在【zài】网络😧上【shàng】🐶，匿名【nì míng】👇FTP是【shì】一个【yī gè】🈺很常用的服务🦖，常用于【cháng yòng yú】软件【jiàn】🦍下载网站💥，软件【jiàn】🦍交流网站等，为【wéi】🐅了提高匿名【nì míng】👇FTP服务开【fú wù kāi】📙放的过程中的【chéng zhōng de】安全性【ān quán xìng】，我们就【wǒ men jiù】👺这一问题进行一些讨【yī xiē tǎo】😻论。
　　
以下的设定方【shè dìng fāng】👲式是由【shì shì yóu】😲过去许【guò qù xǔ】📐多网站【duō wǎng zhàn】🤠累积的🌦经验与【jīng yàn yǔ】🐛建议组【jiàn yì zǔ】成。我们认为【wéi】🐅可以让有个【yǒu gè】✝别需求【bié xū qiú】的网站【de wǎng zhàn】拥有不同设定的选择🍜。
　　
设定匿【shè dìng nì】名【míng】👇FTP
　　
A.FTP daemon
　　
网站必【wǎng zhàn bì】🔡须确定目前使用的是【shì】最新版【bǎn】😊本的👘FTP daemon。
　　
B设定匿【shè dìng nì】名【míng】👇FTP的目录🏫
　　
匿名【nì míng】👇ftp的根目录(~ftp)和其子🕜目录的【mù lù de】拥有者不能为【wéi】🐅ftp帐号【zhàng hào】，或与🥂ftp相同群【xiàng tóng qún】🎻组的帐【zǔ de zhàng】🥅号。这是【shì】 一般常【yī bān cháng】见的设定问题【dìng wèn tí】。假如这些目录🚡被【bèi】ftp或与🥂ftp相同群【xiàng tóng qún】🎻组的帐【zǔ de zhàng】🥅号所拥👼有，又没有做好防止写入🥡的保护【de bǎo hù】，入侵者便可能【biàn kě néng】💴在【zài】其中增加文💲件【jiàn】🦍或修改【huò xiū gǎi】其它【qí tā】🔛文件【wén jiàn】🚋。现在【zài】许多网站【duō wǎng zhàn】🤠都拥有🔧root帐号【zhàng hào】，如果让🦀匿名【nì míng】👇FTP的根目录与子🖐目录的【mù lù de】拥有者是【shì】root，所属族群🍠(group)为【wéi】🐅system?，如此只【rú cǐ zhī】😊有root有写入【yǒu xiě rù】✴的权力【de quán lì】👿，这能帮助你维【zhù nǐ wéi】持FTP服务的安全【ān quán】???
　　
以下是【yǐ xià shì】一个【yī gè】🈺匿名【nì míng】👇ftp目录的【mù lù de】设定范🏒例【lì】：
　　
drwxr-xr-x 7 root system 512 Mar 1 15:17 ./
　　
drwxr-xr-x 25 root system 512 Jan 4 11:30 ../
　　
drwxr-xr-x 2 root system 512 Dec 20 15:43 bin/
　　
drwxr-xr-x 2 root system 512 Mar 12 16:23 etc/
　　
drwxr-xr-x 10 root system 512 Jun 5 10:54 pub/
　　
所有的【suǒ yǒu de】文件【wén jiàn】🚋和链接库🗒，特别是【shì】📛那些被【nà xiē bèi】🏐FTP daemon使用和【shǐ yòng hé】⛓那些在【zài】 ~ftp/bin 与🐛~ftp/etc 中的文件【wén jiàn】🚋，应该像【yīng gāi xiàng】上【shàng】面范🚍例【lì】中的目录🏫做相同的保护【de bǎo hù】。这些文【zhè xiē wén】🎼件【jiàn】和链🚇接库除了不应该被【gāi bèi】🦕ftp帐号或【zhàng hào huò】与🥂ftp相同群【xiàng tóng qún】🎻组的帐【zǔ de zhàng】🥅号所拥👼有之外【yǒu zhī wài】，也必须【yě bì xū】防止写入🥡。
