ftp站点安全性设置相对来说
❶ 如何进行全面提高ftp服务器的安全性能呢
Windows2000系统提供了FTP服务功能,由于简单易用,服务器托管与Windows系统本身结合紧密,深受广大用户的喜爱。但使用IIS5.0 架设的FTP服务器真的安全吗?它的默认设置其实存在很多安全隐患,很容易成为黑客们的攻击目标。服务器托管如何让FTP服务器更加安全,只要稍加改造,就能做到。
一 取消匿名访问功能
默认情况下服务器托管,Windows2000系统的FTP服务器是允许匿名访问的,虽然匿名访问为用户上传、下载文件提供方便,但却存在极大的安全隐患。用户不需要申请合法的账号,就能访问FTP服务器,甚至还可以上传、下载文件,特别对于一些存储重要资料的FTP服务器,服务器托管很容易出现泄密的情况,因此建议用户取消匿名访问功能。
在Windows2000系统中,点击“开始→程序→管理工具→Internet服务管理器”,弹出管理控制台窗口。然后展开窗口左侧的本地计算机选项,就能看到IIS5.0自带的FTP服务器,下面笔者以默认FTP站点为例,介绍如何取消匿名访问功能。
右键点击“默认FTP站点”项,在右键菜单中选择“属性”,服务器托管接着弹出默认FTP站点属性对话框,切换到“安全账号”标签页,取消“允许匿名连接”前的勾选,最后点击“确定”按钮,这样用户就不能使用匿名账号访问FTP服务器了,必须拥有合法账号。
二 启用日志记录
Windows日志记录着系统运行的一切信息,但很多管理员对日志记录功能不够重视,为了节省服务器资源,禁用了FTP服务器日志记录功能,服务器托管这是万万要不得的。FTP服务器日志记录着所有用户的访问信息,如访问时间、客户机IP地址、使用的登录账号等,这些信息对于FTP服务器的稳定运行具有很重要的意义,一旦服务器出现问题,就可以查看FTP日志,找到故障所在,及时排除。因此一定要启用FTP日志记录。
在默认FTP站点属性对话框中,切换到“FTP站点”标签页,一定要确保“启用日志记录”选项被选中,这样就可以在“事件查看器”中查看FTP日志记录了。
三 正确设置用户访问权限
每个FTP用户账号都具有一定的访问权限,但对用户权限的不合理设置,也能导致FTP服务器出现安全隐患。如服务器中的CCE文件夹,只允许 CCEUSER账号对它有读、写、修改、列表的权限,禁止其他用户访问,但系统默认设置,还是允许其他用户对CCE文件夹有读和列表的权限,服务器托管因此必须重新设置该文件夹的用户访问权限。
右键点击CCE文件夹,在弹出菜单中选择“属性”,然后切换到“安全”标签页,首先删除Everyone用户账号,接着点击“添加”按钮,服务器托管将 CCEUSER账号添加到名称列表框中,然后在“权限”列表框中选中修改、读取及运行、列出文件夹目录、读取和写入选项,最后点击“确定”按钮。这样一来,CCE文件夹只有CCEUSER用户才能访问。
四 启用磁盘配额
FTP服务器磁盘空间资源是宝贵的,无限制的让用户使用,势必造成巨大的浪费,因此要对每位FTP用户使用的磁盘空间进行限制。下面笔者以CCEUSER用户为例,将其限制为只能使用100M磁盘空间。
在资源管理器窗口中,右键点击CCE文件夹所在的硬盘盘符,在弹出的菜单中选择“属性”,接着切换到“配额”标签页,选中服务器托管“启用配额管理”复选框,激活“配额”标签页中的所有配额设置选项,为了不让某些FTP用户占用过多的服务器磁盘空间,一定要选中“拒绝将磁盘空间给超过配额限制的用户”复选框。
然后在“为该卷上的新用户选择默认配额限制”框中选择“将磁盘空间限制为”单选项,接着在后面的栏中输入100,磁盘容量单位选择为“MB”,然后进行警告等级设置,在“将警告等级设置为”栏中输入“96”,容量单位也选择为“MB”,这样就完成了默认配额设置。服务器托管此外,还要选中“用户超出配额限制时记录事件”和“用户超过警告等级时记录事件”复选框,以便将配额告警事件记录到Windows日志中。
点击配额标签页下方的“配额项”按钮,打开磁盘配额项目对话框,接着点击“配额→新建配额项”,弹出选择用户对话框,选中CCEUSER用户后,点击“确定”按钮,接着在“添加新配额项”对话框中为CCEUSER用户设置配额参数,服务器托管选择“将磁盘空间限制为”单选项,在后面的栏中输入 “100”,接着在“将警告等级设置为”栏中输入“96”,它们的磁盘容量单位为“MB”,最后点击“确定”按钮,完成磁盘配额设置,这样CCEUSER 用户就只能使用100MB磁盘空间,超过96MB就会发出警告。
五 TCP/IP访问限制
为了保证FTP服务器的安全,还可以拒绝某些IP地址的访问。在默认FTP站点属性对话框中,切换到“目录安全性”标签页,选中“授权访问”单选项,然后在“以下所列除外”框中点击“添加”按钮,弹出“拒绝以下访问”对话框,这里可以拒绝单个IP地址或一组IP地址访问,服务器托管以单个IP地址为例,选中“单机”选项,然后在“IP地址”栏中输入该机器的IP地址,最后点击“确定”按钮。这样添加到列表中的IP地址都不能访问FTP服务器了。
六 合理设置组策略
通过对组策略项目的修改,也可以增强FTP服务器的安全性。在Windows2000系统中,进入到“控制面板→管理工具”,运行本地安全策略工具。
1. 审核账户登录事件
在本地安全设置窗口中,服务器托管依次展开“安全设置→本地策略→审核策略”,然后在右侧的框体中找到“审核账户登录事件”项目,双击打开该项目,在设置对话框中选中“成功”和“失败”这两项,最后点击“确定”按钮。该策略生效后,FTP用户的每次登录都会被记录到日志中。
2. 增强账号密码的复杂性
一些FTP账号的密码设置的过于简单,就有可能被“不法之徒”所破解。为了提高FTP服务器的安全性,必须强制用户设置复杂的账号密码。
在本地安全设置窗口中,服务器托管依次展开“安全设置→账户策略→密码策略”,在右侧框体中找到“密码必须符合复杂性要求”项,双击打开后,选中“已启用”单选项,最后点击“确定”按钮。
然后,打开“密码长度最小值”项,为FTP账号密码设置最短字符限制。这样以来,密码的安全性就大大增强了。
3. 账号登录限制
有些非法用户使用黑客工具,反复登录FTP服务器,来猜测账号密码。这是非常危险的,因此建议大家对账号登录次数进行限制。
依次展开“安全设置→账户策略→账户锁定策略”,服务器托管在右侧框体中找到“账户锁定阈值”项,双击打开后,设置账号登录的最大次数,如果超过此数值,账号会被自动锁定。接着打开“账户锁定时间”项,设置FTP账号被锁定的时间,账号一旦被锁定,超过这个时间值,才能重新使用。
通过服务器托管以上几步设置后,用户的FTP服务器就会更加安全,再也不用怕被非法入侵了。
❷ 如何保证文件传输服务器FTP的安全
,系统的安全性是非常重要的,这是建立
FTP服务器
者所考虑的
第一个问题
。其安全性主要包括以下几个方面:一、
未经授权的用户禁止在服务器上进行FTP操作。
二、
FTP用户不能读取未经系统所有者允许的文件或目录。
三、
未经允许,FTP用户不能在服务器上建立文件或目录。
四、
FTP用户不能删除服务器上的文件或目录。
只有在服务器的/etc/passwd文件中存在名为"FTP"的用户时,服务器才可以接受
匿名FTP
连接,匿名FTP用户可以使用"
anonymous
"或"FTP"作为用户名,自己的Internet
电子邮件地址
作为保密字。为了解决上述安全性的另外三个问题,应该对FTP主目录下的
文件属性
进行管理,建议对每个目录及其文件采取以下一些措施:FTP主目录:将这个目录的所有者设为"FTP",并且将属性设为所有的用户都不可写,防止不怀好意的用户删改文件。
