Вместо файла /bin/ftponly можно использовать в качестве командного интерпретатора /dev/null — нулевое устройство, которое не может обрабатывать команды и не позволит входить в систему под этой учетной записью. Оно определено в качестве консоли в файле /etc/passwd для всех системных учетных записей, которые не предназначены для локальной работы.
Теперь осталась самая малость — сказать серверу FTP, что пользователь с именем robert_ftp является гостем. Для этого в файл ftpaccess добавим строку:
guestuser robert_ftp
Если теперь подключиться к серверу по FTP, то пользователь сможет увидеть только свой каталог, который будет казаться корнем. Все остальные папки, расположенные выше, будут не видны.
В моих системах все пользователи работают только как гости, со своими каталогами или анонимно с общедоступными папками. Действительные учетные записи устанавливаются только избранным администраторам и только в крайних случаях, потому что ими сложнее управлять.
Для гостевых пользователей достаточно только ограничить доступ определенной директорией, а все остальное защитит сервер. Правда, и здесь иногда бывают проблемы. Рассмотрим классическую ошибку программистов. Допустим, что пользователю открыта директория /home/robert, и для обеспечения этого сервер банально проверяет, чтобы путь к каталогу начинался с этой строки. Хакер видит эту директорию как корневую (/) и выше подниматься не должен. Теперь посмотрите на следующую команду:
cat /home/robert/../../../../../etc/passwd
Она должна выводить на экран файл /home/robert/../../../../../etc/passwd, а на экране вы увидите содержимое /etc/passwd. С точки зрения проверки начала пути все записано верно, но после /home/robert идет множество символов "/..", каждый из которых заставляет передвинуться на уровень выше. Хакер, не зная в какой папке он находится, может поставить такую комбинацию раз пять и, скорее всего, поднимется до корня, а потом переместится в системную папку /etc/passwd.
Несмотря на эту простоту, ошибка встречается довольно часто. А ведь программисту достаточно проверить адрес на вхождение в него символов двоеточия, и если они есть, то принять меры. В wu-ftp-сервере такой ошибки нет, но нет гарантии, что она не появится в будущем, когда выйдет обновление, в котором по случайности кто-то отключит проверку или удалит ее. Поверьте мне, такое иногда бывает с любым программным обеспечением, особенно если над ним работает целая команда, и нет контроля.
10.7. Безопасность FTP-сервера
Пока что мы говорили о конфигурации FTP-сервера под Linux. А сейчас нам предстоит разобраться с некоторыми практическими примерами использования сервера не по назначению и методами защиты.
Примеры, которые мы будем рассматривать в этом разделе, повергли в шок сетевую общественность и специалистов по безопасности, потому что FTP-сервер можно использовать для реализации практически любой атаки: рассылка вирусов, троянских программ и спама, взлом сервера и даже анонимное сканирование портов удаленного компьютера. Сервер FTP может выступать посредником в работе хакера.
10.7.1. Перехват соединения
Вспомним полный цикл соединения с FTP-сервером и передачи файлов:
1. Соединение с сервером.
2. Авторизация.
3. Запрос на скачивание файлов.
4. Сервер открывает порт и сообщает его клиенту.
5. Клиент подключается к указанному порту и получает или передает файл.
Очень сложно, но вполне вероятно направить соединение на себя. Хакеру нужно перехватить пакет, в котором сервер сообщает порт, и раньше авторизованного клиента успеть подключиться к этому каналу и передать на сервер свой или получить чужой файл.
Самое страшное — именно передача файла. Так как хакер вклинивается уже после авторизации, то он без проблем может транслировать данные, а сервер не контролирует, с какого адреса было запрошено соединение, и какой IP реально подключился. Если хакеру удастся перехватить такое соединение, то он сможет закачать свою программу, содержащую вирус или, например, троянскую программу.
В настоящее время в большинство FTP-клиентов уже встроили сравнение IP-адресов, подключенных к 21 порту и каналу для передачи данных. Это усложняет атаку, потому что теперь хакеру необходимо подделывать IP-адрес, что в случае с TCP-протоколом не так уж и просто.
