《网络安全防护》技能题库操作手册 应用服务安全管理-FTP
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
FTP 服务的安全配置与加固题目一:
素材内容
1.背景
(1)某管理员希望通过FTP 服务为公司内网用户提供常用工具、软件和文件的下载、共
享服务,并对FTP 做一定的安全强化,限制访问者的来源,配置不同用户的不同权限,同时最小化FTP 服务的权限,防止攻击者利用FTP 服务来提权。
(2)管理员选择Serv-U 作为FTP 服务器,已经安装在“C:\Program
Files\\Serv-U ”中,而“D:\FTPHOME ”将作为FTP 文件存储位置,用户的主目录均位于该目录之下。
2.需求
(1)管理员需要满足一般用户以及匿名用户对FTP 的使用:对于一般用户,他能完全控
制其主目录,并能够读取公共文件夹中的内容;对于匿名用户,其访问应当锁定于公共文件夹,只能够读取公共文件夹中的内容,只能在指定的文件夹中上传文件。
(2)此外,管理员希望能够控制用户对FTP 的访问,限制匿名用户的登录范围。
3.具体要求
(1)在Serv-U 中新建FTP 域,取名Test 。
设置监听IP 地址10.0.1.1,端口2121,按
素材内容描述设置主目录。
(2)创建匿名用户anonymous ,主目录“D:\FTPHome\public ”,该目录作为公共文件夹,
匿名只读访问;创建子目录“uploads”,允许读、写、删除文件,创建、删除子目录、可继承权限。
(3)创建一般用户user ,密码user ,在指定位置下创建同名目录作为主目录;user 用
户完全控制其主目录,能够只读访问公共文件夹。
(4)配置user 和anonymous 用户的IP 访问限制,只允许从10.0.1.0/24访问,限制其
余ip 地址的登录。
参考答案
1.FTP 站点创建
在
Serv-u
管理器中新建了名为
Test
的域(原无)。
国家反计算机入侵和防病毒研究中心 国
家级专业技术人员继续教育基地 上海海盾安全技术培训中心
配置侦听
ip
地址为
10.0.1.1,ftp
端口号为
2121
国家反计算机入侵和防病毒研究中心 国
家级专业技术人员继续教育基地 上海海盾安全技术培训中心
2. FTP 用户管理
创建用户anonymous ,密码无;
设置正确的anonymous 用户主目录“D:\FTPHOME\public ”,锁定于主目录;
国家反计算机入侵和防病毒研究中心 国
家级专业技术人员继续教育基地 上海海盾安全技术培训中心
正确配置匿名用户对其主目录的权限,只读;
正确配置匿名用户对上传目录“D:\FTPHOME\public\uploads ”的权限,可读、可写、
可
创
建
删
除
文
件
和
文
件
夹
;
国家反计算机入侵和防病毒研究中心 国
家级专业技术人员继续教育基地 上海海盾安全技术培训中心
创建一般用户user ,密码user ;
设置正确的user 用户主目录“D:\FTPHOME\user ”,不锁定主目录。
正确配置了user 用户对其主目录的权限,可读、可写、可创建删除文件和文件夹,
权限继承;
正确配置了user 用户对公共文件夹的权限,只读,权限继承。
国家反计算机入侵和防病毒研究中心 国
家级专业技术人员继续教育基地 上海海盾安全技术培训中心
3. FTP 服务安全加固
为user 用户创建了正确的IP 访问规则,添加允许策略,仅允许10.0.1.1-10.0.1.255
范围内的主机使用该账户登录到FTP 服务器。
国家反计算机入侵和防病毒研究中心 国
家级专业技术人员继续教育基地 上海海盾安全技术培训中心
为anonymous 用户创建了正确的IP 访问规则,添加允许策略,仅允许
10.0.1.1-10.0.1.255范围内的主机使用该账户登录到FTP 服务器。
题目二:
素材内容
1. 背景
(1) 某管理员希望通过FTP 服务为公司内网用户提供常用工具、软件和文件的下载、共
享服务,并对FTP 做一定的安全强化,限制访问者的来源,配置不同用户的不同权限,同时最小化FTP 服务的权限,防止攻击者利用FTP 服务来提权。
