FTP1 FTP (File Transfer Protocol), implementato dai programmi ftp e ftpd, permette ad utenti di connettere sistemi remoti e trasferire files.
FTP2 FTP ha la possibilita’ di autorizzare login come ``anonymous''. Questo speciale account permette agli utenti che non hanno un account sul sistema di avere un accesso ristretto per poter transferire files da una specifica directory.
FTP3 Il meccanismo di FTP anonymous e’ molto utile ed usato per distribuire software pubblicamente senza dare un account sul sistema locale ad ogni persona che vuole accedere per prelevare files
FTP4 Il meccanismo di FTP anonymous e’ anche tristemente conosciuto per operazioni illegali effettuate sui sistemi remoti. Un setup non corretto del sito FTP apre le porte ad intrusori.
FTP5 Un sicuro FTP Istruzioni Creare un utente “ftp” e un gruppo “ftp” Disabilitare l’account (porre “*” nel campo password di /etc/passwd o “NP” in /etc/shadow). Assegnare una shell non valida
FTP6 Un sicuro FTP Istruzioni Creare la home directory ~ftp Proprieta' della directory: ROOT (NO! ftp) con lo stesso gruppo di ftp. Set le permissions per ~ftp a 555 (read, nowrite, execute). Adesso l'FTP ANONIMO e' attivato.
FTP7 Un sicuro FTP Istruzioni Setup dell’ambiente: – Creare la directory ~ftp/bin. Questa directory deve essere di root con permission 111 (noread, nowrite, execute). – Copiare il comando “ls” in ~ftp/bin. “ls” di proprieta’ di root con permission 111 (noread, nowrite, execute). Qualsiasi altro comando in questa directory ( ~ftp/bin) dovra’ avere queste stesse permissions
FTP8 Un sicuro FTP Istruzioni –Creare la directory ~ftp/etc. Questa directory deve essere di proprieta’ di root e permissions 111. –Creare in ~ftp/etc i files /etc/passwd and /etc/group da scratch –Questi files devono avere permissions 444. (read, read, read) –Il file passwd dovra' contenere solo gli utenti root, daemon, uucp, and ftp. –Il file group deve contenere il group ftp.
FTP9 Un sicuro FTP Istruzioni –Usate il vostro /etc/passwd e /etc/group files come template per creare questi files. –Lasciatevi solo quegli utenti che saranno proprietari dei files nella gerachia di ftp –(Es.. root, daemon, ftp...) e rimuovete tutte le password cosicche' avrete: – root:*:0:0:Ftp maintainer:: –ftp:*:400:400: Anonymous ftp::
FTP10 Un sicuro FTP Istruzioni –Create la directory ~ftp/pub. Questa directory deve essere di proprieta' di ftp e del gruppo di ftp con permissions 555 (read-nowrite- execution for all). –Se si desidera avere una area dove l'utente anonymous possa lasciare dei files: creare la directory ~ftp/pub/incoming. Questa directory di proprieta' di ROOT deve avere le permission 1733 (-rwx-wx-wt).
FTP11 Un sicuro FTP Istruzioni Altre cose da fare come root: –Creare i seguenti files vuoti e di proprieta' di root. –touch ~ftp/.rhosts –touch ~ftp/.forward –chmod 400 ~ftp/.rhosts –chmod 400 ~ftp/.forward –A causa di bugs in sistemi di mail e' conveniente: –touch /var/mail/ftp; –chmod 400 /var/mail/ftp –Prevedere un account (ftp- admin) per ricevere problems report.
FTP12 Un sicuro FTP Istruzioni Suggerimenti. –Creare un file system separato per gestire la vostra ftp-area (o almeno per l’area incoming). –Attenzione! la directory pub/incoming e' oggetto di attenzione da parte di potenziali intrusori
FTP13 Un sicuro FTP Istruzioni Suggerimenti –Creare un file system separato per gestire la vostra ftp-area (o almeno per la area incoming). –Se si desidera avere un posto dove l'utente anonymous possa lasciare dei files: creare la directory ~ftp/pub/incoming. Questa directory di proprieta' di ROOT deve avere le permission 1733 (-rwx-wx-wt). Il daemon ftp normalmente non permettera' all'utente anonymous di fare overwrite di un file esistente, ma un utente del sistema potra' farlo ed anche cancellarlo. Spesso la directory pub/incoming e' obiettivo di intrusori a causa di operazioni di Upload –I binari aggiunti nella directory ~ftp/bin devono essere compilati e linkati staticamente