　　
C.我们强【wǒ men qiáng】烈建议📵网站不要使用系统中【xì tǒng zhōng】 /etc/passwd 做为【wéi】🐻~ftp/etc 目录中【mù lù zhōng】的密码【de mì mǎ】文件【wén jiàn】🚋或将系统中【xì tǒng zhōng】 /etc/group 做为【wéi】🐻 ~ftp/etc目录中【mù lù zhōng】的群组【de qún zǔ】🌒文件【wén jiàn】🚋。在【zài】~ftp/etc目录中【mù lù zhōng】放置这🗡些文件【xiē wén jiàn】🚋会使得入侵者取得它♟们。这些文【zhè xiē wén】🎼件【jiàn】🦍是【shì】可自定的而且不是【shì】用来【yòng lái】🛠做存取控制。
　　
我们建议你在【zài】 ~ftp/etc/passwd 与🐛 ~ftp/etc/group 使用代替的🛴文件【wén jiàn】🚋。这些文【zhè xiē wén】🎼件【jiàn】必须💧由😲root所拥有【suǒ yōng yǒu】。DIR命令会使用这代替的🛴文件【wén jiàn】🚋来显示【lái xiǎn shì】文件【wén jiàn】🚋及目录的【mù lù de】拥有者和群【zhě hé qún】🍠组名【míng】称🐄。网站必【wǎng zhàn bì】🔡须确定 ~/ftp/etc/passwd档中没有包含任何与🐛系统中【xì tǒng zhōng】 /etc/passwd文件【wén jiàn】🚋中相同的帐号【zhàng hào】名【míng】称💌。这些文【zhè xiē wén】🎼件【jiàn】🦍应该仅仅包含【jǐn bāo hán】需要显示的【shì de】👳FTP阶层架⛸构中文件【wén jiàn】🚋与🐛目录的【mù lù de】拥有者与📬所属群🍠组名【míng】称🐄。此外，确定密🎣码字段【mǎ zì duàn】🙁是【shì】"整理🌌"过的。例【lì】如使🛺用「*」来取代【lái qǔ dài】密码字【mì mǎ zì】段🙁。
　　
以下为【wéi】🐅cert中匿名【zhōng nì míng】Ⓜftp的密码【de mì mǎ】文件【wén jiàn】🚋范例【lì】
　　
ssphwg:*:3144:20:Site Specific Policy Handbook Working Group::
　　
cops:*:3271:20:COPS Distribution::
　　
cert:*:9920:20:CERT::
　　
tools:*:9921:20:CERT Tools::
　　
ftp:*:9922:90:Anonymous FTP::
　　
nist:*:9923:90:NIST Files::
　　
以下为【wéi】🐅cert中匿名【zhōng nì míng】Ⓜftp的群组【de qún zǔ】🌒文件【wén jiàn】🚋范例【lì】
　　
cert:*:20:
　　
ftp:*:90:
　　
II..在【zài】你的🅿匿名【nì míng】👇ftp提供可写入的👮目录
　　
让一个【yī gè】匿名【nì míng】👇ftp服务允许使用【xǔ shǐ yòng】者储存文件是【wén jiàn shì】🏋有风险🎏存在的【cún zài de】🚅。我们强【wǒ men qiáng】烈提醒👬网站不要自动建立一个【yī gè】上【shàng】🐶传目录，除非已考虑过相关的👵风险。CERT/CC的事件【jiàn】🦍回报成【huí bào chéng】🐆员接获许多使【xǔ duō shǐ】用上【shàng】🐶传目录造成非法传输【fǎ chuán shū】版【bǎn】🏆权软件【quán ruǎn jiàn】🆖或交换帐号【zhàng hào】与🐛密码信【mì mǎ xìn】息的事件【jiàn】🦍。也接获恶意地将系统文件【wén jiàn】🚋灌报造成🐄denialof service问题。