==> 在 [email protected] (小豆子) 的文章中提到: > ==> [email protected] 提到: > > 我的作业系统是2000server > > 我还听说如果对方的档案夹带病毒传过来 > > 我们就没辄了，这是真的吗？ > > 难道防毒软体管不到ftp吗 > > (我们公司用的是趋势的IMSS) > > 请问如果不用ftp > > 在传送大档案方面 > > 是否有更安全的替代方式 > 防毒软体一般都是有产品定位的. > 据我所知, IMSS应该是只在gateway端扫SMTP的Mail traffic. > 如果要在gateway端分析ftp的traffic内容有无病毒, 那个是另一个产品(IWSS). > 如果扫毒的点是在你自己的ftp server上, 那个应该是装server上的防毒程式. > 再讲下去会变广告. > 档案/password用明码的缺点可以架类似secure shell的server, > 然後请client端用scp这样的程式来进行加密传输. > 至於内容含不含毒, 那是另一个问题.那个应该要解密後再进行扫毒. 除了上面几位讲过的一些部分 我把我自己的一些心得提供给你参考 重复的部分我就不提了 FTP server CHECK LIST(是我自己订的啦~~): 1. 注意所有帐户的密码是否强固 即不可和ID相同 不可过短......等等 2. 最好是以系统上的防火墙或额外的防火墙来完成连线存取控管 而不只是使用该FTP server上内建的IP连线限制(像Serv-U上俗称的锁IP) 最好是两个都用 3. 注意该FTP server上是否有系统预设的帐号或密码 若这些帐号拥有特权的话更是要 注意 必须把这些帐号或密码变更 或者是否能透过特定的port连线进去 就不需要 经过认证就可直接存取系统 4. 在使用者权限的设定上 谨记" 最低权限 "的原则 简单的说就是没必要让某人或某 些人下载的的地方就不要开放权限 其他像是上传 修改(包括删除 写入 建立) 甚至浏览也同样是如此 5. 设定FTP server的事件纪录 且知道该纪录档存放的位置并定时检查一次(检查的时间 请务必保密) 同时这些纪录档存放的位置也应该在所有连进FTP server的人(包括管 理员)所能存取到的范围之外 ---> 如果不是的话我建议你可以换一个FTP server........ 6. 有关纪录所有帐户和密码的档案也要比照5. 的原则 并注意这些档案的存取权限 还有这些档案的内容是否经过编码或加密 ---> 如果没有的话这个server也可以换了....... 7. 有些FTP server是采用和硬碟连结(link)的方式来让FTP server能使用该连结区域 的资料(如Serv-U) 则应该会有个设定档纪录了它和哪个硬碟区域作连结 该档案 最好也比照5. 的原则 如果真的不行 则该档案的名称也要予以" 伪装 " (disguise) 8. 绝大多数的FTP server都只允许所有帐户在一个受限制的环境下来做所有操作(类似於 UNIX系列的Chroot或FreeBSD上的Jail) 要谨防任何帐户逃出这个限制的环境 像是 利用在 cd ../某目录 的输入字串上加入" %20 "这一类的特殊字串来躲过受限制目 录字串的比对 或是利用这一类程式的漏洞 经由Ptrace手法跟踪未受限制的行程并植入恶意程式 来攻击该FTP server 进而突破目录限制甚至攻占整个FTP server ---> 这是2002年起用来攻击Linux上Chroot的手法 9. 找到该FTP server软体的" 官方主站 " 并保持该FTP server软体在最新版且安装好 所有的安全修正档(security patch) 且经常留意该软体的消息 10. FTP server最好不要跟其他你认为重要的server一起架在同一台机器上 因为若该 机器的系统上有漏洞 攻击者可以" 上传 "他的攻击程式(有经过压缩或加密或加壳的) 到你的机器上再解压缩後使用而变成本地(local)攻击者 直接利用你机器上的Debug 工具来定位出精准的EIP位置 ---> 这些动作你的NIDS(网路型IDS)可都无法掌握....... 以上是我自己的一点心得 希望能对你有用 ^^ 当然如果有荒谬错误的地方还请各位前辈多多批评指正 -- * Post by EIPhunter from 61-226-102-171.dynamic.hinet.net * Origin: ★ 交通大学资讯科学系 BBS ★ <bbs.cis.nctu.edu.tw: 140.113.23.3>