Säker anslutningsgateway – inaktivera FTP-port 21

Summary: Om kundens säkerhetsteam rekommenderar att du inaktiverar port 21, som används för FTP (File Transfer Protocol), beror det på säkerhetsproblem. Port 21 överför data i klartext, vilket gör den mottaglig för avlyssning och attacker. Genom att inaktivera den här porten kan du förhindra obehörig åtkomst och dataintrång, vilket förbättrar skyddet för känslig information. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

  1. Om tjänsten måste inaktiveras tillfälligt:
docker exec -it esrsde-app bash
wd status esrshttpdftp

Om den körs använder du följande kommando för att stoppa den:

wd stop esrshttpdftp

 

Obs! Om gatewayen startas om aktiveras FTP-tjänsten igen.

 

  1. Om tjänsten måste inaktiveras permanent: Ta bort port 21 och 4021 på en container som körs:
  2. Om vi fortfarande är i docker-kommandoskalet från stegen ovan måste vi utfärda exit-kommandot för att återgå till bash-prompten.
  3. Nu måste vi hitta port-ID för behållaren som vi måste redigera med kommandot: 
docker ps --no-trunc
  1. Nu måste vi stoppa behållaren så att vi kan ändra den med kommandot nedan.
docker stop esrsde-app
  1. Gå nu till mappen: cd /var/lib/docker/containers/<Full port id form step 2>
  2. Skapa en säkerhetskopia av filer som vi ska redigera:
    1. cp config.v2.json config.v2.json.bak
    2. cp hostconfig.json hostconfig.json.bak
  3. Ändra filen config.v2.json att ta bort posten "4021/tcp":{} 
    1. En ny post bör se ut så här: "ExposedPorts":{"4443/tcp":{},"5400/tcp":{ },
  4. Ändra filen hostconfig.json att ta bort posten "4021/tcp":[{"HostIp":"","HostPort":"21"}],
    1. En ny post bör se ut så här: "PortBindings":{"4443(.... och så vidare)
  5. systemctl restart docker
  6. docker start esrsde-app
    1. Om behållaren inte startar har du troligen missat en parentes eller offert i en av dina filer. Jämför säkerhetskopiorna med de nya redigerade filerna för att kontrollera att allt är korrekt.
  7. Kontrollera att portar inte mappas genom att utföra kommandot: docker ps

Om du vill inaktivera från SCG-värdnivå –
Om kunden använder SCG tar du bort port 21-referenserna från SuSEfirewall2-srs-custom-filen.

  1. cd /etc/sysconfig/scripts/

Skapa en säkerhetskopia innan du ändrar:  

cp SuSEfirewall2-srs-custom SuSEfirewall2-srs-custom.bak
  1. Nu redigerar vi filen SuSEfirewall2-srs-custom och kommenterar ut raden som innehåller --dport 21 som slutar på 4021 med # detta bör nu se ut så här: 
    #-A SCG-DOCKER -p tcp -m tcp --dport 21 -j DNAT --to-destination [${srsIpAddr}]:4021
  2. Starta sedan om esrsve.service med kommandot nedan 
    systemctl restart esrsve.service

Affected Products

Secure Connect Gateway - Virtual Edition
Article Properties
Article Number: 000227892
Article Type: How To
Last Modified: 03 Feb 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.