(2) 管理员选择Serv-U 作为FTP 服务器,已经安装在“C:\Program
Files\\Serv-U ”中,而“D:\FTPHOME ”将作为FTP 文件存储位置,
国家反计算机入侵和防病毒研究中心 国
家级专业技术人员继续教育基地 上海海盾安全技术培训中心
用户的主目录均位于该目录之下。
2.需求
(1) 该FTP 服务器主要供公司内两个部门使用,
需要为两部门创建各自部门所使用的FTP 帐户和目录结构。
同时在服务器上有若干个文件夹,两部门的用户都需要访问其中的文件。
(2) 由于该FTP 服务需要允许外网的用户访问,为减轻服务器负担,同时减少攻击者暴
力破解密码的可能,需要限制每IP 连接数,设置连接超时时间,并且短暂的屏蔽登陆失败次数过于频繁的用户。
3.具体要求
(1) 在Serv-U 中新建域,取名Test 。
设置监听IP 地址为所有可用的IP 地址,设置端
口2121,按素材内容描述设置域的主目录。
(2) 创建用户TestA ,密码TestB ,主目录“D:\FTPHome\TestA ”,用户完全控制,可继
承权限。
创建用户TestB ,密码TestB ,主目录“D:\FTPHome\TestB ”,用户完全控制,可继承权限。
(3) 为Test 域创建虚拟路径映射,将“C:\Software ”和“D:\Software ”映射到所有用
户的主目录下,映射后的目录名分别为“Software-C ”和“Software-D ”,为上述目录配置域访问权限,所有用户只读访问。
(4) 为Test 域添加域限制策略,限制每个IP 只能保持2个会话;空闲5分钟后会话超
时;设置连接限制策略,当某个IP 在2分钟内连接次数超过4次则屏蔽该IP 地址30分钟。
参考答案
1. FTP 站点创建
在Serv-u 管理器中新建了域Test (原无)。
国家反计算机入侵和防病毒研究中心
国
家级专业技术人员继续教育基地 上海海盾安全技术培训中心
配置侦听ip 地址为所有可用IP 地址,ftp 端口号为2121
国家反计算机入侵和防病毒研究中心 国
家级专业技术人员继续教育基地 上海海盾安全技术培训中心
2. FTP 用户管理
创建用户TestA ,密码TestA ;设置正确的TestA 用户主目录“D:\FTPHOME\TestA ”,锁
定主目录。
创建用户TestB ,密码TestB ;设置正确的TestB 用户主目录“D:\FTPHOME\TestB ”,锁
定主目录。
国家反计算机入侵和防病毒研究中心
国
家级专业技术人员继续教育基地 上海海盾安全技术培训中心
正确配置了TestA 用户对其主目录的权限,可读、可写、可创建删除文件和文件夹,权
限继承;
正确配置了
TestB 用户对其主目录的权限,可读、可写、可创建删除文件和文件夹,权
限继承;
在Test 域中创建了虚拟路径映射,将“C:\Software ”映射为“%HOME%\Software-C ”;
国家反计算机入侵和防病毒研究中心 国
家级专业技术人员继续教育基地 上海海盾安全技术培训中心
在Test 域中创建了虚拟路径映射,将“D:\Software ”映射为“%HOME%\Software-D ”;
在Test 域中配置全局目录访问规则,授予所有用户只读访问“C:\Software ”和
“D:\Software ”的权限。
国家反计算机入侵和防病毒研究中心 国
家级专业技术人员继续教育基地 上海海盾安全技术培训中心
3. FTP 服务安全加固
在Test 域的“限制与设置——限制”页面中,添加限制策略,限制域中每个IP
地址连接的最大会话数为2个
国家反计算机入侵和防病毒研究中心 国
家级专业技术人员继续教育基地 上海海盾安全技术培训中心
在Test 域的“限制与设置——限制”页面中,添加限制策略,设置会话自动超时
为5分钟
在Test 域的“限制与设置——设置”的连接设置中,设置“阻止用户,其连接次数超
过4次,每次不超过120秒,持续时间30分钟”
题目三:
素材内容
1.背景
国家反计算机入侵和防病毒研究中心 国
家级专业技术人员继续教育基地 上海海盾安全技术培训中心