FTP/bin目录:该目录主要放置一些
系统文件
,应将这个目录的所有者设为"root"(即
超级用户
),并且将属性设为所有的用户都不可写。为保证合法用户可显示文件,应将目录中的ls文件属性设为可执行。
FTP/etc目录:将这个目录的所有者设为"root",并且将属性设为所有的用户都不可写。将目录下的group文件和passwd文件的属性设为所有用户只读属性,并用编辑器将passwd文件中用户加过密的口令删掉。
###NextPage###FTP/pub目录:将这个目录的所有者置为"FTP",并且将它的属性设为所有用户均可读、写、执行。
这样经过设置,既保证了系统文件不被删改,又保证了FTP合法用户的正常访问。
作为Internet上的FTP服务器,系统的安全性是非常重要的,这是建立FTP服务器者所考虑的第一个问题。其安全性主要包括以下几个方面:一、
未经授权的用户禁止在服务器上进行FTP操作。
二、
FTP用户不能读取未经系统所有者允许的文件或目录。
三、
未经允许,FTP用户不能在服务器上建立文件或目录。
四、
FTP用户不能删除服务器上的文件或目录。
只有在服务器的/etc/passwd文件中存在名为"FTP"的用户时,服务器才可以接受匿名FTP连接,匿名FTP用户可以使用"anonymous"或"FTP"作为用户名,自己的Internet电子邮件地址作为保密字。为了解决上述安全性的另外三个问题,应该对FTP主目录下的文件属性进行管理,建议对每个目录及其文件采取以下一些措施:FTP主目录:将这个目录的所有者设为"FTP",并且将属性设为所有的用户都不可写,防止不怀好意的用户删改文件。
FTP/bin目录:该目录主要放置一些系统文件,应将这个目录的所有者设为"root"(即超级用户),并且将属性设为所有的用户都不可写。为保证合法用户可显示文件,应将目录中的ls文件属性设为可执行。
FTP/etc目录:将这个目录的所有者设为"root",并且将属性设为所有的用户都不可写。将目录下的group文件和passwd文件的属性设为所有用户只读属性,并用编辑器将passwd文件中用户加过密的口令删掉。
FTP/pub目录:将这个目录的所有者置为"FTP",并且将它的属性设为所有用户均可读、写、执行。
这样经过设置,既保证了系统文件不被删改,又保证了FTP合法用户的正常访问。
❸ IIS虚拟目录主目录为“另一台计算机上的共享”,磁盘缓存写入错误!
你到这网站看看吧!图文并茂了。本人看了一下,成功率应该好高!
实现FTP服务
FTP站点基础
正如WWW服务的实现依赖于TCP/IP协议组中的HTTP应用层协议一样,FTP服务同样依赖于TCP/IP协议组应用层中的FTP协议来实现。FTP的默认TCP端口号是21,由于FTP可以同时使用两个TCP端口进行传送(一个用于数据传送,一个用于指令信息传送),所以FTP可以实现更快的文件传输速度。
使用FTP需要专门的客户端软件,例如着名的BulletFTP、LeapFTP等等,一般的浏览器(如IE)也可以实现有限的FTP客户端功能,如下载文件等。
如右图,就是在IE浏览器中打开的一个FTP站点。FTP 服务器的Internet地址(URL)与通常在Web网站中使用的URL略有不同,其协议部分需要写成"ftp://"而不是"",例如,由Microsoft创建并提供大量技术支持文件的匿名FTP服务器地址为ftp://ftp.microsoft.com。
在IE中打开FTP站点,将自动以匿名用户身份登录,这时在窗口中列出的内容就是FTP站点根目录下的文件和文件夹。如在Windows资源管理器中一样双击打开文件夹(目录)则进入其下一级目录。
如果我们需要在IE中下载一个文件,应遵循如下步骤:
1.则在IE窗口中右击该文件图标,选择,或者双击该文件。
2.如右上图所示,在对话框中选择。
3.确保复选框已经被选中。
4.单击。
5.如右下图,在对话框中选择文件保存路径,完成后单击。
6.如下图,在下载对话框中显示进度,如果文件较大或者网络较慢,可能耗时较长,完成后单击。
创建FTP站点
现在我们已经对FTP站点有了一个感性认识,接下来的任务是学习如何在IIS中创建FTP站点,实际上,这项工作是与创建Web站点的过程及其相似的。
规划FTP站点
与Web站点相同,FTP站点同样需要自己的IP地址和TCP端口号。由于FTP服务的默认端口号是21,而WWW服务是80,所以一个FTP站点可以和一个Web站点共享同一个IP地址。事实上,安装IIS时自动生成的默认Web站点和默认FTP站点就是使用同一IP地址的。当我们不使用默认的21作为FTP站点的TCP端口号时,客户机请求FTP站点时就需要在FTP服务器域名地址后面添加":"和实际端口号。
IIS的FTP服务也有虚拟服务器的实现方式,通过虚拟FTP服务器,可以在一台实际计算机上维持多个FTP站点。虚拟服务器的优点是节省硬件成本,缺点是多个站点共用一台主机的资源会造成性能上的问题。实际的规划中并没有一种严格的定量规则,要根据站点的访问量和可能的数据流量以及服务器的硬件条件、带宽资源等规划一台计算机所最多承载的站点数。
在IIS中,可以为FTP站点设置虚拟目录,虚拟目录的引入,极大的扩展了FTP服务器的存储能力。我们知道单一主目录的存储能力受到磁盘分区(包括物理磁盘)的大小限制,而FTP服务的目的恰恰是提供大量文件以供下载,或提供大量的空间用于用户存储文件。这样的矛盾只有通过虚拟目录的方法才能得到解决,尤其时远程虚拟目录,可以将FTP站点的存储空间分布在网络中的多台计算机中。但是,虚拟目录(尤其是远程虚拟目录)也带来一些性能上的问题,分布在局域网中多台计算机上的存储环境可能会造成较多的网络流量。对于访问量大的FTP站点而言,分布的存储可能会影响到局域网中的其他用户。对此,唯一的弥补方法是尽量将访问量大的文件保存在服务器的本地磁盘上,而将不太常用的文件保存在远程虚拟目录中。
使用FTP站点创建向导
创建FTP站点的工作要在IIS的MMC窗口中进行,这里我们使用FTP服务器创建向导新建一个示例FTP服务器,方法如下。
1.在IIS左侧的管理控制树中右击计算机图标,在弹出菜单中指向,单击。
2.在FTP站点创建向导中单击。
3.如下左图,在对话框中输入用于在IIS内部识别站点的说明,该名称并非真正的FTP站点域名。
4.如下右图,在对话框中指定该站点使用的IP地址和TCP端口号,注意默认的端口号为21。完成后单击。
5.如上图,在主目录对话框中指定站点主目录,主目录是由于存储站点文件的主要位置。虚拟目录以在主目录中映射文件夹的形式存储数据。完成后单击。
6.如上右图,在对话框中指定站点权限,FTP站点只有两种访问权限:读取和写入,前者对应下载权限;后者对应上传权限。单击继续。
7.如右图,单击结束FTP站点创建。
8.回到IIS窗口中,在管理控制树中选择我们刚刚创建的FTP站点,单击工具条上的图标使之生效。
创建虚拟目录
虚拟目录能够极大的拓展FTP服务器的存储能力。FTP虚拟目录分为本地和远程两种,本地虚拟目录即可以位于与FTP站点主目录相同的磁盘分区上,也可以位于本地的其他磁盘上;远程虚拟目录则位于网络中的其他计算机上(必须与FTP站点所在的IIS计算机处于同一域中)。出于向下兼容性的考虑,FTP站点的虚拟目录相当于在站点主目录下的映射文件夹。虽然对于FTP用户而言这些内容是在后台执行的不可见过程;但对于FTP站点管理员,就需要考虑这一特性在站点和虚拟目录创建过程中造成的影响,稍后我们就将看到这一影响。
创建FTP虚拟目录的工作也是在IIS管理工具中完成的,具体如下:
