■ 西安 薛民華 解寶琦

自“永恒之藍(lán)”勒索病毒爆發(fā)以來(lái)，每年都有相應(yīng)的勒索病毒變種出現(xiàn)，對(duì)事發(fā)單位的業(yè)務(wù)運(yùn)營(yíng)造成了嚴(yán)重影響。不管是2017年的“永恒之藍(lán)”、2018年的“撒旦”還是2019年的“ GlobeImposter”等各種勒索病毒其變種病毒，其攻擊原理都是利用了相應(yīng)的操作系統(tǒng)或漏洞、協(xié)議的弱口令等進(jìn)行入侵，通過(guò)共享服務(wù)端口進(jìn)行內(nèi)網(wǎng)傳播。

而通常情況下各個(gè)安全廠家以及安全管理者給出的建議基本如下：

?對(duì)重要的業(yè)務(wù)系統(tǒng)數(shù)據(jù)要有數(shù)據(jù)備份的機(jī)制；

?要常態(tài)地化對(duì)服務(wù)器和應(yīng)用系統(tǒng)進(jìn)行漏洞檢測(cè)，并及時(shí)發(fā)現(xiàn)、及時(shí)修復(fù)；

?對(duì)于不常用的服務(wù)端口需要采取關(guān)閉或者加固措施，比如：139端口、145端口、455端口、3389端口。

這樣一來(lái)，安全問(wèn)題解決了，但同時(shí)用戶需要使用局域網(wǎng)文件共享也不可能再方便的進(jìn)行了。很多時(shí)候，這種安全與用戶需求的矛盾總是讓系統(tǒng)維護(hù)和管理者頭疼不已。再加上很多企業(yè)中由于計(jì)算機(jī)用戶規(guī)模龐大，普通用戶使用的Windows系統(tǒng)跨版本現(xiàn)象相當(dāng)普遍，也給使用網(wǎng)絡(luò)文件和打印機(jī)共享帶來(lái)了很多設(shè)置難度。

自從因?yàn)榘踩?，讓局域網(wǎng)文件共享功能不再可用后，筆者經(jīng)常會(huì)在和普通用戶閑聊時(shí)被問(wèn)及這一功能能否被恢復(fù)使用或者有沒(méi)有更好的替代方法等問(wèn)題。這說(shuō)明這一功能的方便性確實(shí)在廣大的計(jì)算機(jī)使用者中廣受喜愛(ài)，有著很好的用戶普及度。

為了幫用戶恢復(fù)文件共享的功能，筆者結(jié)合OpenSSH服務(wù)器提供的SFTP功能以及第三方商業(yè)軟件提供的映射網(wǎng)絡(luò)驅(qū)動(dòng)器功能，創(chuàng)建了加密傳輸?shù)奈募蚕矸桨?，很好地滿足了用戶的迫切需求及安全管理要求。

以下詳細(xì)介紹實(shí)現(xiàn)方法。

服務(wù)器配置

在OpenSSH version 4.8以后的軟件包中，已經(jīng)包含了一個(gè)叫作SFTP(Secure File Transfer Protocol)的安全文件信息傳輸子系統(tǒng),SFTP本身沒(méi)有單獨(dú)的守護(hù)進(jìn)程，它必須使用SSHD守護(hù)進(jìn)程(端口號(hào)默認(rèn)是22)來(lái)完成相應(yīng)的連接和答復(fù)操作。所以從某種意義上來(lái)說(shuō)，SFTP并不像一個(gè)服務(wù)器程序，而更像是一個(gè)客戶端程序。

SFTP同樣是使用加密傳輸認(rèn)證信息和傳輸?shù)臄?shù)據(jù),所以使用SFTP是非常安全的。在所有發(fā)行版Linux安裝好SSH Server之后，SFTP的配置一般都是用一個(gè)外部獨(dú)立的SFTP-Servers。SFTP與FTP有著幾乎一樣的語(yǔ)法和功能。為了滿足目前網(wǎng)絡(luò)安全性的要求,可以使用SFTP代替FTP作為共享文件的后端服務(wù)系統(tǒng)，以下將以創(chuàng)建規(guī)劃的共享組和用戶為例。

