ftp怎麼設置安全
1. 如何保證文件傳輸伺服器ftp的安全
,系統的安全性是非常重要的,這是建立
FTP伺服器
者所考慮的
第一個問題
。其安全性主要包括以下幾個方面:一、
未經授權的用戶禁止在伺服器上進行FTP操作。
二、
FTP用戶不能讀取未經系統所有者允許的文件或目錄。
三、
未經允許,FTP用戶不能在伺服器上建立文件或目錄。
四、
FTP用戶不能刪除伺服器上的文件或目錄。
只有在伺服器的/etc/passwd文件中存在名為"FTP"的用戶時,伺服器才可以接受
匿名FTP
連接,匿名FTP用戶可以使用"
anonymous
"或"FTP"作為用戶名,自己的Internet
電子郵件地址
作為保密字。為了解決上述安全性的另外三個問題,應該對FTP主目錄下的
文件屬性
進行管理,建議對每個目錄及其文件採取以下一些措施:FTP主目錄:將這個目錄的所有者設為"FTP",並且將屬性設為所有的用戶都不可寫,防止不懷好意的用戶刪改文件。
FTP/bin目錄:該目錄主要放置一些
系統文件
,應將這個目錄的所有者設為"root"(即
超級用戶
),並且將屬性設為所有的用戶都不可寫。為保證合法用戶可顯示文件,應將目錄中的ls文件屬性設為可執行。
FTP/etc目錄:將這個目錄的所有者設為"root",並且將屬性設為所有的用戶都不可寫。將目錄下的group文件和passwd文件的屬性設為所有用戶只讀屬性,並用編輯器將passwd文件中用戶加過密的口令刪掉。
###NextPage###FTP/pub目錄:將這個目錄的所有者置為"FTP",並且將它的屬性設為所有用戶均可讀、寫、執行。
這樣經過設置,既保證了系統文件不被刪改,又保證了FTP合法用戶的正常訪問。
作為Internet上的FTP伺服器,系統的安全性是非常重要的,這是建立FTP伺服器者所考慮的第一個問題。其安全性主要包括以下幾個方面:一、
未經授權的用戶禁止在伺服器上進行FTP操作。
二、
FTP用戶不能讀取未經系統所有者允許的文件或目錄。
三、
未經允許,FTP用戶不能在伺服器上建立文件或目錄。
四、
FTP用戶不能刪除伺服器上的文件或目錄。
只有在伺服器的/etc/passwd文件中存在名為"FTP"的用戶時,伺服器才可以接受匿名FTP連接,匿名FTP用戶可以使用"anonymous"或"FTP"作為用戶名,自己的Internet電子郵件地址作為保密字。為了解決上述安全性的另外三個問題,應該對FTP主目錄下的文件屬性進行管理,建議對每個目錄及其文件採取以下一些措施:FTP主目錄:將這個目錄的所有者設為"FTP",並且將屬性設為所有的用戶都不可寫,防止不懷好意的用戶刪改文件。
FTP/bin目錄:該目錄主要放置一些系統文件,應將這個目錄的所有者設為"root"(即超級用戶),並且將屬性設為所有的用戶都不可寫。為保證合法用戶可顯示文件,應將目錄中的ls文件屬性設為可執行。
FTP/etc目錄:將這個目錄的所有者設為"root",並且將屬性設為所有的用戶都不可寫。將目錄下的group文件和passwd文件的屬性設為所有用戶只讀屬性,並用編輯器將passwd文件中用戶加過密的口令刪掉。
FTP/pub目錄:將這個目錄的所有者置為"FTP",並且將它的屬性設為所有用戶均可讀、寫、執行。
這樣經過設置,既保證了系統文件不被刪改,又保證了FTP合法用戶的正常訪問。
2. 如何設置ftp伺服器
設置 FTP 伺服器需要以下步驟:
