ftp安全么
① 注重設置讓ftp伺服器共享更安全
為了方便員工之間相互交流和傳輸信息,不少單位都利用Windows伺服器系統自帶的FTP功能架設了FTP伺服器,這樣一來員工就能把自己的信息上傳到FTP伺服器中讓其他人下載使用了。不過,不同部門的員工共享使用同一台FTP伺服器,往往會存在部門信息被輕易外泄的危險;為了有效避免這種風險,讓FTP伺服器共享訪問更安全,我們可以從設置出發,來讓不同部門的員工訪問FTP伺服器時只能看到本部門的信息,而不能看到其他部門的信息,這樣一來就能實現多部門、多用戶共享使用FTP伺服器的目的了!
架設FTP伺服器
假設某單位為了便於統一管理FTP伺服器,希望能讓不同的部門共享使用相同的一台FTP伺服器,並希望不同部門用戶登錄進FTP伺服器後,只能訪問到本部門上傳發布的信息,並且僅對這些信息進行讀取或修改,而不能看到其他部門的上傳信息。比方說,我們假設指定「D:\aaa」文件夾作為單位FTP伺服器的主目錄,並在該目錄下創建兩個名稱分別為「bbb」與「ccc」的文件夾,現在我們要讓B部門的員工以「bbb」用戶帳號登錄FTP伺服器時,只能訪問和讀取「bbb」 文件夾中的信息,而不能看到和訪問「ccc」 文件夾中的信息,那樣一來多部門共享一台FTP伺服器的安全性就能得到有效保證了。要實現上面的設置目的,我們不妨按照如下步驟進行設置:
首先以超級管理員身份登錄進FTP伺服器所在的主機系統,並在該系統桌面中用滑鼠逐一單擊「開始」、「設置」、「控制面板」命令,在其後彈出的窗口中用滑鼠雙擊「管理工具」圖標,之後再雙擊「計算機管理」圖標,打開主機系統的計算機管理窗口;在該管理窗口的左側顯示區域,用滑鼠依次展開「本地用戶和組」/「用戶」分支選項,打開計算機用戶管理窗口,在該窗口的右側空白區域單擊滑鼠右鍵,從彈出的右鍵菜單中執行「用戶」命令,來為B部門和C部門的員工分別創建好登錄FTP伺服器的用戶帳號名稱「bbb」和「ccc」,同時為這兩個用戶帳號設置好合適的密碼信息。
接著打開伺服器系統的資源管理器窗口,找到該主機D盤下面的「aaa」文件夾,然後用滑鼠雙擊該文件夾圖標,在其後的文件夾窗口中用滑鼠右擊空白區域,並依次執行快捷菜單中的「新建」/「文件夾」命令,來在「aaa」文件夾下面分別創建好「bbb」與「ccc」文件夾,這兩個文件夾就作為B部門和C部門員工的信息上傳目錄。
下面返回到伺服器系統桌面中,並依次單擊「開始」/「設置」/「控制面板」命令,在其後的窗口中用滑鼠依次雙擊「管理工具」、「Internet服務管理器」圖標,打開Internet信息服務窗口,在該窗口的左側顯示區域,用滑鼠右鍵單擊伺服器主機名稱,從彈出的快捷菜單中依次執行「新建」/「FTP站點」命令鎮歲嫌,然後在彈出的向導窗口中依照提示(如圖1所示), 設置好FTP伺服器的站點名稱、IP地址,以及指定好FTP站點所用的主目錄路徑,這樣就能順利完成FTP伺服器站點的架設操作了。
小提示:當我們在Internet信息服務窗口的左側顯示區域中無法找到「FTP站點」選項時,那表明當前伺服器系統還沒有安裝FTP文件傳輸協議功能,雀芹此時我們可以按照前面步驟打開系統的控制面板窗口,並在其中雙擊「添加/御手刪除程序」命令,然後選擇「添加/刪除Windows組件」項目,打開Windows組件安裝向導窗口;選中該窗口列表中的「應用程序伺服器」選項,並單擊「詳細信息」按鈕,之後選中應用程序伺服器列表窗口中的「Internet信息服務(IIS)」子組件,再單擊一下「詳細信息」按鈕,打開如圖2所示的列表界面, 選中其中的「文件傳輸協議(FTP)服務」,最後單擊「確定」按鈕,那樣一來伺服器系統的FTP文件傳輸協議功能就能被正確安裝成功了。
② 如何使FTP伺服器安全
一、操作系統的選擇