1.在IIS管理控制树中右击需要重建虚拟目录的FTP站点,在弹出菜单中指向,单击。
2.打开虚拟目录创建向导,如右上图,在向导欢迎对话框中单击。
3.如左上图,在对话框中的栏中指定虚拟目录别名。这里所谓的别名,是指虚拟目录在IIS管理器中的有效名称,亦即虚拟目录在站点主目录下映射的名称。用户在下载FTP文件时指定的URL路径中包含的目录名称就是虚拟目录别名(对于非虚拟目录,指定其实际名称即可)。别名与目录真实名称没有联系,但也可以相同。单击继续。
4.如右上图,在对话框中单击浏览指定或在栏中直接指定虚拟目录所对应的实际路径。前面已经提到,对于远程虚拟目录,其实际路径是以UNC路径的形式指定的,如需要以Server服务器上的Share共享文件夹作为虚拟目录的实际路径,则应指定路径栏中指定UNC名为:\\Server\Share。单击继续。
5.如右图,在对话框中,指定该虚拟目录所允许的用户访问权限。选择相应的或复选框即可(对应下载和上传权限)。注意,这里的权限(虚拟目录权限)相当于WWW服务中的Web权限,是对所有站点访问用户都有效的。单击继续。
6.单击结束创建。
为了检验我们的创建结果,回到IIS管理界面,在管理控制树中展开我们刚刚创建虚拟目录的网站,可见下新建的虚拟目录节点,右击虚拟目录节点,在弹出菜单上选择,打开一个IE窗口。此时窗口中列出的内容正是新建虚拟目录所对应的实际目录中包含的文件和文件夹,说明虚拟目录创建成功。
但是,当我们在IE中打开站点时(比如右击管理控制树中的站点节点,选择),在IE窗口中却并未看见新建的虚拟目录。不过,如果在IE的地址栏中的站点地址后面加上虚拟目录的路径,形如"/<虚拟目录名>",仍然可以进入虚拟目录并查看或下载其中的文件。这是为什么呢?
其实上述问题的出现并非系统错误,其解决方法也并不复杂。前面我们曾经提到,FTP站点的虚拟目录相当于站点主目录下的映射文件夹,实际对应的文件夹并不在主目录下,而在IE浏览器中打开的站点主页却只能显示站点主目录下的内容。于是,就造成了虚拟目录不能在用户浏览器(包括其他FTP客户端工具)中显示的现象。虽然采用直接输入虚拟目录路径(完整URL)的方式也可以对虚拟目录进行访问,但是这显然极大的影响了站点系统的应用。以下我们解决这个问题。
解决问题的思路是这样的:既然虚拟目录相当于站点主目录下的映射文件夹,而主目录下实际上又没有这个实际文件夹,那么我们可以在主目录下创建一个与虚拟目录同名的假文件夹。这个假文件夹使浏览器中可以显示一个与虚拟目录同名的项目。用户在打开这个假文件夹时,将直接被引导到虚拟目录。
首先,我们需要查看FTP站点的主目录位置,如右图,在FTP站点
属性表单中的选项卡中的栏中查看FTP站点主目录位置。
随后,打开Windows资源管理器,找到站点主目录文件夹,在主目录文件夹下新建一个与虚拟目录同名的假文件夹,如右图。
最后,刷新IE浏览器窗口,这时可见FTP站点主目录下出现虚拟目录图标,双击打开,即可进入虚拟目录。
现在,让我们讨论一个问题:一旦主目录下的假文件夹也包含有文件,那么在请求虚拟目录时,用户得到的是虚拟目录中的内容呢,还是假文件夹中实际存在的文件呢?这个问题留待读者自己思考,实在不得要领的话建议做一个实验验证之。
管理FTP站点
在前一节,我们已经能够创建FTP站点和虚拟目录了,为了使FTP站点能够正常工作,还依赖于对站点的合理配置。本节将介绍有关FTP站点的管理内容。对于安全相关的管理问题,由于其具有特殊的重要性,我们将在下一节同一讨论之。
配置FTP站点属性
FTP站点的的属性配置是在FTP站点属性表单中进行的。FTP站点属性表单与WWW属性表单非常相似,如右图,FTP站点属性表单有五个选项卡。
对FTP站点属性的配置方法如下:
1.打开IIS管理界面,右击管理控制树中的FTP站点图标,从弹出菜单中选择。
2.FTP站点属性表单如左图所示,默认打开选项卡。
3.在选项卡中配置FTP站点属性(包括标识、链接、日志等,下面将详细讨论它们的值),完成后单击,再单击关闭对话框。
在FTP站点属性表单的选项卡中可以对站点的下述参数进行配置:
标识:这部分包括站点说明、IP地址和TCP端口号三项。其中站点说明是在创建站点是指定的,用于在IIS内部识别站点,并无其他用途,与站点的DNS域名也无如何关系。FTP服务的默认TCP端口号为21。由于FTP服务不支持主机标头(Host Header),所以不能以主机头方式配置虚拟服务器。也就是说,在网络中区分FTP站点的唯一性标识只有IP地址和端口号。
连接:FTP站点的连接限制与Web站点的连接限制几乎完全相同。连接限制用于维护站点的可用性并改善站点的连接性能。这一点对FTP站点来说尤为重要,因为几乎每个连到站点的用户都会进行或多或少的文件下载,下载对带宽的占用是非常巨大的。在栏中单击并制定同时连接到该站点的最大并发连接数,缺省限制为同时100,000个连接。
在栏中,可以指定站点将在多长时间后断开无响应用户的连接。缺省值设为900秒,即一个用户在发呆15分钟后将被IIS断开连接。
日志:对于FTP站点而言,也可以配置其启用日志功能,使用户对站点的全部访问都记录在日志文件中。在选项卡中选择复选框,对于FTP站点,只有三种可用的日志文件格式可用:Microsoft IIS文件格式、ODBC格式和W3C扩展文件格式,在下拉列表框中指定之。
单击日志格式栏中的打开如右图所示的扩充日志属性对话框。指定新日志文件的生成时间间隔或文件大小,根据用户访问量的大小和现有的分析能力决定采用何种方式进行文件更新。在栏中指定日志文件存储的路径和文件名。详细的日志文件命名规则参见前面对Web日志文件的介绍。
在扩充日志属性对话框中单击选项卡,从中可以对日志文件中记录的事件类型进行详细设定。
当前用户:FTP站点属性对话框中有一个独特的选项,单击,打开对话框,如右图所示。该对话框中列出当前连接到FTP站点的用户列表。从列表中选择用户,单击可以断开当前用户的连接,单击可以使全部的当前用户从系统断开。
对话框为站点管理员提供了更灵活的管理方式和控制方式,使管理员能够实时控制当前用户的连接状态。
分配FTP站点操作员
FTP站点操作员是指具有对站点进行全方位操作、维护能力的站点管理员。默认的站点管理员是Windows 2000系统管理员组的全体成员。在实际工作中,出于安全性、内容维护和其他考虑通常需要重新指定站点管理员,具体方法如下:
1.打开IIS管理界面,右击管理控制树中的FTP站点图标,从弹出菜单中选择。
2.在FTP站点属性表单中单击选项卡,如右图所示。
3.在列表中选择当前操作员账号,单击,去掉缺省的站点操作员账号。
4.单击,打开对话框。
5.指定站点操作员的账号或组账号,单击返回。
6.单击使配置生效,单击关闭站点属性表单。
FTP站点信息
用户在连入FTP站点时,应该得到对站点的相关介绍,对于不能像WWW服务一样提供丰富信息的FTP站点来说,这样的介绍尤为重要。此外,在用户离开站点时,以及因站点达到最大连接数而不能接受用户的访问请求时,都应该得到相应的提示信息。这些提示性、解说性的简要信息就是FTP服务的站点消息。
站点消息的指定要在FTP站点属性表单中的选项卡中进行指定,如右图。FTP站点消息分为三种:欢迎、退出、最大连接数,分别在选项卡中的、和栏中进行指定。这三种消息类型的具体说明如下:
欢迎消息:用于向每一个连接到当前站点的访问者介绍本站点提供的服务、文件内容、访问方式等有关信息。它们有助于访问者更好地了解站点提供的内容,弥补FTP服务的信息断层。
如右图就是一个站点欢迎消息的示例,以在IE浏览器中打开的Web站点为例,左侧窗格中列出当前打开的FTP站点的欢迎消息内容(黄色背景部分)。