1.用戶及目錄規(guī)劃

文件共享用戶：test、test1。

文件共享組：workgroup。

文件共享組后端目錄：/workgroup。

2.配置過(guò)程

（1）以root用戶使用命令“groupadd workgroup”在SFTP服務(wù)器上添加文件共享組，分別使用命令：

useradd -g sftpworkgroup -d/sworkgroup/test -s/sbin/nologin test

useradd -g workgroup-d/sftpworkgroup/test1-s/sbin/nologin test1

創(chuàng)建規(guī)劃的“test”與“test1”用 戶，并使用“passwd”命令修改用戶密碼，盡管這兩個(gè)用戶是禁止直接登錄到服務(wù)器系統(tǒng)的，但是該用戶未來(lái)需要通過(guò)SFTP方式登錄到服務(wù)器進(jìn)行文件操作時(shí)需要密碼驗(yàn)證，因此需要修改密碼以便可以正常通過(guò)SFTP方式訪問(wèn)服務(wù)器。

圖1 使用test1用戶登錄SFTP服務(wù)器并上傳和刪除txt文件

（2）以root用戶使用命令“vi/etc/ssh/sshd_config”編輯SSH服務(wù)器配置文件，并添加如下內(nèi)容：

Match Group workgroup

ChrootDirectory/workgroup/%u

ForceCommand internal-sftp

以上參數(shù)設(shè)置后，屬于Workgroup組的用戶在通過(guò)SFTP方式訪問(wèn)文件共享服務(wù)器時(shí)將被限定在定義的工作目錄區(qū)域中。

（3）以root用戶使用命令“vi/etc/ssh/sshd_config”編輯SSH服務(wù)器配置文件，添加如下行：

Port 3371

將SSH服務(wù)器服務(wù)端口修改為3371，用戶可以根據(jù)自己的喜好進(jìn)行服務(wù)端口的挑選和設(shè)定。

（4）以root用戶分別使用命令：

mkdir/workgroup/test/test

mkdir/workgroup/test1/test1

創(chuàng)建“test”與“test1”用戶的共享文件夾，并確?！癢orkgroup”目錄屬組為“root:root”，確保該目錄下的SFTP用戶主目錄屬組為“root:workgroup”，確 保SFTP用戶目錄下的新建目錄屬組為各自用戶的屬組。

目錄權(quán)限設(shè)置上要遵循兩點(diǎn)：

①ChrootDirectory設(shè)置的目錄權(quán)限及其所有的上級(jí)文件夾權(quán)限,屬主和屬組必須是 root；

②ChrootDirectory設(shè)置的目錄權(quán)限及其所有的上級(jí)文件夾權(quán)限，只有屬主能擁有寫(xiě)權(quán)限，權(quán)限最大設(shè)置只能是755。

3.共享文件的后端服務(wù)測(cè)試

后端服務(wù)器參數(shù)配置完成后，用戶可以重啟服務(wù)器，并執(zhí)行命令進(jìn)行應(yīng)用測(cè)試，圖1是使用test1用戶登錄到SFTP服務(wù)器并上傳和刪除一個(gè)txt文本文件的過(guò)程，用戶登錄并不能刪除test1目錄，只能在該目錄下進(jìn)行相關(guān)的文件操作。

當(dāng)用戶試圖使用“test”與“test1”任一用戶通過(guò)SSH訪問(wèn)服務(wù)器時(shí)，系統(tǒng)將出現(xiàn)如下報(bào)錯(cuò)：

This service allows sftp connections only.

Connection to 127.0.0.1 closed.

此時(shí)說(shuō)明服務(wù)器端配置完成并且只允許用戶“test”與“test1”通過(guò)SFTP方式訪問(wèn)特定的目錄并進(jìn)行文件的操作工作。

客戶端配置

1.Linux系統(tǒng)客戶端連接

（1）普通客戶端訪問(wèn)模式

當(dāng)共享文件的后端服務(wù)器配置完成后，如果在Linux操作系統(tǒng)的Gnome桌面下不用安裝第三方軟件即可使用該共享服務(wù)，用戶只需要在“文件管理器”中點(diǎn)擊其它位置，輸入地址回車后繼續(xù)輸入定義的用戶名和密碼即可像操作本地文件一樣完成各種操作。

（2）文件系統(tǒng)掛載方式

Linux用戶可以通過(guò)SSHFS文件系統(tǒng)的方式將SFTP服務(wù)器的目錄直接通過(guò)mount方式掛載到目錄中，類似與本地文件系統(tǒng)訪問(wèn)方式。

如果要使用SSHFS，需要分別在REDHAT及Debian類Linux系統(tǒng)中使用“yum install sshfs”或者“aptget install sshfs”進(jìn)行該軟件組件的安裝，之后可以使用命令“sshfs–p 3371 test@192.168.100.88/mnt/test”將SFTP提供的網(wǎng)絡(luò)文件共享內(nèi)容掛載到本地文件系統(tǒng)的“/mnt/test”目錄中（以服務(wù)器IP地址為192.168.100.88，開(kāi) 放端 口為3371為例）。當(dāng)需要卸載該遠(yuǎn)程文件系統(tǒng)時(shí)，用戶可以執(zhí)行“fusermount–u/mnt/test”即可。