FTP伺服器首先是基於操作系統而運作的,因而操作系統本身的安全性就決定了FTP伺服器安全性的級別。雖然Windows 98/Me一樣可以架設FTP伺服器,但由於其本身的安全性就不強,易受攻擊,因而不要採用。Windows NT就像雞肋,不用也罷。採用Windows 2000及以上版本,並記住及時打上補丁。至於Unix、Linux,則不在討論之列。
二、使用防火牆
埠是計算機和外部網路相連的邏輯介面,也是計算機的第一道屏障,埠配置正確與否直接影響到主機的安全,一般來說,僅打開你需要使用的埠,將其他不需要使用的埠屏蔽掉會比較安全。限制埠的方法比較多,可以使用第三方的個人防火牆,如天網個人防火牆等,這里只介紹Windows自帶的防火牆設置方法。
1。利用TCP/IP篩選功能
在消運Windows 2000和Windows XP中,系統都帶有TCP/IP篩選功能,利用它可以簡單地進行埠設置。以Windows XP為例,打開「本地連接」的屬性,在「常規」選項中找到「Internet協議(TCP/IP)」,雙擊它打開該協議的屬性設置窗口。點擊右下方的「高級」卜橋廳按鈕,進入「高級TCP/IP設置」。在「選項」中選中「TCP/IP篩選」並雙擊進入其屬性設置。這里我們可以設置系統只允許開放的埠,假如架設的FTP伺服器埠為21,先選中「啟用TCP/IP篩選(所有適配器)」,再在TCP埠選項中選擇「只允許」,點「添加」,輸入埠號21,確定即可。這樣,系統就只允許打開21埠。要開放其他埠,繼續添加即可。這可以有效防止最常見的139埠入侵。缺點是功能過於簡單,只能設置允許開放的埠,不能自定義要關閉的埠。如果你有大量埠要開放,就得一個個地去手工添加,比較麻煩。
2。打開Internet連接防火牆
對於Windows XP系統,自型隱帶了「Internet連接防火牆」功能,與TCP/IP篩選功能相比,設置更方便,功能更強大。除了自帶防火牆埠開放規則外,還可以自行增刪。在控制面板中打開「網路連接」,右擊撥號連接,進入「高級」選項卡,選中「通過限制或阻止來自Internet的對此計算機的訪問來保護我的計算機和網路」,啟用它。系統默認狀態下是關閉了FTP埠的,因而還要設置防火牆,打開所使用的FTP埠。點擊右下角的「設置」按鈕進入「高級設置」,選中「FTP伺服器」,我它。由於FTP服務默認埠是21,因而除了IP地址一欄外,其餘均不可更改。在IP地址一欄中填入伺服器公網IP,確定後退出即可即時生效。如果架設的FTP伺服器埠為其他埠,比如22,則可以在「服務」選項卡下方點「添加」,輸入伺服器名稱和公網IP後,將外部埠號和內部埠號均填入22即可。
三、對IIS、Serv-U等伺服器軟體進行設置
除了依靠系統提供的安全措施外,就需要利用FTP伺服器端軟體本身的設置來提高整個伺服器的安全了。
1。IIS的安全性設置
1)及時安裝新補丁
對於IIS的安全性漏洞,可以說是「有口皆碑」了,平均每兩三個月就要出一兩個漏洞。所幸的是,微軟會根據新發現的漏洞提供相應的補丁,這就需要你不斷更新,安裝最新補丁。
2)將安裝目錄設置到非系統盤,關閉不需要的服務
一些惡意用戶可以通過IIS的溢出漏洞獲得對系統的訪問權。把IIS安放在系統分區上,會使系統文件與IIS同樣面臨非法訪問,容易使非法用戶侵入系統分區。另外,由於IIS是一個綜合性服務組件,每開設一個服務都將會降低整個服務的安全性,因而,對不需要的服務盡量不要安裝或啟動。
3)只允許匿名連接
FTP的安全漏洞在於其默認傳輸密碼的過程是明文傳送,很容易被人嗅探到。而IIS又是基於Windows用戶賬戶進行管理的,因而很容易泄漏系統賬戶名及密碼,如果該賬戶擁有一定管理許可權,則更會影響到整個系統的安全。設置為「只允許匿名連接」,可以免卻傳輸過程中泄密的危險。進入「默認FTP站點」,在屬性的「安全賬戶」選項卡中,將此選項選中。