退出消息:用于在客户断开连接时(退出系统),发送给站点访问者的信息,一般为"再见,欢迎再来"之类的话。由于旧式的FTP工具大多是在命令行方式下工作的(Windows 2000命令提示行下页可以访问FTP站点),所以在退出站点时可见该消息(在IE浏览器中不存在退出的问题,只需要关闭窗口即断开与站点的连接,故该信息不可见)。
最大连接数消息:该消息用于在系统同时连接数已经达到上限(最大并发连接限制)时,向请求连接站点的新访问者发出的提示消息,如"由于当前用户太多,不能响应你的请求,请稍候再试"等。
右图为命令提示行下,FTP这点的欢迎和退出消息。如果某些采用不同操作系统或客户端FTP软件的用户抱怨欢迎消息不能完全显示,则说明存在消息格式冲突,解决的方法是将站点的欢迎消息限制在一行之内。
配置FTP站点主目录
FTP站点主目录是供站点存储主要文件的目录。主目录下的文件夹将作为FTP站点根目录的下一级目录出现,虚拟目录相当于主目录下的对应文件夹,也是站点根目录的下一级目录。
FTP站点主目录的指定方式有本地主目录和远程主目录两种。前者是指站点主目录位于本地计算机的磁盘上;后者是将主目录设置为网络中(必须与IIS计算机同在一域之内)的另一台计算机的共享文件夹上。主目录是在FTP站点属性表单的选项卡中指定的。
如右上图,本地主目录的指定方法为:在选项卡中选择主目录位置为。单击指定主目录位置或者直接在栏中输入主目录路径。单击、完成。
远程主目录的指定方法为:在选项卡中选择主目录位置为,然后从栏中指定共享主目录的UNC路径。如果当前站点管理员没有访问所指定共享文件夹的权限,则单击,打开如右下图所示的身份验证对话框,输入具有对该共享文件夹合适权限的账号和口令,单击返回。单击、完成。
配置站点目录列表方式
选项卡中还可以指定目录列表风格。可选的站点目录列表风格有MS-DOS和UNIX两种,在选项卡中的栏中选择或分别之。
按照字面理解,这两种风格分别适用于DOS/Windows 用户和UNIX用户,但这也不是绝对的。只能说某种风格可能会另相应操作系统的用户看起来更舒服一些,其中对UNIX/LINUX用户的影响更大一点。所以,在主要针对UNIX/LINUX用户群的站点应设置为UNIX列表方式。下面两个窗口是不同目录列表方式在Windows 2000目录提示行下的显示示例,左图为MS-DOS方式,右图为UNIX方式。
实现FTP服务
FTP站点安全性设置
FTP站点的安全性设置相对单纯,这是因为FTP站点并不涉及复杂的安全性应用程序和服务器/浏览器交互过程。限制FTP站点安全性的手段无非是:用户账号认证、匿名访问控制以及IP地址限制,本节将给出这些限制方法及其综合运用方式。
目录安全性设置
FTP用户仅有两种目录权限:读取和写入,读取权限对应于下载能力;写入权限对应上传能力。
FTP站点的目录权限是对全体访问该目录的用户都生效的权限,即一旦某个目录设置为仅有读取权限,则任何FTP用户,包括授权用户都不能进行上传操作(需要写入权限)。
目录权限可以在FTP站点和虚拟目录两个层次进行设置。在IIS管理MMC界面的管理控制树中右击FTP站点或虚拟目录图标,选择,
打开站点属性表单或虚拟目录属性表单,选择或选项卡。只需选择、复选框即可指定站点或虚拟目录的目录访问权限。如右图,就是在虚拟目录属性表单中配置目录权限的情况。
目录权限与NTFS权限并无关系,但二者共同作用于FTP站点访问者。一般的,在NTFS分区上的站点目录被设置的NTFS权限如果与我们这里设置的目录权限发生冲突,二者中限制较大(权限较小)的权限将实际发生作用。这种配置有利于站点的安全性,两重的权限保护在某种程度上避免了管理员的疏忽。所以,应当尽量的将站点目录(包括虚拟目录)存储在NTFS分区中。
完成目录权限指定后,单击使之生效,如果此时系统提示修改过的权限设置与当前对象的子站点(子目录或虚拟目录)存在权限冲突,如右图,则说明子站点权限与当前权限有不一致的情况。这时,应在图中的列表栏中指定继承当前许可设置的子站点/子目录对象。或者单击使当前权限能够覆盖全部子对象当权限。单
击返回。如果不选择站点或单击,都会导致只有当前对象直接包含的文件才被修改了权限。最后单击结束目录权限的设置。
匿名访问控制
匿名访问是FTP服务的一大特点,虽然在WWW服务中也有匿名访问的限制,但是匿名访问对于一个FTP站点来说在安全性和内容方面具有特殊的用途。
由于FTP是一个简单的,在Internet产生初期就存在的服务,一个FTP站点除了用户账号之外没有其他的用户安全验证服务(ISAPI过滤器、数字证书等方法对于FTP是无效的)。所以有必要合理的设置FTP安全账号。
在IIS管理器的MMC界面中,右击管理控制树中的FTP站点节点,从弹出菜单中选择,打开站点属性表单,选择选项卡,如右图所示,这里是配置匿名访问的主要界面。
在选项卡中选中复选框,使当前站点同时允许匿名和授权用户连接。
IIS默认的匿名访问用户账号是IUSR_computername,其中computername是 IIS所在服务器的计算机名。我们也可以更改这一账号,在选项卡中单击栏右侧的。在如右上图所示的中指定匿名用户账号,单击即可。
通常情况下,虽然匿名访问用户账号由Windows 2000进行验证和安全性维护,但是账号的密码是由IIS进行控制的,取消选择复选框可以自行指定用户密码。
FTP站点的用户访问控制可以分为三种情况:仅有授权访问、仅有匿名访问、匿名访问与授权访问混合使用。仅使用匿名访问方式的好处是强化系统的安全性。这种方式拒绝任何非匿名的登录请求,也就不可能允许具有管理员权限的用户(可能是黑客)通过Internet登录站点,从而保证服务器不被入侵。在FTP站点属性表单的选项卡中选择复选框进行此设置。如果清除此复选框,IIS会给出如右下图所示的警告对话框。
对于授权用户,可以在图形界面或基于目录提示行的FTP客户端软件中直接指定登录账号和密码(匿名账号为anonymous,密码为空),以做登录验证之用。左图是在IE浏览器中登录FTP站点的对话框。缺省时,在IE中打开FTP站点都是以匿名身份进入的,需要改变用户身份时,单击IE浏览器的菜单,选择,如右图所示,输入账号和密码,单击以授权用户身份进入站点。通常只有授权用户才有上传权限。
IP地址访问控制
IP地址限制是FTP站点通常使用的安全限制方式之一,由于对于FTP这种较老的服务并无过多的安全技术可供选择,所以用好现有的安全限制(如IP地址限制)是非常必要的。
FTP站点的目录安全性可以以两种方式限制特殊IP地址的访问:授权访问和拒绝访问,两种方式不能同时使用。授权访问方式允许缺省用户访问站点,但可以指定不能访问站点的例外地址;拒绝访问方式缺省限制所有地址对站点的访问,但可以指定不受限制的例外地址。两种方式中后者的安全性要高些,但限制也较大,通常用于内部FTP站点(不对组织外的用户提供服务);前者则广泛用于公共的下载站点,根据经验或者日志文件的攻击纪录将曾经尝试攻击的用户IP地址加入例外地址列表即可加强站点的安全性。
指定IP地址限制的方法如下:
1.在FTP站点属性表单中单击选项卡。
2.如右上图,选择限制方式为或。
3.单击列表右侧的,打开例外地址对话框。
4.如右下图所示,选择限制类型为【单
❹ Linux系统下FTP服务器如何实现安全性
作为Internet上的FTP服务器,系统的安全性是非常重要的,这是建立FTP服务器者所考虑的第一个问题。其安全性主要包括以下几个方面:
一、未经授权的用户禁止在服务器上进行FTP操作。
二、FTP用户不能读取未经系统所有者允许的文件或目录。
三、未经允许,FTP用户不能在服务器上建立文件或目录.
