Brána bezpečného připojení – zakázání portu FTP 21

Summary: Pokud bezpečnostní tým zákazníků doporučuje zakázat port 21, který se používá pro protokol FTP (File Transfer Protocol), je to kvůli obavám o zabezpečení. Port 21 přenáší data ve formátu prostého textu, takže je náchylný k zachycení a útokům. Zakázání tohoto portu pomáhá zabránit neoprávněnému přístupu a narušení dat, a tím zvýšit ochranu citlivých informací. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

  1. Pokud musí být služba dočasně zakázána:
docker exec -it esrsde-app bash
wd status esrshttpdftp

Pokud je spuštěný, zastavte jej pomocí následujícího příkazu:

wd stop esrshttpdftp

 

POZNÁMKA: Pokud se brána restartuje, služba FTP se znovu povolí.

 

  1. Pokud musí být služba trvale zakázána: Odebrání portů 21 a 4021 ve spuštěném kontejneru:
  2. Pokud jsme stále v příkazovém prostředí dockeru z výše uvedených kroků, musíme vydat příkaz exit a vrátit se do řádku Bash.
  3. Nyní musíme pomocí příkazu najít ID portu kontejneru, který musíme upravit: 
docker ps --no-trunc
  1. Nyní kontejner zastavíme, abychom ho mohli změnit pomocí následujícího příkazu.
docker stop esrsde-app
  1. Nyní přejděte do složky: cd /var/lib/docker/containers/<Full port id form step 2>
  2. Vytvořte zálohu souborů, které máme upravit:
    1. cp config.v2.json config.v2.json.bak
    2. cp hostconfig.json hostconfig.json.bak
  3. Upravte soubor config.v2.json odeberte položku "4021/tcp":{} 
    1. Nová položka by měla vypadat takto: "ExposedPorts":{"4443/tcp":{},"5400/tcp":{ },
  4. Upravte soubor hostconfig.json odebráním položky "4021/tcp":[{"HostIp":"","HostPort":"21"}],
    1. Nová položka by měla vypadat takto: "PortBindings":{"4443(.... a tak dále)
  5. systemctl restart docker
  6. docker start esrsde-app
    1. Pokud se kontejner nespustí, pravděpodobně jste v některém ze souborů přehlédli závorku nebo cenovou nabídku. Porovnejte záložní soubory s nově upravenými soubory a ověřte, zda je vše v pořádku.
  7. Ověřte, že porty nejsou namapovány, provedením příkazu: docker ps

Zakázání na úrovni hostitele SCG –
Pokud zákazník používá SCG, odeberte ze souboru SuSEfirewall2-srs-custom odkazy na port 21.

  1. cd /etc/sysconfig/scripts/

Před úpravou vytvořte záložní kopii:  

cp SuSEfirewall2-srs-custom SuSEfirewall2-srs-custom.bak
  1. Nyní upravíme soubor SuSEfirewall2-srs-custom a zakomentujeme řádek obsahující --dport 21 končící na 4021 pomocí # nyní by to mělo vypadat takto: 
    #-A SCG-DOCKER -p tcp -m tcp --dport 21 -j DNAT --to-destination [${srsIpAddr}]:4021
  2. Poté restartujte esrsve.service pomocí níže uvedeného příkazu: 
    systemctl restart esrsve.service

Affected Products

Secure Connect Gateway - Virtual Edition
Article Properties
Article Number: 000227892
Article Type: How To
Last Modified: 03 Feb 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.