選擇合適的 FTP 服首派務器軟體,比如 FileZilla、vsftpd 等。安裝FTP伺服器軟體時需要注意設置用戶和組許可權。
指定 FTP 伺服器運行的埠號,建議使用默認埠號21,因為大多數 FTP 客戶端都默認使用該埠。
創建用戶和組,分配相應的許可權。FTP 用戶應擁有訪問 FTP 目錄的權則孫限,組應擁有讀寫 FTP 目錄和日誌文件的許可權。
配置 FTP 伺服器部分安全性參數,例如最大連接數、連接超時時間、限制的最大傳輸速度等。
配置 FTP 伺服器的數據傳輸模式,常用的有主動模式和被動模式。
設置 FTP 伺服器上文件的格式和編碼方式。可以設置為二進制文件格式或ASCII 文件格式。
配置 FTP 伺服器日誌,記錄孫芹鏈 FTP 伺服器訪問記錄及操作記錄
3. 如何保護FTP伺服器
一)禁止匿名登錄。允許匿名訪問有時會導致被利用傳送非法文件。取消匿名登錄,只允許被預定義的用戶帳號登錄,配置被定義在FTP主目錄的ACL[訪問控制列表]來進行訪問控制,並使用NTFS許可證。
(二)設置訪問日誌。通過訪問日誌可以准確得到哪些IP地址和用戶訪問的准確紀錄。定期維護日誌能估計站點訪問量和找出安全威脅和漏洞。
(三)強化訪問控制列表。採用NTFS訪問許可,運用ACL[訪問控制列表]控制對您的FTP目錄的的訪問。
(四)設置站點為不可視。如您只需要用戶傳送文件到伺服器而不是從伺服器下載文件,可以考慮配置站點為不可視。這意味著用戶被允許從FTP目錄寫入文件不能讀取。這樣可以阻止未授權用戶訪問站點。要配置站點為不可視,應當在「站點」和「主目錄」設置訪問許可。
(五)使用磁碟配額。磁碟配額可能有效地限制每個用戶所使用的磁碟空間。授予用戶對自己上傳的文件的完全控制權。使用磁碟配額可以檢查用戶是否超出了使用空間,能有效地限制站點被攻破所帶來的破壞。並且,限制用戶能擁有的磁碟空間,站點將不會成為那些尋找空間共享媒體文件的黑客的目標。
(六)使用訪問時間限制。限制用戶只能在指定的日期的時間內才能登陸訪問站點。如果站點在企業環境中使用,可以限制只有在工作時間才能訪問服務請。下班以後就禁止登錄以保障安全。
(七)基於IP策略的訪問控制。FTP可以限制具體IP地址的訪問。限制只能由特定的個體才能訪問站點,可以減少未批准者登錄訪問的危險。
(八)審計登陸事件。審計帳戶登錄事件,能在安全日誌查看器里查看企圖登陸站點的(成功/失敗)事件,以警覺一名惡意用戶設法入侵的可疑活動。它也作為歷史記錄用於站點入侵檢測。
(九)使用安全密碼策略。復雜的密碼是採用終端用戶認證的安全方式。這是鞏固站點安全的一個關鍵部分,FTP用戶帳號選擇密碼時必須遵守以下規則:不包含用戶帳號名字的全部或部份;必須是至少6個字元長;包含英文大、小寫字元、數字和特殊字元等多個類別。
(十)限制登錄次數。Windows系統安全策略允許管理員當帳戶在規定的次數內未登入的情況下將帳戶鎖定。
4. 注重設置讓FTP伺服器共享更安全
為了方便員工之間相互交流和傳輸信息,不少單位都利用Windows伺服器系統自帶的FTP功能架設了FTP伺服器,這樣一來員工就能把自己的信息上傳到FTP伺服器中讓其他人下載使用了。不過,不同部門的員工共享使用同一台FTP伺服器,往往會存在部門信息被輕易外泄的危險;為了有效避免這種風險,讓FTP伺服器共享訪問更安全,我們可以從設置出發,來讓不同部門的員工訪問FTP伺服器時只能看到本部門的信息,而不能看到其他部門的信息,這樣一來就能實現多部門、多用戶共享使用FTP伺服器的目的了!
