Bramka zabezpieczeń — wyłącz port FTP 21

Summary: Jeśli zespół ds. bezpieczeństwa klienta zaleca wyłączenie portu 21, który jest używany przez protokół FTP (File Transfer Protocol), jest to spowodowane obawami o bezpieczeństwo. Port 21 przesyła dane w postaci zwykłego tekstu, co czyni je podatnymi na przechwycenie i ataki. Wyłączenie tego portu pomaga zapobiegać nieautoryzowanemu dostępowi i naruszeniom danych, zwiększając w ten sposób ochronę poufnych informacji. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

  1. Jeśli konieczne jest tymczasowe wyłączenie usługi:
docker exec -it esrsde-app bash
wd status esrshttpdftp

Jeśli jest uruchomiony, użyj następującego polecenia, aby go zatrzymać:

wd stop esrshttpdftp

 

UWAGA: Jeśli brama uruchomi się ponownie, usługa FTP zostanie ponownie włączona.

 

  1. Jeśli usługa musi zostać trwale wyłączona: Usuwanie portów 21 i 4021 w uruchomionym kontenerze:
  2. Jeśli nadal jesteśmy w powłoce poleceń docker z powyższych kroków, musimy wydać polecenie exit , aby powrócić do wiersza poleceń bash.
  3. Teraz musimy znaleźć identyfikator portu kontenera, który musimy edytować za pomocą polecenia: 
docker ps --no-trunc
  1. Teraz musimy zatrzymać kontener, abyśmy mogli go zmienić za pomocą poniższego polecenia.
docker stop esrsde-app
  1. Teraz przejdź do folderu: cd /var/lib/docker/containers/<Full port id form step 2>
  2. Utwórz kopię zapasową plików, które mamy edytować:
    1. cp config.v2.json config.v2.json.bak
    2. cp hostconfig.json hostconfig.json.bak
  3. Zmodyfikuj plik config.v2.json usuwając wpis "4021/tcp":{} 
    1. Nowy wpis powinien wyglądać następująco: "ExposedPorts":{"4443/tcp":{},"5400/tcp":{ },
  4. Zmodyfikuj plik hostconfig.json usuwając wpis "4021/tcp":[{"HostIp":"","HostPort":"21"}],
    1. Nowy wpis powinien wyglądać następująco: "PortBindings":{"4443(.... i tak dalej)
  5. systemctl restart docker
  6. docker start esrsde-app
    1. Jeśli kontener nie chce się uruchomić, najprawdopodobniej pominięto nawias kwadratowy lub cytat w jednym z plików. Porównaj pliki kopii zapasowej z nowo edytowanymi plikami, aby sprawdzić, czy wszystko się zgadza.
  7. Sprawdź, czy porty nie zostały zmapowane, wykonując polecenie: docker ps

Aby wyłączyć z poziomu hosta SCG —
jeśli klient korzysta z SCG, usuń odwołania do portu 21 z pliku SuSEfirewall2-srs-custom.

  1. cd /etc/sysconfig/scripts/

Utwórz kopię zapasową przed modyfikacją:  

cp SuSEfirewall2-srs-custom SuSEfirewall2-srs-custom.bak
  1. Teraz edytujemy plik SuSEfirewall2-srs-custom i komentujemy linię zawierającą --dport 21 kończącą się na 4021 za pomocą # powinno to teraz wyglądać następująco: 
    #-A SCG-DOCKER -p tcp -m tcp --dport 21 -j DNAT --to-destination [${srsIpAddr}]:4021
  2. Następnie uruchom ponownie esrsve.service za pomocą poniższego polecenia 
    systemctl restart esrsve.service

Affected Products

Secure Connect Gateway - Virtual Edition
Article Properties
Article Number: 000227892
Article Type: How To
Last Modified: 03 Feb 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.