(1) 某管理员希望通过FTP 服务为公司内网用户提供常用工具、软件和文件的下载、共
享服务,并对FTP 做一定的安全强化,限制访问者的来源,配置不同用户的不同权限,同时最小化FTP 服务的权限,防止攻击者利用FTP 服务来提权。
(2) 管理员选择Serv-U 作为FTP 服务器,已经安装在“C:\Program
Files\\Serv-U ”中,而“D:\FTPHOME ”将作为FTP 文件存储位置,用户的主目录均位于该目录之下。
2.需求
(1) 管理员需要满足一般用户以及匿名用户对FTP 的使用:对于一般用户,他能完全控
制其主目录,并能够读取公共文件夹中的内容;对于匿名用户,其访问应当锁定于公共文件夹,只能够读取公共文件夹中的内容,只能在指定的文件夹能上传文件。
(2) 管理员希望限制匿名用户,阻止过多的匿名连接,设置适当的会话超时。
(3) 为了防止FTP 服务被攻击者用来实施提权操作,管理员希望能够禁止提权相关的FTP
命令。
3.具体要求
(1) 在Serv-U 中新建FTP 域,取名Test 。
设置监听IP 地址10.0.1.1,端口2121,按
素材内容描述设置主目录。
(2) 创建匿名用户anonymous ,主目录“D:\FTPHome\public ”,该目录作为公共文件夹,
匿名只读访问;创建子目录“uploads”,允许读、写、删除文件,创建、删除子目录、可继承权限。
(3) 创建一般用户user ,密码user ,在指定位置下创建同名目录作为主目录;user 用
户完全控制其主目录,能够只读访问公共文件夹。
(4) 配置anonymous 用户属性,每IP 连接的最大会话数为1个,设置会话空闲5分钟后
超时。
(5) 在Test 域中禁用site exec 命令
参考答案
1. FTP 站点创建
在Serv-u 管理器中新建了名为Test 的域(原无)。
国家反计算机入侵和防病毒研究中心 国
家级专业技术人员继续教育基地 上海海盾安全技术培训中心
配置侦听ip 地址为10.0.1.1,ftp 端口号为2121
国家反计算机入侵和防病毒研究中心 国
家级专业技术人员继续教育基地 上海海盾安全技术培训中心
2. FTP 用户管理
创建用户anonymous ,密码无;
设置正确的anonymous 用户主目录“D:\FTPHOME\public ”,锁定于主目录;
国家反计算机入侵和防病毒研究中心 国
家级专业技术人员继续教育基地 上海海盾安全技术培训中心
正确配置匿名用户对其主目录的权限,只读;
正确配置匿名用户对上传目录“D:\FTPHOME\public\uploads ”的权限,可读、可
写、可创建删除文件和文件夹;
国家反计算机入侵和防病毒研究中心 国
家级专业技术人员继续教育基地 上海海盾安全技术培训中心
创建一般用户user ,密码user ;
设置正确的user 用户主目录“D:\FTPHOME\user ”,不锁定主目录。
正确配置了user 用户对其主目录的权限,可读、可写、可创建删除文件和文件夹,
权限继承;
国家反计算机入侵和防病毒研究中心
国
家级专业技术人员继续教育基地 上海海盾安全技术培训中心
正确配置了user 用户对公共文件夹的权限,只读,权限继承。
3. FTP 服务安全加固
在anonymous 用户属性中的限制与设置页面,添加限制策略,设置用户帐户的每个IP
连接的最大会话数为1。
国家反计算机入侵和防病毒研究中心 国
家级专业技术人员继续教育基地 上海海盾安全技术培训中心
在anonymous 用户属性中的限制与设置页面,添加限制策略,设置会话自动超时时间为
5分钟。
在Test 域的限制与设置——FTP 设置页面中,定制设置,编辑SITE EXEC 命令的属性,
禁
用
该
命
令。
国家反计算机入侵和防病毒研究中心
国
家级专业技术人员继续教育基地 上海海盾安全技术培训中心
题目四:
素材内容
1. 背景
(1) 某管理员希望通过FTP 服务为公司内网用户提供常用工具、软件和文件的下载、共
享服务,并对FTP 做一定的安全强化,限制访问者的来源,配置不同用户的不同权限,同时最小化FTP 服务的权限,防止攻击者利用FTP 服务来提权。
