está incorreto, é GPL. Não significa que não haja bugs no codez]. No entanto, se o processo (ou serviço) estiver sendo executado como SISTEMA LOCAL, ele não terá absolutamente nenhum direito no domínio; portanto, se for explorado, tudo o que eles poderão fazer é descartar o servidor membro que está executando o Filezilla. É claro que isso lhes dá uma base para tentar ataques contra o seu domínio, mas não lhes dá a cesta de piquenique inteira imediatamente.

Lembre-se de que isso pode acontecer com qualquer software, não apenas com FTP. Se você permitir o acesso da Internet a uma máquina na sua LAN e houver um bug explorável no código, você terá um invasor na sua LAN.

Se você estiver realmente preocupado com isso, coloque-o em uma máquina sem domínio em uma DMZ. Você disse que dá muito trabalho; a segurança geralmente é.

Answer 1

Você poderia melhorar a segurança substituindo-o por um servidor SFTP ou FTPS.

O FTP é inseguro, pois os detalhes de login são passados em texto simples. Você pode substituí-lo por um protocolo seguro ou usar apenas contas que você honestamente não se importa se estiverem quebradas (como apenas anônimas) ou exigir que sejam encapsuladas por IPSec ou limitar as conexões apenas a endereços IP conhecidos (que é uma segurança muito ruim, mas ei, faça o que for preciso.)

Estas são sugestões gerais e algumas boas práticas. A "melhor maneira" e a "segurança" realmente precisam levar em consideração o que você está protegendo, quais são seus requisitos, etc. Você não nos contou nenhum de seus requisitos ou restrições. Adicione mais alguns detalhes e você poderá obter uma resposta mais útil.

/editar: Você diz

Estou preocupado com a violação do servidor FTP e com a possibilidade de as pessoas acessarem o controlador de domínio.

Para que isso acontecesse, teria que haver uma exploração no código do filezilla. Como é um código fechado (AFAIK), pode haver esse tipo de bug. [editar - isso está incorreto, é GPL. Não significa que não haja bugs no codez]. No entanto, se o processo (ou serviço) estiver sendo executado como SISTEMA LOCAL, ele não terá absolutamente nenhum direito no domínio; portanto, se for explorado, tudo o que eles poderão fazer é descartar o servidor membro que está executando o Filezilla. É claro que isso lhes dá uma base para tentar ataques contra o seu domínio, mas não lhes dá a cesta de piquenique inteira imediatamente.

Lembre-se de que isso pode acontecer com qualquer software, não apenas com FTP. Se você permitir o acesso da Internet a uma máquina na sua LAN e houver um bug explorável no código, você terá um invasor na sua LAN.

Se você estiver realmente preocupado com isso, coloque-o em uma máquina sem domínio em uma DMZ. Você disse que dá muito trabalho; a segurança geralmente é.

Melhor maneira de proteger um servidor FTP

Responder1

informação relacionada