架設FTP伺服器
假設某單位為了便於統一管理FTP伺服器,希望能讓不同的部門共享使用相同的一台FTP伺服器,並希望不同部門用戶登錄進FTP伺服器後,只能訪問到本部門上傳發布的信息,並且僅對這些信息進行讀取或修改,而不能看到其他部門的上傳信息。比方說,我們假設指定「D:\aaa」文件夾作為單位FTP伺服器的主目錄,並在該目錄下創建兩個名稱分別為「bbb」與「ccc」的文件夾,現在我們要讓B部門的員工以「bbb」用戶帳號登錄FTP伺服器時,只能訪問和讀取「bbb」 文件夾中的信息,而不能看到和訪問「ccc」 文件夾中的信息,那樣一來多部門共享一台FTP伺服器的安全性就能得到有效保證了。要實現上面的設置目的,我們不妨按照如下步驟進行設置:
首先以超級管理員身份登錄進FTP伺服器所在的主機系統,並在該系統桌面中用滑鼠逐一單擊「開始」、「設置」、「控制面板」命令,在其後彈出的窗口中用滑鼠雙擊「管理工具」圖標,之後再雙擊「計算機管理」圖標,打開主機系統的計算機管理窗口;在該管理窗口的左側顯示區域,用滑鼠依次展開「本地用戶和組」/「用戶」分支選項,打開計算機用戶管理窗口,在該窗口的右側空白區域單擊滑鼠右鍵,從彈出的右鍵菜單中執行「用戶」命令,來為B部門和C部門的員工分別創建好登錄FTP伺服器的用戶帳號名稱「bbb」和「ccc」,同時為這兩個用戶帳號設置好合適的密碼信息。
接著打開伺服器系統的資源管理器窗口,找到該主機D盤下面的「aaa」文件夾,然後用滑鼠雙擊該文件夾圖標,在其後的文件夾窗口中用滑鼠右擊空白區域,並依次執行快捷菜單中的「新建」/「文件夾」命令,來在「aaa」文件夾下面分別創建好「bbb」與「ccc」文件夾,這兩個文件夾就作為B部門和C部門員工的信息上傳目錄。
下面返回到伺服器系統桌面中,並依次單擊「開始」/「設置」/「控制面板」命令,在其後的窗口中用滑鼠依次雙擊「管理工具」、「Internet服務管理器」圖標,打開Internet信息服務窗口,在該窗口的左側顯示區域,用滑鼠右鍵單擊伺服器主機名稱,從彈出的快捷菜單中依次執行「新建」/「FTP站點」命令鎮歲嫌,然後在彈出的向導窗口中依照提示(如圖1所示), 設置好FTP伺服器的站點名稱、IP地址,以及指定好FTP站點所用的主目錄路徑,這樣就能順利完成FTP伺服器站點的架設操作了。
小提示:當我們在Internet信息服務窗口的左側顯示區域中無法找到「FTP站點」選項時,那表明當前伺服器系統還沒有安裝FTP文件傳輸協議功能,雀芹此時我們可以按照前面步驟打開系統的控制面板窗口,並在其中雙擊「添加/御手刪除程序」命令,然後選擇「添加/刪除Windows組件」項目,打開Windows組件安裝向導窗口;選中該窗口列表中的「應用程序伺服器」選項,並單擊「詳細信息」按鈕,之後選中應用程序伺服器列表窗口中的「Internet信息服務(IIS)」子組件,再單擊一下「詳細信息」按鈕,打開如圖2所示的列表界面, 選中其中的「文件傳輸協議(FTP)服務」,最後單擊「確定」按鈕,那樣一來伺服器系統的FTP文件傳輸協議功能就能被正確安裝成功了。
5. 四大策略有效保護FTP伺服器口令的安全
由於FTP伺服器常被用來做文件上傳與下載的工具,所以,其安全的重要性就不同一般。因為若其被不法攻擊者攻破的話,不但FTP伺服器上的文件可能被破壞或者竊取;更重要的是,若它們在這些文件上下病毒、木馬,則會給全部的FTP用戶帶來潛在的威脅。所以,保護FTP伺服器的安全已經迫在眉睫。
而要保護FTP伺服器,就要從保護其口令的安全做起。這里就談談常見的FTP伺服器具有的一些口令安全策略,幫助大家一起來提高FTP伺服器閉戚亂的安全性。
策略一:口令的期限
有時候,FTP伺服器不僅會給員工用,而且還會臨時給一個賬號給外部的合作夥伴使用。如銷售部門經常會因為一些文件比較大,無法通過電子郵件發送,需要通過FTP 伺服器把文件傳遞給客戶。所以,在客戶或者供應商需要一些大文件的時候,就得給他仔碼們一個FTP伺服器的臨時帳號與密碼。