四、FTP用户不能删除服务器上的文件或目录。
FTP服务器采取了一些验明用户身份的办法来解决上述第一个问题,主要包括以下几个措施:
FTP用户所使用的用户帐号必须在/etc/passwd文件中有所记载(匿名FTP用户除外),并且他的口令不能为空。在没有正确输入用户帐号和口令的情况下,服务器拒绝访问。
FTP守护进程FTPd还使用一个/etc/FTPusers文件,凡在这个文件中出现的用户都将被服务器拒绝提供FTP服务。服务器管理可以建立"不受欢迎"的用户目录,拒绝这些用户访问。
只有在服务器的/etc/passwd文件中存在名为"FTP"的用户时,服务器才可以接受匿名FTP连接,匿名FTP用户可以用"anonymous"或"FTP"作为用户名,自己的Internet电子邮件地址作为保密字。为了解决上述安全性的另外三个问题,应该对FTP主目录下的文件属性进行管理,建议对每个目录及其文件采取以下一些措施:
FTP主目录:将这个目录的所有者设为"FTP",并且将属性设为所有的用户都不可写,防止不怀好意的用户删改文件。
FTP/bin目录:该目录主要放置一些系统文件,应将这个目录的所有者设为"root"(即超级用户),并且将属性设为所有的用户都不可写。为保证合法用户可显示文件,应将目录中的ls文件属性设为可执行。
FTP/etc目录:将这个目录的所有者设为"root",并且将属性设为所有的用户都不可写。将目录下的group文件和passwd文件的属性设为所有用户只读属性,并用编辑器将passwd文件中用户加过密的口令删掉。
FTP/pub目录:将这个目录的所有者置为"FTP",并且将它的属性设为所有用户均可读、写、执行。
这样经过设置,既保证了系统文件不被删改,又保证了FTP合法用户的正常访问
❺ 如何用IIS创建FTP站点及如何启动、维护、安全性设置
IIS的FTP安全性不是很好,不过说一下
在添加/删除程序组件里面,有个添加组件,然后选IIS服务,点详细信息,里面有个FTP,打上钩,这样就可以安装IIS和FTP了,安装好IIS后直接就有默认的FTP站点,然后只要设置好FTP的路径,就行了
❻ 如何保证文件传输服务器FTP的安全
,系统的安全性是非常重要的,这是建立FTP服务器者所考虑的第一个问题。其安全性主要包括以下几个方面:一、 未经授权的用户禁止在服务器上进行FTP操作。
二、 FTP用户不能读取未经系统所有者允许的文件或目录。
三、 未经允许,FTP用户不能在服务器上建立文件或目录。
四、 FTP用户不能删除服务器上的文件或目录。
只有在服务器的/etc/passwd文件中存在名为"FTP"的用户时,服务器才可以接受匿名FTP连接,匿名FTP用户可以使用"anonymous"或"FTP"作为用户名,自己的Internet电子邮件地址作为保密字。为了解决上述安全性的另外三个问题,应该对FTP主目录下的文件属性进行管理,建议对每个目录及其文件采取以下一些措施:FTP主目录:将这个目录的所有者设为"FTP",并且将属性设为所有的用户都不可写,防止不怀好意的用户删改文件。
FTP/bin目录:该目录主要放置一些系统文件,应将这个目录的所有者设为"root"(即超级用户),并且将属性设为所有的用户都不可写。为保证合法用户可显示文件,应将目录中的ls文件属性设为可执行。
FTP/etc目录:将这个目录的所有者设为"root",并且将属性设为所有的用户都不可写。将目录下的group文件和passwd文件的属性设为所有用户只读属性,并用编辑器将passwd文件中用户加过密的口令删掉。
###NextPage###FTP/pub目录:将这个目录的所有者置为"FTP",并且将它的属性设为所有用户均可读、写、执行。
这样经过设置,既保证了系统文件不被删改,又保证了FTP合法用户的正常访问。
作为Internet上的FTP服务器,系统的安全性是非常重要的,这是建立FTP服务器者所考虑的第一个问题。其安全性主要包括以下几个方面:一、 未经授权的用户禁止在服务器上进行FTP操作。
二、 FTP用户不能读取未经系统所有者允许的文件或目录。
三、 未经允许,FTP用户不能在服务器上建立文件或目录。
四、 FTP用户不能删除服务器上的文件或目录。
只有在服务器的/etc/passwd文件中存在名为"FTP"的用户时,服务器才可以接受匿名FTP连接,匿名FTP用户可以使用"anonymous"或"FTP"作为用户名,自己的Internet电子邮件地址作为保密字。为了解决上述安全性的另外三个问题,应该对FTP主目录下的文件属性进行管理,建议对每个目录及其文件采取以下一些措施:FTP主目录:将这个目录的所有者设为"FTP",并且将属性设为所有的用户都不可写,防止不怀好意的用户删改文件。
FTP/bin目录:该目录主要放置一些系统文件,应将这个目录的所有者设为"root"(即超级用户),并且将属性设为所有的用户都不可写。为保证合法用户可显示文件,应将目录中的ls文件属性设为可执行。
FTP/etc目录:将这个目录的所有者设为"root",并且将属性设为所有的用户都不可写。将目录下的group文件和passwd文件的属性设为所有用户只读属性,并用编辑器将passwd文件中用户加过密的口令删掉。
FTP/pub目录:将这个目录的所有者置为"FTP",并且将它的属性设为所有用户均可读、写、执行。
这样经过设置,既保证了系统文件不被删改,又保证了FTP合法用户的正常访问。
❼ 谁能指教设置FTP的详细步骤, 我的是家庭宽带
FTP服务器架设--架设篇
架设一台FTP服务器其实很简单。首先,要保证你的机器能上网,而且有不低于ADSL 512Kbps的网络速度。其次,硬件性能要能满足你的需要。最后,需要安装FTP服务器端的软件,这类软件很多,可以使用微软的IIS(Internet Information Server 因特网信息服务系统),也可以使用专业软件。不同的软件提供的功能不同,适应的需求和操作系统也不同。一般来说,系统最低要求如下:
CPU:PⅢ 450MHz以上
内存:256MB SDRAM以上
带宽:ADSL 512Kbps以上
至于操作系统,Windows 98/Me/NT/2000/XP均可,如果对服务器的性能和安全性要求很低,可以采用Windows 98和Windows Me。本文中,如无特殊说明,均以Windows XP专业版为操作系统,其余操作系统下FTP服务器的架设及设置均大同小异。
一、用IIS架设
如果只是想建个小型的同时在线用户数不超过10个的FTP服务器,且不会同时进行大流量的数据传输,可以用IIS 5.0作为服务器软件来架设(IIS只适用于Windows NT/2000/XP操作系统)。
1.安装
Windows XP默认安装时不安装IIS组件,需要手工添加安装。进入控制面板,找到“添加/删除程序”,打开后选择“添加/删除Windows组件”,在弹出的“Windows组件向导”窗口中,将“Internet信息服务(IIS)”项选中。在该选项前的“√”背景色是灰色的,这是因为Windows XP默认并不安装FTP服务组件。再点击右下角的“详细信息”,在弹出的“Internet信息服务(IIS)”窗口中,找到“文件传输协议(FTP)服务”,选中后确定即可。
安装完后需要重启。Windows NT/2000和Windows XP的安装方法相同。
2.设置