(2) 管理员选择Serv-U 作为FTP 服务器,已经安装在“C:\Program
Files\\Serv-U ”中,而“D:\FTPHOME ”将作为FTP 文件存储位置,用户的主目录均位于该目录之下。
2.需求
(1) 该FTP 服务器主要供公司内两个部门使用,
需要为两部门创建各自部门所使用的FTP 帐户和目录结构。
同时在服务器上有若干个文件夹,两部门的用户都需要访问其中的文件。
(2) 在之前的FTP 服务器上曾经发现有来自61.173.153.221和61.173.153.181的入侵
攻击,需要禁止该IP 访问新建的FTP 域;
(3) 为防止攻击者利用FTP 服务实现提权,需要禁止用户执行相关FTP 命令。
3.具体要求
(1) 在Serv-U 中新建域,取名Test 。
设置监听IP 地址为所有可用的IP 地址,设置端
口2121,按素材内容描述设置域的主目录。
(2) 创建用户TestA ,密码TestB ,主目录“D:\FTPHome\TestA ”,用户完全控制,可继
承权限。
创建用户TestB ,密码TestB ,主目录“D:\FTPHome\TestB ”,用户完全控制,可继承权限。
(3) 为Test 域创建虚拟路径映射,将“C:\Software ”和“D:\Software ”映射到所有用
户的主目录下,映射后的目录名分别为“Software-C ”和“Software-D ”,为上述目录配置域访问权限,所有用户只读访问。
(4) 为Test 域添加IP 访问规则,禁止61.173.153.221和61.173.153.181访问当前域; (5) 在Test 域中禁止site exec 命令。
参考答案
1. FTP 站点创建
在
Serv-u
管
理
器
中
新
建
了
域
Test
(
原
无
)。
国家反计算机入侵和防病毒研究中心 国
家级专业技术人员继续教育基地 上海海盾安全技术培训中心
配置侦听ip 地址为所有可用IP 地址,ftp 端口号为2121
国家反计算机入侵和防病毒研究中心 国
家级专业技术人员继续教育基地 上海海盾安全技术培训中心
2. FTP 用户管理
创建用户TestA ,密码TestA ;设置正确的TestA 用户主目录“D:\FTPHOME\TestA ”,
锁定主目录。
国家反计算机入侵和防病毒研究中心 国
家级专业技术人员继续教育基地 上海海盾安全技术培训中心
创建用户TestB ,密码TestB ;设置正确的TestB 用户主目录“D:\FTPHOME\TestB ”,
锁定主目录。
正确配置了TestA 用户对其主目录的权限,可读、可写、可创建删除文件和文件夹,权
限继承;
国家反计算机入侵和防病毒研究中心
国
家级专业技术人员继续教育基地 上海海盾安全技术培训中心
正确配置了TestB 用户对其主目录的权限,可读、可写、可创建删除文件和文件夹,
权限继承;
在Test 域中创建了虚拟路径映射,将“C:\Software ”映射为“%HOME%\Software-C ”;
国家反计算机入侵和防病毒研究中心
国
家级专业技术人员继续教育基地 上海海盾安全技术培训中心
在Test 域中创建了虚拟路径映射,将“D:\Software ”映射为“%HOME%\Software-D ”;
在Test 域中配置全局目录访问规则,授予所有用户只读访问“C:\Software ”和
“D:\Software ”的权限。
国家反计算机入侵和防病毒研究中心
国
家级专业技术人员继续教育基地 上海海盾安全技术培训中心
3. FTP 服务安全加固
在Test 域的“域详细信息——IP 访问规则”页面中,添加IP 访问规则,禁止
61.173.153.221和61.173.153.181访问
在Test 域的“限制与设置——FTP 设置”中,定制设置,编辑SITE EXEC 命令,
禁用该命令。
国家反计算机入侵和防病毒研究中心 国
家级专业技术人员继续教育基地 上海海盾安全技术培训中心
国家反计算机入侵和防病毒研究中心 国
家级专业技术人员继续教育基地 上海海盾安全技术培训中心。