Использование привязки к IP не всегда позволяет решить проблему. Если на пути соединения с FTP-сервером находится анонимный прокси-сервер или сетевой экран, маскирующий IP-адрес, то сервер будет видеть не реальный IP-адрес клиента, а IP-адрес proxy или Firewall.
Можно запретить пассивный режим, что закроет данный вопрос полностью. Но это не является панацеей от всех проблем с безопасностью. В следующем разделе мы увидим, что активный режим также далеко небезопасен.
А чего ждать? Активное соединение тоже можно перехватить, хотя это сделать немного сложнее. Если хакер получил доступ к компьютеру, который подключен к FTP-серверу, то достаточно дождаться момента, когда пользователь взломанного компьютера запросит передачу данных, и перехватить порт.
10.7.2. Сканирование портов
В разд. 1.1 мы говорили о том, что на начальном этапе взлома компьютера хакер должен получить как можно больше сведений о жертве. Средством сбора первичной информации является сканирование портов. Делать это с собственного компьютера опасно, поэтому хакеры стараются маскироваться и идут на различные хитрости.
Одна из уловок — использование сценария на PHP или Perl, который с сервера будет производить сканирование. Но этот метод обладает следующими недостатками:
□ необходим сервер, который сможет выполнять сценарии, а не всегда есть возможность найти подходящий;
□ бесплатные серверы с возможностью выполнения сценариев требуют регистрации и обладают хорошей системой журналирования. Если первое препятствие можно обойти, указав неверные данные, то второе является большой проблемой. Сервер зафиксирует сканирование, и служба безопасности может быстро найти будущего взломщика.
Хакеры нашли отличный способ заставить сервер сканировать порты. Для этого всего лишь нужно подключение к FTP-серверу, который работает в активном режиме.
Вспомним, как происходит прием/передача файлов в активном режиме. Для этого FTP-серверу посылается запрос с указанием порта клиентского компьютера, к которому он должен подключиться. Помимо номера порта передается и IP-адрес. Это значит, что клиент с адреса 192.168.1.1 может запросить соединение с компьютером 192.168.8.2 и любым его портом, и сервером это воспримется нормально. Хакеры научились использовать эту особенность для того, чтобы заставить FTP-сервер сканировать порты удаленного компьютера.
Таким образом мне удалось один раз удачно произвести атаку DoS на свой сервер. Я заставил FTP-сервис сканировать компьютер с proxy, через который происходило подключение к Интернету. На прокси-сервере была установлена система обнаружения атак, которая при выявлении попытки сканирования автоматически блокировала любые соединения с компьютером (о таких системах мы поговорим в гл. 12). Сканирование прошло удачно, и я со спокойной душой пошел на обед. Вернувшись, услышал от пользователей, что невозможна работа по FTP. Я проверил, сервер работал исправно. Оказалось, что FTP стал недоступен для внешних пользователей, подключающихся через прокси-сервер, который во время сканирования добавил FTP-сервер в черный список.
Для сканирования через FTP-сервер можно использовать программу nmap:
nmap -b имя_пользователя:пароль@ftpсервер:порт
Как видите, эта запись очень сильно похожа на строку подключения через Web-браузер. Если для сканирования будет использоваться анонимный сервер, то имя и пароль указывать не обязательно:
nmap -b ftpсервер:порт
Если сервер работает на 21 порту, то можно опустить и этот параметр.
Для защиты можно исключить активный режим FTP-сервера с помощью сетевого экрана, т.е. блокировать работу с 20 портом, который чаще всего используется для передачи файлов. В этом случае все соединения инициализируются только со стороны клиента.
10.7.3. Рассылка файлов
С помощью FTP-сервера можно рассылать E-mail-сообщения. Для этого создайте на сервере текстовый файл со следующим содержимым:
HALO mailserver.com
MAIL FROM: [email protected]
RCPT TO: [email protected]
DATA
Текст письма
.
Рассмотрим, что означают эти строки, которые на самом деле являются командами SMTP-сервера:
□ HALO mailserver.com — строка приветствия SMTP-сервера. Параметр maiiserver.com необходимо заменить на реальное имя сервера;
□ MAIL from: [email protected] — адрес отправителя письма;