电脑重启后,FTP服务器就开始运行了,但还要进行一些设置。点击“开始→所有程序→管理工具→internet信息服务”,进入“internet信息服务”窗口后,找到“默认FTP站点”,右击鼠标,在弹出的右键菜单中选择“属性”。在“属性”中,我们可以设置FTP服务器的名称、IP、端口、访问账户、FTP目录位置、用户进入FTP时接收到的消息等。
1)FTP站点基本信息
进入“FTP站点”选项卡,其中的“描述”选项为该FTP站点的名称,用来称呼你的服务器,可以随意填,比如“我的小站”;“IP地址”为服务器的IP,系统默认为“�全部未分配”,一般不须改动,但如果在下拉列表框中有两个或两个以上的IP地址时,最好指定为公网IP;“tCp端口”一般仍设为默认的21端口;“连接”选项用来设置允许同时连接服务器的用户最大连接数;“连接超时”用来设置一个等待时间,如果连接到服务器的用户在线的时间超过等待时间而没有任何操作,服务器就会自动断开与该用户的连接。
2)设置账户及其权限
很多FTP站点都要求用户输入用户名和密码才能登录,这个用户名和密码就叫账户。不同用户可使用相同的账户访问站点,同一个站点可设置多个账户,每个账户可拥有不同的权限,如有的可以上传和下载,而有的则只允许下载。
3)安全设定
进入“安全账户”选项卡,有“允许匿名连接”和“仅允许匿名连接”两项,默认为“允许匿名连接”,此时FTP服务器提供匿名登录。“仅允许匿名连接”是用来防止用户使用有管理权限的账户进行访问,选中后,即使是adMinistrator(管理员)账号也不能登录,FTP只能通过服务器进行“本地访问”来管理。至于“FTP站点操作员”选项,是用来添加或删除本FTP服务器具有一定权限的账户。iis与其他专业的FTP服务器软件不同,它基于WindoWs用户账号进行账户管理,本身并不能随意设定FTP服务器允许访问的账户,要添加或删除允许访问的账户,必须先在操作系统自带的“管理工具”中的“计算机管理”中去设置WindoWs用户账号,然后再通过“安全账户”选项卡中的“FTP站点操作员”选项添加或删除。但对于WindoWs 2000和WindoWs Xp专业版,系统并不提供“FTP站点操作员”账户添加与删除功能,只提供adMinistrator一个管理账号。
提示:匿名登录一般不要求用户输入用户名和密码即可登录成功,若需要,可用“anonyMous”作为用户名,以任意电子邮件地址为密码来登录。
4)设置用户登录目录
最后设置FTP主目录(即用户登录FTP后的初始位置),进入“主目录”选项卡,在“本地路径”中选择好FTP站点的根目录,并设置该目录的读取、写入、目录访问权限。“目录列表样式”中“uniX”和“Ms-dos”的区别在于:假设将G�\FTP设为站点根目录,则当用户登录FTP后,前者会使主目录显示为“\”,后者显示为“G�\FTP”。
设置完成后,FTP服务器就算真正建成了。如果前面IP地址为218.1.1.1,则用户使用FTP客户端软件(用来登录FTP服务器的上传/下载软件,如CuteFTP、FlashFXp等,如无特别说明,本文中所称Ftp客户端软件均以CuteFtp pro 2.0为例)时,主机处填218.1.1.1,端口填21,此服务器的地址表述为:FTP�//218.1.1.1�21。IIS虽然安装简单,设置较简便,但功能不强,管理也很麻烦,尤其是连新建一个基本的授权访问账户都要进行繁杂的设置,而且IIS本身的安全性也比较差,容易受到诸如“红色代码”等专门针对IIS漏洞进行攻击的病毒侵袭,因而很多人都喜欢使用第三方的FTP服务器软件来架设。
二、用Serv-U等第三方FTP服务器软件架设
除IIS外,还有很多FTP服务器软件可以架设,如Wu-FTP、proFTPd、Serv-U等,但大部分只适用于uniX、linuX系统,如果使用WindoWs系统,强烈推荐使用serv-u。serv-u(下载地址:http�//www.neWhua.CoM/FTPservu.htM,含汉化包)是一种被广泛运用的FTP服务器端软件,支持WindoWs 3X/9X/Me/nt/2000等全WindoWs系列。它安装简单,功能强大,可以用同一个ip设定多个FTP服务器、限定登录用户的权限、登录主目录及空间大小、支持远程登录管理等,适合绝大部分个人自建FTP的需要。
1.安装
Serv-U的安装比IIS还简单。先执行英文原版安装文件,按提示一路“neXt”即可。要注意的是,在选择安装目录时,最好选择安装在一个非系统盘里,以免将来系统发生异常时还要重新进行账号等的设置。然后执行汉化文件,选择原版安装目录,一路“下一步”即可完成安装。
2.设置
与IIS不同,Serv-U在第一次运行时会以向导的方式一步一步地提示用户进行设置,整个过程不超过五分钟,非常人性化。为了方便说明,先假设我们要架设一个固定IP为218.1.1.1,端口为21,根目录绝对路径为G�\FTP,允许匿名访问和拥有一个用户名为dys、密码为syd、管理账户名叫“MyFTP”的公网FTP服务器。运行Serv-U,弹出向导窗口,依次设置如下选项:
1)“您的IP地址”:这里我们填入218.1.1.1,如果你是adsl等方式拨号上网,拥有的是动态IP或者不知道本机IP,此处请留空。
2)“域名”:就是该FTP站点的名称,可以随意取名,这里填入“MyFTP”。
3)“匿名账号”:决定该FTP站点是否允许匿名用户访问。选择“是”。
4)“匿名主目录”:设置匿名用户登录站点后所处的目录位置。输入“G�\FTP”。
5)“锁定于主目录”:假设在“匿名主目录”中设置匿名用户登录后所处的目录位置为“G:\FTP\Guest”,那么,选择“是”后,当匿名用户登录FTP后,就被锁定在G�\FTP\Guest目录下,只能查看Guest目录里的内容,不能进入上级目录“FTP”,同时该目录在FTP客户端软件中显示为“\”,如果未被锁定,则会完整显示为“G:\FTP\Guest”。这里选择“是”。
6)“命名的账号”:决定是否要创建有一定管理权限的账户。这里选“是”。
7)“账号名称”:就是具有一定管理权限的账户登录名称。填入“dys”。
8)“账号密码”:设置账户的登录密码。输入“syd”。
9)“主目录”:与“匿名主目录”一样,用来设置管理账户登录后所处的目录位置。输入“G:\Ftp”。
10)“锁定于主目录”:选择“是”。
11)“管理员权限”:用来设置管理账户的管理权限级别。这里选“无权限”,后面再详述。
设置完成,地址为:FTP//218.1.1.1�21的FTP服务器就算架设成功了。最后可用CuteFTP分别以匿名和dys的账户登录验证。
提示:以上这些设置并非最终设定,你还可以在Serv-U主界面中随时修改。
3.用同一个IP架设多个FTP服务器
如果带宽允许的话,你还可利用同一个IP轻松架设多个服务器。在Serv-U中,将“本地服务器”下“域”中的每个FTP服务器称为“域”,刚才创建的“MyFTP”服务器就是一个名叫“MyFTP”的域。要架设多个服务器,实际上就是创建多个拥有不同端口的域而已。
右击“域”,选“新建域”,在弹出的向导中参照“MyFTP”进行设置,只是在端口处一定不要与已经创建的“域”的端口或被其他系统服务占用的端口冲突即可。如果填入22,则此服务器的地址就是:FTP//218.1.1.1�22。依此而为,就可以架设多个FTP服务器了。
三、用动态IP域名解析软件架设拥有固定域名的FTP服务器
在上面的介绍中,我们假设的是该服务器拥有218.1.1.1的固定IP,而事实上,大部分想架设个人FTP的用户通常都是用adsl等方式拨号上网。由于每次拨号上网后被分配到的IP地址都不相同,那这是否就意味着不能架设FTP服务器呢?
