Лучший способ защитить FTP-сервер

Question

Вы можете повысить безопасность, заменив его сервером SFTP или FTPS.

FTP небезопасен, поскольку данные для входа передаются в виде простого текста. Вы можете заменить его безопасным протоколом или использовать только те учетные записи, которые вам, честно говоря, неважно, взломаны ли они (например, только анонимные), или потребовать туннелирования через IPSec, или ограничить соединения только известными IP-адресами (что довольно плохо с точки зрения безопасности, но, эй, делайте то, что должны).

Это общие предложения и некоторые хорошие практики. «Лучший способ» и «безопасность» действительно должны учитывать то, что вы защищаете, каковы ваши требования и т. д. Вы не сообщили нам ни одного из ваших требований или ограничений. Добавьте больше подробностей, и вы, возможно, получите более полезный ответ.

/редактировать: Вы говорите

Я обеспокоен тем, что FTP-сервер может быть взломан, и тогда кто-то сможет получить доступ к контроллеру домена.

Чтобы это произошло, в коде Filezilla должен быть эксплойт. Поскольку это (AFAIK) закрытый исходный код, может быть такая ошибка. [править - это неверно, это GPL. Это не значит, что в коде нет ошибок]. Однако, если процесс (или служба) работает как ЛОКАЛЬНАЯ СИСТЕМА, то у него нет абсолютно никаких прав на домен, поэтому, если бы он был использован, все, что они могли бы сделать, это уничтожить сервер-участник, на котором запущен Filezilla. Конечно, это дает им плацдарм для попыток атак на ваш домен, но это не дает им сразу всю корзину для пикника.

Имейте в виду, что это может произойти с любым программным обеспечением, не только с FTP. Если вы разрешаете доступ из интернета к машине в вашей локальной сети, и в коде есть эксплуатируемая ошибка, то в вашей локальной сети есть злоумышленник.

Если вас это действительно беспокоит, то поместите его на машину без домена в DMZ. Вы сказали, что это много работы; безопасность обычно такова.

Answer 1

Вы можете повысить безопасность, заменив его сервером SFTP или FTPS.

FTP небезопасен, поскольку данные для входа передаются в виде простого текста. Вы можете заменить его безопасным протоколом или использовать только те учетные записи, которые вам, честно говоря, неважно, взломаны ли они (например, только анонимные), или потребовать туннелирования через IPSec, или ограничить соединения только известными IP-адресами (что довольно плохо с точки зрения безопасности, но, эй, делайте то, что должны).

Это общие предложения и некоторые хорошие практики. «Лучший способ» и «безопасность» действительно должны учитывать то, что вы защищаете, каковы ваши требования и т. д. Вы не сообщили нам ни одного из ваших требований или ограничений. Добавьте больше подробностей, и вы, возможно, получите более полезный ответ.

/редактировать: Вы говорите

Я обеспокоен тем, что FTP-сервер может быть взломан, и тогда кто-то сможет получить доступ к контроллеру домена.

Чтобы это произошло, в коде Filezilla должен быть эксплойт. Поскольку это (AFAIK) закрытый исходный код, может быть такая ошибка. [править - это неверно, это GPL. Это не значит, что в коде нет ошибок]. Однако, если процесс (или служба) работает как ЛОКАЛЬНАЯ СИСТЕМА, то у него нет абсолютно никаких прав на домен, поэтому, если бы он был использован, все, что они могли бы сделать, это уничтожить сервер-участник, на котором запущен Filezilla. Конечно, это дает им плацдарм для попыток атак на ваш домен, но это не дает им сразу всю корзину для пикника.

Имейте в виду, что это может произойти с любым программным обеспечением, не только с FTP. Если вы разрешаете доступ из интернета к машине в вашей локальной сети, и в коде есть эксплуатируемая ошибка, то в вашей локальной сети есть злоумышленник.

Если вас это действительно беспокоит, то поместите его на машину без домена в DMZ. Вы сказали, что это много работы; безопасность обычно такова.

Лучший способ защитить FTP-сервер

решение1

Связанный контент