現在的做法就是,在FTP伺服器設置一個賬號,但是,其口令則是當天有效,第二天就自動失效。如此的話,當客戶或者供應商需要使用FTP伺服器的話,只需要更改一些密碼即可。而不需要每次使用的時候,去創建一個用戶;用完後再把它刪除。同時,也可以避免因為沒有及時注銷臨時帳戶而給伺服器帶來安全上的隱患,因為口令會自動失效。
大多數FTP伺服器,如微軟操作系統自帶的FTP伺服器軟體,都具有口令期限管理的功能。一般來說,對於臨時的帳戶,就可以跟帳戶與口令的期限管理一起,來提高臨時帳戶的安全性。而對於內部用戶來說,也可以通過期限管理,來督促員工提高密碼更改的頻率。
策略二:口令必須符合復雜性規則
現在由不少銀行,為了用戶帳戶的安全,進行了一些密碼的復雜性認證。如諸如888888等形式的密碼,已經不在被接受。從密碼學上來說,這種形式的密碼是非常危險的。因為他們可以通過一些密碼破解工具,如密碼電子字典等等,非常輕松的進行破解。
故為了提高口令本身的安全性,最簡單的就是提高密碼的復雜程度。在FTP伺服器中,可以通過口令復雜性規則,強制用戶採用一些安全級別比較高的口令。具體的來說,可以進行如下的復雜性規則設定。
1、不能以純數字或者純字元作為密碼
若黑客想破解一個FTP伺服器的帳號,其所用的時間直接跟密碼的組成相關。如現在由一個八位數字的密碼,一個是純數字組成的,另外一個是數字與字元的結合。如分別為82372182與32dwl98s.這兩個密碼看起來差不多,可是對與密碼破解工具來說,就相差很大。前面這個純數字的密碼,通過一些先進的密碼破解工具,可能只需要24個小時就可以破解;可是,對於後面這個字母與數字結合的密碼,則其破解就需要2400個小時,甚至更多。其破解難度比原先那個起碼增加了100倍。
可見,字元與數字結合的口令,其安全程度是相當高的。為此,我們可以在FTP伺服器上進行設置,讓其不接受純數字或者純字元的口令設置。
2、口令不能與用戶名相同
其實,我轎檔們都知道,很多時候伺服器被攻破都是因為管理不當所造成的。而用戶名與口令相同,則是FTP伺服器最不安全的因素之一。
很多用戶,包括網路管理員,為了容易記憶與管理,他們喜歡把密碼跟用戶名設置為一樣。這雖然方便了使用,但是,很明顯這是一個非常不安全的操作。根據密碼攻擊字典的設計思路,其首先會檢查FTP伺服器其帳戶的密碼是否為空;若不為空,則其會嘗試利用用戶名相同的口令來進行破解。若以上兩個再不行的話,則其再嘗試其他可能的密碼構成。
所以,在黑客眼中,若口令跟用戶名相同,則相當於沒有設置口令。為此,在FTP伺服器的口令安全策略中,也要把禁止口令與密碼一致這個原則強制的進行實現。
3、密碼長度的要求
雖然說口令的安全跟密碼的長度不成正比,但是,一般來說,口令長總比短好。如對於隨機密碼來說,破解7位的口令要比破解5位的口令難度增加幾十倍,雖然說,其口令長度只是增加了兩位。
策略三:口令歷史紀錄
為了提高FTP伺服器的安全,則為用戶指定一個不能重復口令的時間間隔,這也是非常必要的。如FTP伺服器中有一個文件夾,是專門用來存放客戶的訂單信息,這方便相關人員在出差的時候,可以及時的看到這方面的內容。這個文件夾中的資料是屬於高度機密的。若這些內容泄露出去的話,則企業可能會失去大量的訂單,從而給企業帶來致命的影響。
所以,對於存放了這么敏感資料的FTP伺服器,在安全性方面是不敢小視。為此,就啟用了口令歷史紀錄功能。根據這個策略,用戶必須每隔一個星期更改一次FTP伺服器密碼。同時,用戶在60天之內,不能夠重復使用這個密碼。也就是說,啟用了口令歷史紀錄功能之後,FTP伺服器會紀錄用戶兩個月內使用過的密碼。若用戶新設置的密碼在兩個月內用過的話,則伺服器就會拒絕用戶的密碼更改申請。