4)謹慎設置主目錄及其許可權
IIS可以將FTP站點主目錄設為區域網中另一台計算機的共享目錄,但在區域網中,共享目錄很容易招致其他計算機感染的病毒攻擊,嚴重時甚至會造成整個區域網癱瘓,不到萬不得已,使用本地目錄並將主目錄設為NTFS格式的非系統分區中。這樣,在對目錄的許可權設置時,可以對每個目錄按不同組或用戶來設置相應的許可權。右擊要設置的目錄,進入「共享和安全→安全」中設置,如非必要,不要授予「寫入」許可權。
5)盡量不要使用默認埠號21
啟用日誌記錄,以備出現異常情況時查詢原因。
2。Serv-U的安全性設置
與IIS的FTP服務相比,Serv-U在安全性方面做得比較好。
1)對「本地伺服器」進行設置
首先,選中「攔截FTP_bounce攻擊和FXP」。什麼是FXP呢?通常,當使用FTP協議進行文件傳輸時,客戶端首先向FTP伺服器發出一個「PORT」命令,該命令中包含此用戶的IP地址和將被用來進行數據傳輸的埠號,伺服器收到後,利用命令所提供的用戶地址信息建立與用戶的連接。大多數情況下,上述過程不會出現任何問題,但當客戶端是一名惡意用戶時,可能會通過在PORT命令中加入特定的地址信息,使FTP伺服器與其它非客戶端的機器建立連接。雖然這名惡意用戶可能本身無權直接訪問某一特定機器,但是如果FTP伺服器有權訪問該機器的話,那麼惡意用戶就可以通過FTP伺服器作為中介,仍然能夠最終實現與目標伺服器的連接。這就是FXP,也稱跨伺服器攻擊。選中後就可以防止發生此種情況。
其次,在「高級」選項卡中,檢查「加密密碼」和「啟用安全」是否被選中,如果沒有,選擇它們。「加密密碼」使用單向hash函數(MD5)加密用戶口令,加密後的口令保存在ServUDaemon。ini或是注冊表中。如果不選擇此項,用戶口令將以明文形式保存在文件中:「啟用安全」將啟動Serv-U伺服器的安全成功。
2)對域中的伺服器進行設置
前面說過,FTP默認為明文傳送密碼,
容易被人嗅探,對於只擁有一般許可權的賬戶,危險並不大,但如果該賬戶擁有遠程管理尤其是系統管理員許可權,則整個伺服器都會被別人遠程式控制制。Serv-U對每個賬戶的密碼都提供了以下三種安全類型:規則密碼、OTP S/KEY MD4和OTP S/KEY MD5。不同的類型對傳輸的加密方式也不同,以規則密碼安全性最低。進入擁有一定管理許可權的賬戶的設置中,在「常規」選項卡的下方找到「密碼類型」下拉列表框,選中第二或第三種類型,保存即可。注意,當用戶憑此賬戶登錄伺服器時,需要FTP客戶端軟體支持此密碼類型,如CuteFTP Pro等,輸入密碼時選擇相應的密碼類型方可通過伺服器驗證。
與IIS一樣,還要謹慎設置主目錄及其許可權,凡是沒必要賦予寫入等能修改伺服器文件或目錄許可權的,盡量不要賦予。最後,進入「設置」,在「日誌」選項卡中將「啟用記錄到文件」選中,並設置好日誌文件名及保存路徑、記錄參數等,以方便隨時查詢伺服器異常原因。
③ 四大策略有效保護FTP伺服器口令的安全
由於FTP伺服器常被用來做文件上傳與下載的工具,所以,其安全的重要性就不同一般。因為若其被不法攻擊者攻破的話,不但FTP伺服器上的文件可能被破壞或者竊取;更重要的是,若它們在這些文件上下病毒、木馬,則會給全部的FTP用戶帶來潛在的威脅。所以,保護FTP伺服器的安全已經迫在眉睫。
而要保護FTP伺服器,就要從保護其口令的安全做起。這里就談談常見的FTP伺服器具有的一些口令安全策略,幫助大家一起來提高FTP伺服器閉戚亂的安全性。
策略一:口令的期限
有時候,FTP伺服器不僅會給員工用,而且還會臨時給一個賬號給外部的合作夥伴使用。如銷售部門經常會因為一些文件比較大,無法通過電子郵件發送,需要通過FTP 伺服器把文件傳遞給客戶。所以,在客戶或者供應商需要一些大文件的時候,就得給他仔碼們一個FTP伺服器的臨時帳號與密碼。