有两个解决办法:一是在刚才向导中的“您的IP地址”中留空,然后完成其它向导设置。进入Serv-U主界面,先点击菜单栏上的“帮助→本机IP地址”,将本机IP地址复制,再通过其他途径告知每个用户。每拨号上网一次就重复此操作一次;二是到网上下载安装一个动态IP域名解析软件,如国外的dns2Go、国内的花生壳、88IP等,此类软件不管本机的IP如何变化都能将一个固定域名自动解析到本机IP上。这样,用户只要输入这个固定域名作FTP地址就可以访问到你的服务器。很明显,第一种方法相当麻烦,需要你有极大的耐心,第二种就相当简便,用户只要记住此域名而不用管IP是否变化。美中不足的是,目前绝大部分此类软件需要付费注册才能永久使用,不注册只能免费使用30天。
我们以88IP为例,来了解它的设置。
假设我们要申请一个域名:dys1.88IP.com。首先如前文所述用Serv-U(IIS和其他FTP服务器软件亦可)架设好FTP服务器,注意将“您的IP地址”处留空,然后到http//www.88IP.net去下载并安装88IP标准版。
88IP需要付费注册才能拥有一个永久域名,如果免费注册则仅能试用15天。运行88IP标准版客户端,会弹出设置窗口。要获得一个域名,需要先注册。在“基本资料”中,依次填写好用户登录名、有效电子邮件地址、密码和联系电话,接下来就要选择你的域名,在“域名资料”中,“域名”框填入dys2,“域名后缀”下拉框里选择“88IP.com”,这时,下方的“你的完整域名为”会显示为dys1.88IP.com,确认无误后,点“注册”按钮注册。如果注册的用户名或申请的域名已经被其他用户注册过,软件会做出相应的提示,修改后再次注册即可。注册成功后,在“执行状态”中会显示“注册成功,用户ID:�XXXXXXXX�”,记下用户ID,以备将来缴费或需要技术支持之用。最后要点击“装载”按钮将刚刚申请成功的账户信息装载至本机上。
❽ ftp站点的设置
FTP 站点设置
IIS 中包含了可用于发布和管理文件的文件传输协议 (FTP)。该版本的 IIS 中有 FTP 用户隔离功能,可帮助管理员(尤其是 Internet 宿主提供商)有效地保证 FTP 服务的安全性并为客户自定义 FTP 服务。
默认情况下未安装 FTP 服务。要创建 FTP 站点,首先必须通过控制面板安装 FTP 服务。安装 FTP 服务时,会创建一个默认 FTP 站点,您可以使用 IIS 管理器根据自己的需要来自定义该站点。
要点 您必须是本地计算机上 Administrators 组的成员或者必须被委派了相应的权限,才能执行下列步骤。作为安全性的最佳操作,请使用不属于 Administrators 组的帐户登录计算机,然后使用运行方式命令以管理员身份运行 IIS 管理器。在命令提示符下,键入 runas /user:administrative_accountname "mmc %systemroot%\system32\inetsrv\iis.msc"。
安装 FTP 服务
从“开始”菜单,单击“控制面板”。
双击“添加或删除程序”。
在左侧窗格中,单击“添加/删除 Windows 组件”。
从“组件”列表中,单击“应用程序服务器”,然后单击“详细信息”。
从“应用程序服务器的子组件”列表中,单击“Internet 信息服务 (IIS)”,然后单击“详细信息”。
从“Internet 信息服务 (IIS) 的子组件”列表中,选中“文件传输协议 (FTP) 服务”复选框。
单击“确定”。
单击“下一步”。您可能被提示插入 Windows Server 2003 家族光盘或输入网络安装路径。
单击“完成”。
警告 不应将配置使用 Active Directory (AD) 隔离或 FTP 负载平衡的 FTP 网站或虚拟目录映射到用于 FrontPage® Server Extensions (FPSE) 网站的物理目录。如果执行此操作,则用户可以查看网络上该文件夹结构中的任何文件。
安装 FTP 服务时,会在 LocalDrive:\Inetpub\Ftproot 下创建一个默认的 FTP 目录。
第一次建立 FTP 服务时,需要先设置全局 FTP 设置,然后是默认 FTP 站点的设置,最后将内容添加到 FTP 站点上。IIS 使用一种继承模型,即低层自动继承高层上的设置。可以单独编辑低层的设置以替代从上一层继承的设置。
如果您更改了低层的设置,后来又在更高的层上更改了与低层有冲突的设置,系统会提示您是否更改低层设置以与新的高层设置相匹配。
设置 FTP 服务之前,请参阅保护 FTP 站点,了解与 FTP 服务有关的安全问题声明。
在全局范围内更改 FTP 设置
在 IIS 管理器中,展开本地计算机,右键单击“FTP 站点”文件夹,然后单击“属性”。
根据需要更改属性页的默认设置。计算机上的所有 FTP 站点会继承这些更改。要获得单个设置的信息,请单击“帮助”。
更改默认 FTP 站点的设置
在 IIS 管理器中,展开本地计算机,展开“FTP 站点”文件夹,右键单击“默认 FTP 站点”,然后单击“属性”。
根据需要更改属性页上的默认设置,来替代任何继承的设置。要获得单个设置的信息,请单击“帮助”。
在 FTP 站点上发布内容
将内容文件复制或移动到默认的 FTP 发布目录中。
注意 如果网络具有名称解析系统(例如 DNS),那么访问者可以在其浏览器地址栏中键入 ftp://,后面是您的计算机名,这样就能访问您的站点。如果网络没有名称解析系统,那么访问者必须键入 ftp://,后面是您的计算机的数字 IP 地址。
相关主题
有关管理或添加 FTP 站点的信息,请参阅 FTP 站点管理。
有关在一个计算机上主控多个站点的概念性信息,请参阅在一台服务器上宿主多个网站。
要将虚拟目录添加到 FTP 站点,请参阅使用虚拟目录。
要自定义 FTP 站点的外观,请参阅设置 FTP 消息和目录输出样式。
有关隔离 FTP 用户及其可以提供的其他安全功能的信息,请参阅隔离 FTP 用户。
❾ 如何在Windows XP系统下设置FTP服务器
如何在Windows XP系统下设置FTP服务器蒙古即使好多朋友们很关心的一个问题。目的只有一个:更方便快捷的实现上传和下载。但时用Internet语言来说,用户可通过客户机程序向(从)远程主机上载(下载)文件。 使用FTP时必须首先登录,在远程主机上获得相应的权限以后,方可上传或下载文件。也就是说,要想同哪一台计算机传送文件,就必须具有哪一台计算机的适当授权。下面以WindowsXp为例,为大家讲解FTP的基本架设技巧。
热身阶段:
在开始动手之前别忙,我们得先让自己的电脑在网上找个地方住下---申请域名。想让朋友在茫茫网海中找到你这台计算机是通过IP地址来实现的,而目前大多数包月宽带提供的都是一个动态IP,也就是说每次拨号接入时的IP地址都不样,你不可能IP地址改变一次就通知朋友一次吧!解决此问题的常用方法就是申请一个免费域名,推荐到http://www.oray.net/申请。
第一步:申请网域护照(即帐户),开通免费域名。
连接到http://www.oray.net/,在页面左边点击“注册护照”,按照提示完成注册即可。然后在左面再点“域名服务中心”,选择下拉菜单的“注册域名记录”,之后在“免费域名”框内输入你的个性域名就行了。
第二步:本机安装动态域名解析软件。
即花生壳客户端,下载:http://www.oray.net/Procts/PeanutHull_Support.asp。下载完成后同样按提示安装,在按如步骤,请输入我们刚才在网站上注册的帐户及密码。
填入网域护照
一路继续“下一步”,安装完毕软件会自动启动,至此动态IP地址的问题已经解决,你的电脑已经可以在网海中找到了。接下来就可以正式配置FTP服务了!