2.Windows系統(tǒng)客戶端連接

Windows系統(tǒng)在使用SFTP提供的網(wǎng)絡(luò)文件共享并將其變換成類似本地硬盤時(shí)需要借助第三方軟件才能實(shí)現(xiàn)。

NetDrive網(wǎng)盤是一個(gè)獨(dú)特的遠(yuǎn)程存儲(chǔ)軟件，使用NetDrive可以實(shí)現(xiàn)FTP或者SFTP映射到本地，可以實(shí)現(xiàn)像操作本地硬盤一樣使用遠(yuǎn)程網(wǎng)盤，從桌面上就能訪問(wèn)遠(yuǎn)程的云儲(chǔ)存網(wǎng)盤，還可以管理FTP、WebDAV和NAS服務(wù)器和連接Dropbox、Google云端硬盤。該軟件包括谷歌驅(qū)動(dòng)器、Dropbox的、OneDrive和亞馬遜的云驅(qū)動(dòng)器，以及FTP、WebDAV和NAS服務(wù)器。

筆者在Windows操作系統(tǒng)中進(jìn)行了測(cè)試，該軟件可以在Windows XP以上的32位及64位主機(jī)上很好地工作，其安裝過(guò)程相對(duì)簡(jiǎn)單，當(dāng)用戶點(diǎn)擊安裝后只需要按照提示點(diǎn)擊“下一步”，即可完成安裝。安裝完成后軟件會(huì)提示重新啟動(dòng)系統(tǒng)，建議用戶進(jìn)行重啟，重啟后桌面將出現(xiàn)NetDrive應(yīng)用程序圖標(biāo)，該軟件為商業(yè)軟件，用戶在進(jìn)行為期30天的免費(fèi)試用后需要進(jìn)行注冊(cè)。

用戶可以在Drives選項(xiàng)卡下添加SFTP文件共享映射管理，點(diǎn)擊“Add Drive”按鈕，在彈出的“Drive Info”選項(xiàng)卡中按照如圖2所示輸入必要的配置信息。

將各個(gè)共享映射磁盤添加完成后，用戶需要在“Options”選項(xiàng)卡中勾選“Run NetDrive2 when Windows start”選項(xiàng)。這樣，每次系統(tǒng)重新啟動(dòng)后，系統(tǒng)將自動(dòng)加載SFTP共享資源并將其映射為本地磁盤。筆者實(shí)驗(yàn)環(huán)境中最后的效果圖如圖3所示。

其中“E”盤對(duì)應(yīng)的就是SFTP共享用戶“test”的文件夾資源，“F”盤對(duì)應(yīng)的就是SFTP共享用戶“test1”的文件夾資源。用戶可以非常方便地直接對(duì)這些資源進(jìn)行本地操作，很好地實(shí)現(xiàn)了類似Windows網(wǎng)絡(luò)文件共享的功能。

用戶還可以通過(guò)目前的自由開(kāi)放軟件來(lái)替代NetDrive功能，該軟件可以通過(guò)“https://github.com/billziss-gh/winfsp/releases”“https://github.com/billziss-gh/winf-win/releases”下載及安裝，并可以使用Windows自帶的“映射網(wǎng)絡(luò)驅(qū)動(dòng)器”選項(xiàng)以連接串“\sshfs est@192.168.100.88:3371”將遠(yuǎn)程文件映射成本地磁盤。

圖2 “Drive Info”選項(xiàng)卡中輸入配置信息

圖3 筆者實(shí)驗(yàn)環(huán)境中最后的效果圖

后記

本文的由來(lái)是一次用戶需求具體實(shí)踐，在網(wǎng)絡(luò)安全要求不斷升級(jí)的當(dāng)下，如何能夠增強(qiáng)安全機(jī)制建設(shè)的同時(shí)，又能最大限度地發(fā)揮網(wǎng)絡(luò)在生產(chǎn)生活中的方便性，一直是系統(tǒng)維護(hù)人員要努力的方向。

通過(guò)這樣的實(shí)踐，我們不但保持了網(wǎng)絡(luò)文件共享的易用性，同時(shí)也真正的在應(yīng)用層通過(guò)SSL的加密傳輸機(jī)制，通過(guò)SSH的服務(wù)拋棄了那種固定服務(wù)端口以及明文傳輸帶來(lái)的安全隱患，最大限度地防止了傳統(tǒng)共享文件機(jī)制帶來(lái)的安全問(wèn)題，保護(hù)了共享機(jī)制的安全。