現在的做法就是,在FTP伺服器設置一個賬號,但是,其口令則是當天有效,第二天就自動失效。如此的話,當客戶或者供應商需要使用FTP伺服器的話,只需要更改一些密碼即可。而不需要每次使用的時候,去創建一個用戶;用完後再把它刪除。同時,也可以避免因為沒有及時注銷臨時帳戶而給伺服器帶來安全上的隱患,因為口令會自動失效。
大多數FTP伺服器,如微軟操作系統自帶的FTP伺服器軟體,都具有口令期限管理的功能。一般來說,對於臨時的帳戶,就可以跟帳戶與口令的期限管理一起,來提高臨時帳戶的安全性。而對於內部用戶來說,也可以通過期限管理,來督促員工提高密碼更改的頻率。
策略二:口令必須符合復雜性規則
現在由不少銀行,為了用戶帳戶的安全,進行了一些密碼的復雜性認證。如諸如888888等形式的密碼,已經不在被接受。從密碼學上來說,這種形式的密碼是非常危險的。因為他們可以通過一些密碼破解工具,如密碼電子字典等等,非常輕松的進行破解。
故為了提高口令本身的安全性,最簡單的就是提高密碼的復雜程度。在FTP伺服器中,可以通過口令復雜性規則,強制用戶採用一些安全級別比較高的口令。具體的來說,可以進行如下的復雜性規則設定。
1、不能以純數字或者純字元作為密碼
若黑客想破解一個FTP伺服器的帳號,其所用的時間直接跟密碼的組成相關。如現在由一個八位數字的密碼,一個是純數字組成的,另外一個是數字與字元的結合。如分別為82372182與32dwl98s.這兩個密碼看起來差不多,可是對與密碼破解工具來說,就相差很大。前面這個純數字的密碼,通過一些先進的密碼破解工具,可能只需要24個小時就可以破解;可是,對於後面這個字母與數字結合的密碼,則其破解就需要2400個小時,甚至更多。其破解難度比原先那個起碼增加了100倍。
可見,字元與數字結合的口令,其安全程度是相當高的。為此,我們可以在FTP伺服器上進行設置,讓其不接受純數字或者純字元的口令設置。
2、口令不能與用戶名相同
其實,我轎檔們都知道,很多時候伺服器被攻破都是因為管理不當所造成的。而用戶名與口令相同,則是FTP伺服器最不安全的因素之一。
很多用戶,包括網路管理員,為了容易記憶與管理,他們喜歡把密碼跟用戶名設置為一樣。這雖然方便了使用,但是,很明顯這是一個非常不安全的操作。根據密碼攻擊字典的設計思路,其首先會檢查FTP伺服器其帳戶的密碼是否為空;若不為空,則其會嘗試利用用戶名相同的口令來進行破解。若以上兩個再不行的話,則其再嘗試其他可能的密碼構成。
所以,在黑客眼中,若口令跟用戶名相同,則相當於沒有設置口令。為此,在FTP伺服器的口令安全策略中,也要把禁止口令與密碼一致這個原則強制的進行實現。
3、密碼長度的要求
雖然說口令的安全跟密碼的長度不成正比,但是,一般來說,口令長總比短好。如對於隨機密碼來說,破解7位的口令要比破解5位的口令難度增加幾十倍,雖然說,其口令長度只是增加了兩位。
策略三:口令歷史紀錄
為了提高FTP伺服器的安全,則為用戶指定一個不能重復口令的時間間隔,這也是非常必要的。如FTP伺服器中有一個文件夾,是專門用來存放客戶的訂單信息,這方便相關人員在出差的時候,可以及時的看到這方面的內容。這個文件夾中的資料是屬於高度機密的。若這些內容泄露出去的話,則企業可能會失去大量的訂單,從而給企業帶來致命的影響。
所以,對於存放了這么敏感資料的FTP伺服器,在安全性方面是不敢小視。為此,就啟用了口令歷史紀錄功能。根據這個策略,用戶必須每隔一個星期更改一次FTP伺服器密碼。同時,用戶在60天之內,不能夠重復使用這個密碼。也就是說,啟用了口令歷史紀錄功能之後,FTP伺服器會紀錄用戶兩個月內使用過的密碼。若用戶新設置的密碼在兩個月內用過的話,則伺服器就會拒絕用戶的密碼更改申請。
