【導(dǎo)讀】FTP服務(wù)并非天然綁定域名空間，錯(cuò)誤配置常致目錄越權(quán)或暴露根路徑。新網(wǎng)提醒：企業(yè)應(yīng)基于None架構(gòu)重新規(guī)劃文件傳輸入口策略。
FTP協(xié)議本質(zhì)不依賴域名空間
- FTP默認(rèn)工作于應(yīng)用層，認(rèn)證與路徑跳轉(zhuǎn)由服務(wù)器端軟件（vsftpd/proftpd）控制，而非DNS系統(tǒng)。
- ‘ftp.example.com’僅是一個(gè)A記錄指向IP地址，該主機(jī)是否開(kāi)放FTP、映射哪個(gè)本地用戶家目錄，完全取決于后端服務(wù)配置。
- 多子域共用同一FTP實(shí)例時(shí)，若未啟用虛擬用戶隔離機(jī)制，則存在跨租戶路徑穿越隱患。
企業(yè)典型誤配場(chǎng)景及后果
- 將Web主站域名CNAME到FTP IP，造成HTTP請(qǐng)求被意外轉(zhuǎn)發(fā)至FTP端口，引發(fā)連接拒絕或banner泄漏。
- DNS設(shè)置www/ftp雙解析但未同步更新防火墻規(guī)則，使非授權(quán)IP可通過(guò)任意子域發(fā)起匿名登錄嘗試。
- 使用共享主機(jī)環(huán)境部署多客戶FTP站點(diǎn)，卻未為各賬戶分配獨(dú)立chroot jail，違反GDPR第6條存儲(chǔ)最小化原則。
新網(wǎng)推薦的企業(yè)級(jí)實(shí)施建議
- 啟用SFTP替代傳統(tǒng)FTP，利用SSH密鑰+證書(shū)實(shí)現(xiàn)雙向強(qiáng)認(rèn)證。
- 在CDN邊緣節(jié)點(diǎn)攔截非法FTP端口探測(cè)行為，并聯(lián)動(dòng)WAF阻斷異常USER/PASS序列。
- 對(duì)接None平臺(tái)API，在創(chuàng)建FTP賬號(hào)時(shí)強(qiáng)制綁定指定二級(jí)域名并自動(dòng)生成TLS證書(shū)。
- 每季度調(diào)用新網(wǎng)運(yùn)維審計(jì)工具掃描全量FTP日志，識(shí)別高頻失敗登錄、超限下載等可疑模式。
在此處添加配圖
延伸思考
- 如何驗(yàn)證當(dāng)前FTP服務(wù)是否存在隱式被動(dòng)模式(PASV)端口范圍過(guò)大漏洞？
- 當(dāng)企業(yè)混合使用公有云對(duì)象存儲(chǔ)與私有FTP集群時(shí)，如何統(tǒng)一流量路由策略？