可見,口令歷史紀錄功能可以在一定程度上提高FTP伺服器口令的安全性。
策略四:賬戶鎖定策略
從理論上來說,再復雜的密碼,也有被電子字典攻破的可能。為此,我們除了要採用以上這些策略外,還需要啟用「帳戶鎖定策略」。這個策略可以有效的避免不法之徒的密碼攻擊。
帳戶鎖定策略是指當一個用戶超過了指定的失敗登陸次數時,伺服器就會自動的鎖定這個帳號,並向管理員發出警告。通過這個策略,當不法人士試圖嘗試不同的口令登陸FTP伺服器時,由於其最多隻能夠嘗試三次(假如管理員設置失敗的登陸次數最多為3),則這個帳號就會被鎖定。這就會讓他們的密碼攻擊無效。
在採用帳戶鎖定策略時,需要注意幾個方面的內容。
一是採用手工解禁還是自動解禁。若採用手工解禁的話,則被鎖住的賬戶必須有管理員手工解禁。而若設置為自動解禁的話,則當帳戶鎖住滿一定期限的時候,伺服器會自動幫這個帳號進行解鎖。若對於伺服器的安全性要求比較高的話,則建議採用手工解禁的方式比較好。
二是錯誤登陸的次數設置。若這個次數設置的太多,不能夠起到保護的作用。若設置的太少的話,則用戶可能因為疏忽密碼輸入錯誤,而觸發帳戶鎖定,從而給伺服器管理員憑空增加不少的工作量。為此,一般可以把這個次數設置為三到五次。這既可以保證安全性的需要,而且也給用戶密碼輸入錯誤提供了一定的機會。
三是遇到帳戶鎖定情況時,要能夠自動向伺服器管理員發出警報。因為作為FTP伺服器來說,其不能夠辨別這是惡意攻擊事件還是一個偶然事件。這需要伺服器管理員根據經驗來進行判斷。FTP伺服器只能夠提供暫時的保護作用。所以,當出現帳戶鎖定的情況時,伺服器要能夠向管理員發出警報,讓其判斷是否存在惡意攻擊。若存在的話,則就需採取相應的措施來避免這種情況的再次發生。
通過以上四種策略,基本上可以保障FTP伺服器口令的安全。
6. 如何進行全面提高FTP伺服器的安全性能呢
Windows2000系統提供了FTP服務功能,由於簡單易用,伺服器託管與Windows系統本身結合緊密,深受廣大用戶的喜愛。但使用IIS5.0 架設的FTP伺服器真的安全嗎?它的默認設置其實存在很多安全隱患,很容易成為黑客們的攻擊目標。伺服器託管如何讓FTP伺服器更加安全,只要稍加改造,就能做到。
一 取消匿名訪問功能
默認情況下伺服器託管,Windows2000系統的FTP伺服器是允許匿名訪問的,雖然匿名訪問為用戶上傳、下載文件提供方便,但卻存在極大的安全隱患。用戶不需要申請合法的賬號,就能訪問FTP伺服器,甚至還可以上傳、下載文件,特別對於一些存儲重要資料的FTP伺服器,伺服器託管很容易出現泄密的情況,因此建議用戶取消匿名訪問功能。
在Windows2000系統中,點擊「開始→程序→管理工具→Internet服務管理器」,彈出管理控制台窗口。然後展開窗口左側的本地計算機選項,就能看到IIS5.0自帶的FTP伺服器,下面筆者以默認FTP站點為例,介紹如何取消匿名訪問功能。
右鍵點擊「默認FTP站點」項,在右鍵菜單中選擇「屬性」,伺服器託管接著彈出默認FTP站點屬性對話框,切換到「安全賬號」標簽頁,取消「允許匿名連接」前的勾選,最後點擊「確定」按鈕,這樣用戶就不能使用匿名賬號訪問FTP伺服器了,必須擁有合法賬號。
二 啟用日誌記錄
Windows日誌記錄著系統運行的一切信息,但很多管理員對日誌記錄功能不夠重視,為了節省伺服器資源,禁用了FTP伺服器日誌記錄功能,伺服器託管這是萬萬要不得的。FTP伺服器日誌記錄著所有用戶的訪問信息,如訪問時間、客戶機IP地址、使用的登錄賬號等,這些信息對於FTP伺服器的穩定運行具有很重要的意義,一旦伺服器出現問題,就可以查看FTP日誌,找到故障所在,及時排除。因此一定要啟用FTP日誌記錄。
在默認FTP站點屬性對話框中,切換到「FTP站點」標簽頁,一定要確保「啟用日誌記錄」選項被選中,這樣就可以在「事件查看器」中查看FTP日誌記錄了。