可見,口令歷史紀錄功能可以在一定程度上提高FTP伺服器口令的安全性。
策略四:賬戶鎖定策略
從理論上來說,再復雜的密碼,也有被電子字典攻破的可能。為此,我們除了要採用以上這些策略外,還需要啟用「帳戶鎖定策略」。這個策略可以有效的避免不法之徒的密碼攻擊。
帳戶鎖定策略是指當一個用戶超過了指定的失敗登陸次數時,伺服器就會自動的鎖定這個帳號,並向管理員發出警告。通過這個策略,當不法人士試圖嘗試不同的口令登陸FTP伺服器時,由於其最多隻能夠嘗試三次(假如管理員設置失敗的登陸次數最多為3),則這個帳號就會被鎖定。這就會讓他們的密碼攻擊無效。
在採用帳戶鎖定策略時,需要注意幾個方面的內容。
一是採用手工解禁還是自動解禁。若採用手工解禁的話,則被鎖住的賬戶必須有管理員手工解禁。而若設置為自動解禁的話,則當帳戶鎖住滿一定期限的時候,伺服器會自動幫這個帳號進行解鎖。若對於伺服器的安全性要求比較高的話,則建議採用手工解禁的方式比較好。
二是錯誤登陸的次數設置。若這個次數設置的太多,不能夠起到保護的作用。若設置的太少的話,則用戶可能因為疏忽密碼輸入錯誤,而觸發帳戶鎖定,從而給伺服器管理員憑空增加不少的工作量。為此,一般可以把這個次數設置為三到五次。這既可以保證安全性的需要,而且也給用戶密碼輸入錯誤提供了一定的機會。
三是遇到帳戶鎖定情況時,要能夠自動向伺服器管理員發出警報。因為作為FTP伺服器來說,其不能夠辨別這是惡意攻擊事件還是一個偶然事件。這需要伺服器管理員根據經驗來進行判斷。FTP伺服器只能夠提供暫時的保護作用。所以,當出現帳戶鎖定的情況時,伺服器要能夠向管理員發出警報,讓其判斷是否存在惡意攻擊。若存在的話,則就需採取相應的措施來避免這種情況的再次發生。
通過以上四種策略,基本上可以保障FTP伺服器口令的安全。
④ FTP服務的優缺點
FTP什麼都簡單,裝一個好的FTP Server就萬事大吉了;
web的話就得慢慢編了;而且大文件的處理很有問題。
⑤ FTP與網路文件共享相比,有哪些優勢特點
FTP相對於文件共享的優勢
①完全基於網路,具有備網路文件的上傳與下載特性。比如說斷點續傳,不受工作組與IP地址限制等。
②相比於文件共享的小范圍區域網而言FTP不僅適用於區域網絡而且也適用於廣域網中文件的傳輸,更為可靠、靈活。
③數據的傳輸可以進行加密,更安全
但是,FTP延時太高,從開始請求到第一次接收需求數據之間的時間,會非常長;並且不時的必須執行一些冗長的登陸進程。不是很方便。
【FTP簡介】
FTP 是File Transfer Protocol(文件傳輸協議)的英文簡稱,而中文簡稱為「文傳協議」。用於Internet上的控制文件的雙向傳輸。同時,它也是一個應用程(Application)。基於不同的操作系統有不同的FTP應用程序,而所有這些應用程序都遵守同一種協議以傳輸文件。在FTP的使用當中,用戶經常遇到兩個概念:"下載"(Download)和"上傳"(Upload)。"下載"文件就是從遠程主機拷貝文件至自己的計算機上;"上傳"文件就是將文件從自己的計算機中拷貝至遠程主機上。用Internet語言來說,用戶可通過客戶機程序向(從)遠程主機上傳(下載)文件。
簡單的來說文件傳輸協議,在硬碟中開辟一塊磁碟空間,提供用戶的文件的上傳和下載。
參考資料:http://ke..com/link?url=_gN_KNYhSasD1rzdpGRTTx6uRcERmfyjC_6ztM_lxgMkcAndC9Gj47YfBVJ-LgyE0dLhQByRBTsM7#2
⑥ ftp和在計算機域中共享文件哪個更安全一些
當然是FTP安全啊,不過共享文件可以更方便的設置,適合一次性使用,如果學期需要使用共享,建議FTP