架设阶段:
一般在windows平台上,常用的做FTP服务器的方式就是使用系统自带的IIS、以及第三方软件serv-u。而关于这两类方法的异同,大家可以参阅IT168的相关报道。主要就是:IIS设置相对简单,但安全性不高;而serv-u相对来说安全性要高得多。以下为IIS的架设过程。
如果你是建个小型的FTP服务器(同时访问人数不超过20个的那种),且不会同时进行大流量的数据传输(比如音视频),那么这种方式是最简便易行的,不过注意操作系统版本哟,IIS只适用于WindowsNT/2000/XP系统。
第一步:安装IIS组件。
一般系统安装时都没有安装此组件的,所以请到控制面板,在“添加/删除程序”里打开“添加/删除Windows组件”一项,在弹出的窗口里将“intenet信息服务(IIS)”选中;再点右下角“详细信息”,勾选“文件传输协议(FTP)服务”,最后确定即可。
第二步:设定需要共享的目录路径。
此目录就是别人访问你的FTP服务器时看到的文件列表。在控制面板的管理工具里,打开“internet信息服务”。在窗口左面找到“FTP站点”并打开下拉列表,之后在“默认FTP站点”上点右键选属性,切换到如下图所示的“主目录”选项卡。在“本地路径”框中的地址为默认FTP共享目录,请点击浏览指定到你的实际共享目录;另外在这里还可以设置FTP服务器的文件访问权限,为安全考虑,一般我们只开放读取权限,以防匿名用户随意修改目录文件,合法用户有需要时才针对性的打开“写入”权限。
主目录路径指定
第三步:完善配置。
在“默认FTP站点”窗口里切换到“安全帐户”,去掉“允许匿名连接”前的勾;在消息选项卡中可设定当用户访问、退出你的FTP服务器时出现的提示信息,随你喜欢写吧!还有个“最大连接数”的设定,它是指同时连接本地FTP的最多主机台数,如果你的电脑配置不是很好的话,建议不要超过5。
经过以上三步正确的配置后,你的FTP服务器应该已经在工作了。为保险起见,我们可以在本机先测试一下访问是否正常,方法很简单:在浏览器的地址栏里输入(ftp://你在花生壳中申请的免费域名),如果能看到你在IIS“主目录”中设定的路径下的目录和文件,那就成功了。
补充:在安全用户设置中,IIS与其他专业的FTP服务器软件不同,它是基于Windows用户帐号进行管理,而本身并不支持随意设定允许访问帐户的;要添加或删除某个允许访问的帐户,必须先在控制面板的“管理工具”中的“计算机管理”里去设置,然后再通过IIS“安全账户”选项卡中的“FTP站点操作员”选项添加或删除。
IIS设置简单,实现过程迅速,比较适合初次玩服务器应用的用户使用;当用过IIS一段时间并积累了相当的经验后,就可采用一些第三方功能强大的软件,再配合FTP防火墙相关知识来建。
--天下数据--
❿ 如何提高FTP服务器安全性
一、禁止系统级别用户来登录FTP服务器。
为了提高FTP服务器的安全,系统管理员最好能够为员工设置单独的FTP帐号,而不要把系统级别的用户给普通用户来使用,这会带来很大的安全隐患。在VSFTP服务器中,可以通过配置文件vsftpd.ftpusers来管理登陆帐户。不过这个帐户是一个黑名单,列入这个帐户的人员将无法利用其帐户来登录FTP服务器。部署好VSFTP服务器后,我们可以利用vi命令来查看这个配置文件,发现其已经有了许多默认的帐户。其中,系统的超级用户root也在其中。可见出于安全的考虑,VSFTP服务器默认情况下就是禁止root帐户登陆FTP服务器的。如果系统管理员想让root等系统帐户登陆到FTP服务器,则知需要在这个配置文件中将root等相关的用户名删除即可。不过允许系统帐户登录FTP服务器,会对其安全造成负面的影响,为此我不建议系统管理员这么做。对于这个文件中相关的系统帐户管理员最好一个都不要改,保留这些帐号的设置。
如果出于其他的原因,需要把另外一些帐户也禁用掉,则可以把帐户名字加入到这个文件中即可。如在服务器上可能同时部署了FTP服务器与数据库服务器。那么为了安全起见,把数据库管理员的帐户列入到这个黑名单,是一个不错的做法。
二、加强对匿名用户的控制。
匿名用户是指那些在FTP服务器中没有定义相关的帐户,而FTP系统管理员为了便于管理,仍然需要他们进行登陆。但是他们毕竟没有取得服务器的授权,为了提高服务器的安全性,必须要对他们的权限进行限制。在VSFTP服务器上也有很多参数可以用来控制匿名用户的权限。系统管理员需要根据FTP服务器的安全级别,来做好相关的配置工作。需要说明的是,匿名用户的权限控制的越严格,FTP服务器的安全性越高,但是同时用户访问的便利性也会降低。故最终系统管理员还是需要在服务器安全性与便利性上取得一个均衡。
下面是我推荐的几个针对匿名用户的配置,大家若不清楚该如何配置的话,可以参考这些配置。这些配置兼顾了服务器的安全与用户的使用便利。
一是参数anon_world_readable_only。这个参数主要用来控制匿名用户是否可以从FTP服务器上下载可阅读的文件。如果FTP服务器部署在企业内部,主要供企业内部员工使用的话,则最好把这个参数设置为YES。然后把一些企业常用表格等等可以公开的文件放置在上面,让员工在匿名的情况下也可以下载这些文件。这即不会影响到FTP服务器的安全,而且也有利于其他员工操作的便利性上。
二是参数anon_upload_enable。这个参数表示匿名用户能否在匿名访问的情况下向FTP服务器上传文件。通常情况下,应该把这个参数设置为No。即在匿名访问时不允许用户上传文件。否则的话,随便哪个人都可以上传文件的话,那对方若上传一个病毒文件,那企业不是要遭殃了。故应该禁止匿名用户上传文件。但是这也有例外。如有些企业通过FTP协议来备份文件。此时如果企业网络的安全性有所保障的话,可以把这个参数设置为YES,即允许操作系统调用FTP命令往FTP服务器上备份文件。