三 正確設置用戶訪問許可權
每個FTP用戶賬號都具有一定的訪問許可權,但對用戶許可權的不合理設置,也能導致FTP伺服器出現安全隱患。如伺服器中的CCE文件夾,只允許 CCEUSER賬號對它有讀、寫、修改、列表的許可權,禁止其他用戶訪問,但系統默認設置,還是允許其他用戶對CCE文件夾有讀和列表的許可權,伺服器託管因此必須重新設置該文件夾的用戶訪問許可權。
右鍵點擊CCE文件夾,在彈出菜單中選擇「屬性」,然後切換到「安全」標簽頁,首先刪除Everyone用戶賬號,接著點擊「添加」按鈕,伺服器託管將 CCEUSER賬號添加到名稱列表框中,然後在「許可權」列表框中選中修改、讀取及運行、列出文件夾目錄、讀取和寫入選項,最後點擊「確定」按鈕。這樣一來,CCE文件夾只有CCEUSER用戶才能訪問。
四 啟用磁碟配額
FTP伺服器磁碟空間資源是寶貴的,無限制的讓用戶使用,勢必造成巨大的浪費,因此要對每位FTP用戶使用的磁碟空間進行限制。下面筆者以CCEUSER用戶為例,將其限制為只能使用100M磁碟空間。
在資源管理器窗口中,右鍵點擊CCE文件夾所在的硬碟盤符,在彈出的菜單中選擇「屬性」,接著切換到「配額」標簽頁,選中伺服器託管「啟用配額管理」復選框,激活「配額」標簽頁中的所有配額設置選項,為了不讓某些FTP用戶佔用過多的伺服器磁碟空間,一定要選中「拒絕將磁碟空間給超過配額限制的用戶」復選框。
然後在「為該卷上的新用戶選擇默認配額限制」框中選擇「將磁碟空間限制為」單選項,接著在後面的欄中輸入100,磁碟容量單位選擇為「MB」,然後進行警告等級設置,在「將警告等級設置為」欄中輸入「96」,容量單位也選擇為「MB」,這樣就完成了默認配額設置。伺服器託管此外,還要選中「用戶超出配額限制時記錄事件」和「用戶超過警告等級時記錄事件」復選框,以便將配額告警事件記錄到Windows日誌中。
點擊配額標簽頁下方的「配額項」按鈕,打開磁碟配額項目對話框,接著點擊「配額→新建配額項」,彈出選擇用戶對話框,選中CCEUSER用戶後,點擊「確定」按鈕,接著在「添加新配額項」對話框中為CCEUSER用戶設置配額參數,伺服器託管選擇「將磁碟空間限制為」單選項,在後面的欄中輸入 「100」,接著在「將警告等級設置為」欄中輸入「96」,它們的磁碟容量單位為「MB」,最後點擊「確定」按鈕,完成磁碟配額設置,這樣CCEUSER 用戶就只能使用100MB磁碟空間,超過96MB就會發出警告。
五 TCP/IP訪問限制
為了保證FTP伺服器的安全,還可以拒絕某些IP地址的訪問。在默認FTP站點屬性對話框中,切換到「目錄安全性」標簽頁,選中「授權訪問」單選項,然後在「以下所列除外」框中點擊「添加」按鈕,彈出「拒絕以下訪問」對話框,這里可以拒絕單個IP地址或一組IP地址訪問,伺服器託管以單個IP地址為例,選中「單機」選項,然後在「IP地址」欄中輸入該機器的IP地址,最後點擊「確定」按鈕。這樣添加到列表中的IP地址都不能訪問FTP伺服器了。
六 合理設置組策略
通過對組策略項目的修改,也可以增強FTP伺服器的安全性。在Windows2000系統中,進入到「控制面板→管理工具」,運行本地安全策略工具。
1. 審核賬戶登錄事件
在本地安全設置窗口中,伺服器託管依次展開「安全設置→本地策略→審核策略」,然後在右側的框體中找到「審核賬戶登錄事件」項目,雙擊打開該項目,在設置對話框中選中「成功」和「失敗」這兩項,最後點擊「確定」按鈕。該策略生效後,FTP用戶的每次登錄都會被記錄到日誌中。
2. 增強賬號密碼的復雜性
一些FTP賬號的密碼設置的過於簡單,就有可能被「不法之徒」所破解。為了提高FTP伺服器的安全性,必須強制用戶設置復雜的賬號密碼。
