如何建立安全的ProFTPD应用经验谈

ProFTPD是针对Wu-FTP的弱项而开发的，除了改进的安全性，还具备许多Wu-FTP没有的特点，能以Stand-alone、xinetd模式运行等。ProFTP已经成为继Wu-FTP之后最为流行的FTP服务器软件，越来越多的站点选用它构筑安全高效的FTP站点，ProFTP配置方便，并有MySQL和Quota模块可供选择，利用它们的完美结合可以实现非系统账号的管理和用户磁盘的限制。

一、 ProFTPD服务面临的安全隐患

ProFTPD服务面临的安全隐患主要包括：缓冲区溢出攻击（Buffer Overflow）、数据嗅探和匿名访问缺陷。

1、缓冲区溢出攻击

长期以来，缓冲区溢出已经成为计算机系统的一个问题。利用计算机缓冲区溢出漏洞进行攻击的最著名的案例是莫里斯蠕虫，发生在1988年11月。但即使其危害人所共知，缓冲区溢出仍然是现在入侵的一个重要手段。缓冲区溢出的概念：缓冲区溢出好比是将一百公斤货物放进一个只能装十公斤的容器里。

缓冲区溢出漏洞是一个困扰了安全专家30多年的难题。简单来说，它是由于编程机制而导致的、在软件中出现的内存错误。这样的内存错误使得黑客可以运行一段恶意代码来破坏系统正常地运行，甚至获得整个系统的控制权。

2、数据嗅探

FTP是传统的网络服务程序，在本质上是不安全的，因为它们在网络上用明文传送口令和数据，别有用心的人非常容易就可以截获这些口令和数据。而且，这些服务程序的安全验证方式也是有其弱点的，就是很容易受到"中间人"（man-in-the-middle）这种方式的攻击。

所谓"中间人"的攻击方式，就是"中间人"冒充真正的服务器接收你传给服务器的数据，然后再冒充你把数据传给真正的服务器。服务器和你之间的数据传送被"中间人"转手后做了手脚之后，就会出现很严重的问题。 截获这些口令的方式主要为暴力破解。另外使用sniffer程序监视网络封包捕捉FTP开始的会话信息，便可顺手截获root密码。