安全连接网关 — 禁用 FTP 端口 21

Summary: 如果客户安全团队建议禁用用于文件传输协议 (FTP) 的端口 21,则出于安全考虑。端口 21 以纯文本形式传输数据,因此容易受到拦截和攻击。禁用此端口有助于防止未经授权的访问和数据泄露,从而增强对敏感信息的保护。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

  1. 如果必须暂时禁用该服务:
docker exec -it esrsde-app bash
wd status esrshttpdftp

如果它正在运行,请使用以下命令将其停止:

wd stop esrshttpdftp

 

提醒:如果网关重新启动,则会再次启用 FTP 服务。

 

  1. 如果必须永久禁用服务:删除正在运行的容器上的端口 21 和 4021:
  2. 如果我们仍在上述步骤的 docker 命令 shell 中,则必须发出 exit 命令以返回到 bash 提示符。
  3. 现在,我们必须使用以下命令找到我们必须编辑的容器的端口 ID: 
docker ps --no-trunc
  1. 现在我们必须停止容器,以便可以使用下面的命令更改它。
docker stop esrsde-app
  1. 现在转到文件夹: cd /var/lib/docker/containers/<Full port id form step 2>
  2. 创建我们要编辑的文件的备份:
    1. cp config.v2.json config.v2.json.bak
    2. cp hostconfig.json hostconfig.json.bak
  3. 修改文件config.v2.json删除条目“4021/tcp”:{} 
    1. 新条目应如下所示:“ExposedPorts”:{“4443/tcp”:{},“5400/tcp”:{ },
  4. 修改文件hostconfig.json删除条目 “4021/tcp”:[{“HostIp”:“”,“HostPort”:“21”}],
    1. 新条目应如下所示:ʺPortBindings“:{”4443(....等等)
  5. systemctl restart docker
  6. docker start esrsde-app
    1. 如果容器无法启动,则很可能在其中一个文件中遗漏了括号或引号。将备份文件与新编辑的文件进行比较,以验证所有内容是否正确。
  7. 通过执行以下命令验证端口未映射: docker ps

要从 SCG 主机级别禁用 —
如果客户在 SCG 上,请从 SuSEfirewall2-srs-custom 文件中删除端口 21 引用。

  1. cd /etc/sysconfig/scripts/

在修改之前创建备份拷贝:  

cp SuSEfirewall2-srs-custom SuSEfirewall2-srs-custom.bak
  1. 现在,我们编辑 SuSEfirewall2-srs-custom 文件,并使用 # 注释掉包含以 4021 结尾的 --dport 21 的行,现在应该如下所示: 
    #-A SCG-DOCKER -p tcp -m tcp --dport 21 -j DNAT --to-destination [${srsIpAddr}]:4021
  2. 之后,使用以下命令重新启动 esrsve.service 
    systemctl restart esrsve.service

Affected Products

Secure Connect Gateway - Virtual Edition
Article Properties
Article Number: 000227892
Article Type: How To
Last Modified: 03 Feb 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.