在本地安全設置窗口中,伺服器託管依次展開「安全設置→賬戶策略→密碼策略」,在右側框體中找到「密碼必須符合復雜性要求」項,雙擊打開後,選中「已啟用」單選項,最後點擊「確定」按鈕。
然後,打開「密碼長度最小值」項,為FTP賬號密碼設置最短字元限制。這樣以來,密碼的安全性就大大增強了。
3. 賬號登錄限制
有些非法用戶使用黑客工具,反復登錄FTP伺服器,來猜測賬號密碼。這是非常危險的,因此建議大家對賬號登錄次數進行限制。
依次展開「安全設置→賬戶策略→賬戶鎖定策略」,伺服器託管在右側框體中找到「賬戶鎖定閾值」項,雙擊打開後,設置賬號登錄的最大次數,如果超過此數值,賬號會被自動鎖定。接著打開「賬戶鎖定時間」項,設置FTP賬號被鎖定的時間,賬號一旦被鎖定,超過這個時間值,才能重新使用。
通過伺服器託管以上幾步設置後,用戶的FTP伺服器就會更加安全,再也不用怕被非法入侵了。
7. 如何使FTP伺服器安全
一、操作系統的選擇
FTP伺服器首先是基於操作系統而運作的,因而操作系統本身的安全性就決定了FTP伺服器安全性的級別。雖然Windows 98/Me一樣可以架設FTP伺服器,但由於其本身的安全性就不強,易受攻擊,因而不要採用。Windows NT就像雞肋,不用也罷。採用Windows 2000及以上版本,並記住及時打上補丁。至於Unix、Linux,則不在討論之列。
二、使用防火牆
埠是計算機和外部網路相連的邏輯介面,也是計算機的第一道屏障,埠配置正確與否直接影響到主機的安全,一般來說,僅打開你需要使用的埠,將其他不需要使用的埠屏蔽掉會比較安全。限制埠的方法比較多,可以使用第三方的個人防火牆,如天網個人防火牆等,這里只介紹Windows自帶的防火牆設置方法。
1。利用TCP/IP篩選功能
在消運Windows 2000和Windows XP中,系統都帶有TCP/IP篩選功能,利用它可以簡單地進行埠設置。以Windows XP為例,打開「本地連接」的屬性,在「常規」選項中找到「Internet協議(TCP/IP)」,雙擊它打開該協議的屬性設置窗口。點擊右下方的「高級」卜橋廳按鈕,進入「高級TCP/IP設置」。在「選項」中選中「TCP/IP篩選」並雙擊進入其屬性設置。這里我們可以設置系統只允許開放的埠,假如架設的FTP伺服器埠為21,先選中「啟用TCP/IP篩選(所有適配器)」,再在TCP埠選項中選擇「只允許」,點「添加」,輸入埠號21,確定即可。這樣,系統就只允許打開21埠。要開放其他埠,繼續添加即可。這可以有效防止最常見的139埠入侵。缺點是功能過於簡單,只能設置允許開放的埠,不能自定義要關閉的埠。如果你有大量埠要開放,就得一個個地去手工添加,比較麻煩。
2。打開Internet連接防火牆
對於Windows XP系統,自型隱帶了「Internet連接防火牆」功能,與TCP/IP篩選功能相比,設置更方便,功能更強大。除了自帶防火牆埠開放規則外,還可以自行增刪。在控制面板中打開「網路連接」,右擊撥號連接,進入「高級」選項卡,選中「通過限制或阻止來自Internet的對此計算機的訪問來保護我的計算機和網路」,啟用它。系統默認狀態下是關閉了FTP埠的,因而還要設置防火牆,打開所使用的FTP埠。點擊右下角的「設置」按鈕進入「高級設置」,選中「FTP伺服器」,我它。由於FTP服務默認埠是21,因而除了IP地址一欄外,其餘均不可更改。在IP地址一欄中填入伺服器公網IP,確定後退出即可即時生效。如果架設的FTP伺服器埠為其他埠,比如22,則可以在「服務」選項卡下方點「添加」,輸入伺服器名稱和公網IP後,將外部埠號和內部埠號均填入22即可。
三、對IIS、Serv-U等伺服器軟體進行設置
除了依靠系統提供的安全措施外,就需要利用FTP伺服器端軟體本身的設置來提高整個伺服器的安全了。
1。IIS的安全性設置
1)及時安裝新補丁
對於IIS的安全性漏洞,可以說是「有口皆碑」了,平均每兩三個月就要出一兩個漏洞。所幸的是,微軟會根據新發現的漏洞提供相應的補丁,這就需要你不斷更新,安裝最新補丁。
2)將安裝目錄設置到非系統盤,關閉不需要的服務
一些惡意用戶可以通過IIS的溢出漏洞獲得對系統的訪問權。把IIS安放在系統分區上,會使系統文件與IIS同樣面臨非法訪問,容易使非法用戶侵入系統分區。另外,由於IIS是一個綜合性服務組件,每開設一個服務都將會降低整個服務的安全性,因而,對不需要的服務盡量不要安裝或啟動。
3)只允許匿名連接
FTP的安全漏洞在於其默認傳輸密碼的過程是明文傳送,很容易被人嗅探到。而IIS又是基於Windows用戶賬戶進行管理的,因而很容易泄漏系統賬戶名及密碼,如果該賬戶擁有一定管理許可權,則更會影響到整個系統的安全。設置為「只允許匿名連接」,可以免卻傳輸過程中泄密的危險。進入「默認FTP站點」,在屬性的「安全賬戶」選項卡中,將此選項選中。
4)謹慎設置主目錄及其許可權
IIS可以將FTP站點主目錄設為區域網中另一台計算機的共享目錄,但在區域網中,共享目錄很容易招致其他計算機感染的病毒攻擊,嚴重時甚至會造成整個區域網癱瘓,不到萬不得已,使用本地目錄並將主目錄設為NTFS格式的非系統分區中。這樣,在對目錄的許可權設置時,可以對每個目錄按不同組或用戶來設置相應的許可權。右擊要設置的目錄,進入「共享和安全→安全」中設置,如非必要,不要授予「寫入」許可權。
5)盡量不要使用默認埠號21
啟用日誌記錄,以備出現異常情況時查詢原因。
2。Serv-U的安全性設置
與IIS的FTP服務相比,Serv-U在安全性方面做得比較好。
1)對「本地伺服器」進行設置
首先,選中「攔截FTP_bounce攻擊和FXP」。什麼是FXP呢?通常,當使用FTP協議進行文件傳輸時,客戶端首先向FTP伺服器發出一個「PORT」命令,該命令中包含此用戶的IP地址和將被用來進行數據傳輸的埠號,伺服器收到後,利用命令所提供的用戶地址信息建立與用戶的連接。大多數情況下,上述過程不會出現任何問題,但當客戶端是一名惡意用戶時,可能會通過在PORT命令中加入特定的地址信息,使FTP伺服器與其它非客戶端的機器建立連接。雖然這名惡意用戶可能本身無權直接訪問某一特定機器,但是如果FTP伺服器有權訪問該機器的話,那麼惡意用戶就可以通過FTP伺服器作為中介,仍然能夠最終實現與目標伺服器的連接。這就是FXP,也稱跨伺服器攻擊。選中後就可以防止發生此種情況。
其次,在「高級」選項卡中,檢查「加密密碼」和「啟用安全」是否被選中,如果沒有,選擇它們。「加密密碼」使用單向hash函數(MD5)加密用戶口令,加密後的口令保存在ServUDaemon。ini或是注冊表中。如果不選擇此項,用戶口令將以明文形式保存在文件中:「啟用安全」將啟動Serv-U伺服器的安全成功。
2)對域中的伺服器進行設置
前面說過,FTP默認為明文傳送密碼,
容易被人嗅探,對於只擁有一般許可權的賬戶,危險並不大,但如果該賬戶擁有遠程管理尤其是系統管理員許可權,則整個伺服器都會被別人遠程式控制制。Serv-U對每個賬戶的密碼都提供了以下三種安全類型:規則密碼、OTP S/KEY MD4和OTP S/KEY MD5。不同的類型對傳輸的加密方式也不同,以規則密碼安全性最低。進入擁有一定管理許可權的賬戶的設置中,在「常規」選項卡的下方找到「密碼類型」下拉列表框,選中第二或第三種類型,保存即可。注意,當用戶憑此賬戶登錄伺服器時,需要FTP客戶端軟體支持此密碼類型,如CuteFTP Pro等,輸入密碼時選擇相應的密碼類型方可通過伺服器驗證。
與IIS一樣,還要謹慎設置主目錄及其許可權,凡是沒必要賦予寫入等能修改伺服器文件或目錄許可權的,盡量不要賦予。最後,進入「設置」,在「日誌」選項卡中將「啟用記錄到文件」選中,並設置好日誌文件名及保存路徑、記錄參數等,以方便隨時查詢伺服器異常原因。