❶ 如何進行全面提高FTP伺服器的安全性能呢
Windows2000系統提供了FTP服務功能,由於簡單易用,伺服器託管與Windows系統本身結合緊密,深受廣大用戶的喜愛。但使用IIS5.0 架設的FTP伺服器真的安全嗎?它的默認設置其實存在很多安全隱患,很容易成為黑客們的攻擊目標。伺服器託管如何讓FTP伺服器更加安全,只要稍加改造,就能做到。
一 取消匿名訪問功能
默認情況下伺服器託管,Windows2000系統的FTP伺服器是允許匿名訪問的,雖然匿名訪問為用戶上傳、下載文件提供方便,但卻存在極大的安全隱患。用戶不需要申請合法的賬號,就能訪問FTP伺服器,甚至還可以上傳、下載文件,特別對於一些存儲重要資料的FTP伺服器,伺服器託管很容易出現泄密的情況,因此建議用戶取消匿名訪問功能。
在Windows2000系統中,點擊「開始→程序→管理工具→Internet服務管理器」,彈出管理控制台窗口。然後展開窗口左側的本地計算機選項,就能看到IIS5.0自帶的FTP伺服器,下面筆者以默認FTP站點為例,介紹如何取消匿名訪問功能。
右鍵點擊「默認FTP站點」項,在右鍵菜單中選擇「屬性」,伺服器託管接著彈出默認FTP站點屬性對話框,切換到「安全賬號」標簽頁,取消「允許匿名連接」前的勾選,最後點擊「確定」按鈕,這樣用戶就不能使用匿名賬號訪問FTP伺服器了,必須擁有合法賬號。
二 啟用日誌記錄
Windows日誌記錄著系統運行的一切信息,但很多管理員對日誌記錄功能不夠重視,為了節省伺服器資源,禁用了FTP伺服器日誌記錄功能,伺服器託管這是萬萬要不得的。FTP伺服器日誌記錄著所有用戶的訪問信息,如訪問時間、客戶機IP地址、使用的登錄賬號等,這些信息對於FTP伺服器的穩定運行具有很重要的意義,一旦伺服器出現問題,就可以查看FTP日誌,找到故障所在,及時排除。因此一定要啟用FTP日誌記錄。
在默認FTP站點屬性對話框中,切換到「FTP站點」標簽頁,一定要確保「啟用日誌記錄」選項被選中,這樣就可以在「事件查看器」中查看FTP日誌記錄了。
三 正確設置用戶訪問許可權
每個FTP用戶賬號都具有一定的訪問許可權,但對用戶許可權的不合理設置,也能導致FTP伺服器出現安全隱患。如伺服器中的CCE文件夾,只允許 CCEUSER賬號對它有讀、寫、修改、列表的許可權,禁止其他用戶訪問,但系統默認設置,還是允許其他用戶對CCE文件夾有讀和列表的許可權,伺服器託管因此必須重新設置該文件夾的用戶訪問許可權。
右鍵點擊CCE文件夾,在彈出菜單中選擇「屬性」,然後切換到「安全」標簽頁,首先刪除Everyone用戶賬號,接著點擊「添加」按鈕,伺服器託管將 CCEUSER賬號添加到名稱列表框中,然後在「許可權」列表框中選中修改、讀取及運行、列出文件夾目錄、讀取和寫入選項,最後點擊「確定」按鈕。這樣一來,CCE文件夾只有CCEUSER用戶才能訪問。
四 啟用磁碟配額
FTP伺服器磁碟空間資源是寶貴的,無限制的讓用戶使用,勢必造成巨大的浪費,因此要對每位FTP用戶使用的磁碟空間進行限制。下面筆者以CCEUSER用戶為例,將其限制為只能使用100M磁碟空間。
在資源管理器窗口中,右鍵點擊CCE文件夾所在的硬碟盤符,在彈出的菜單中選擇「屬性」,接著切換到「配額」標簽頁,選中伺服器託管「啟用配額管理」復選框,激活「配額」標簽頁中的所有配額設置選項,為了不讓某些FTP用戶佔用過多的伺服器磁碟空間,一定要選中「拒絕將磁碟空間給超過配額限制的用戶」復選框。
然後在「為該卷上的新用戶選擇默認配額限制」框中選擇「將磁碟空間限制為」單選項,接著在後面的欄中輸入100,磁碟容量單位選擇為「MB」,然後進行警告等級設置,在「將警告等級設置為」欄中輸入「96」,容量單位也選擇為「MB」,這樣就完成了默認配額設置。伺服器託管此外,還要選中「用戶超出配額限制時記錄事件」和「用戶超過警告等級時記錄事件」復選框,以便將配額告警事件記錄到Windows日誌中。
點擊配額標簽頁下方的「配額項」按鈕,打開磁碟配額項目對話框,接著點擊「配額→新建配額項」,彈出選擇用戶對話框,選中CCEUSER用戶後,點擊「確定」按鈕,接著在「添加新配額項」對話框中為CCEUSER用戶設置配額參數,伺服器託管選擇「將磁碟空間限制為」單選項,在後面的欄中輸入 「100」,接著在「將警告等級設置為」欄中輸入「96」,它們的磁碟容量單位為「MB」,最後點擊「確定」按鈕,完成磁碟配額設置,這樣CCEUSER 用戶就只能使用100MB磁碟空間,超過96MB就會發出警告。
五 TCP/IP訪問限制
為了保證FTP伺服器的安全,還可以拒絕某些IP地址的訪問。在默認FTP站點屬性對話框中,切換到「目錄安全性」標簽頁,選中「授權訪問」單選項,然後在「以下所列除外」框中點擊「添加」按鈕,彈出「拒絕以下訪問」對話框,這里可以拒絕單個IP地址或一組IP地址訪問,伺服器託管以單個IP地址為例,選中「單機」選項,然後在「IP地址」欄中輸入該機器的IP地址,最後點擊「確定」按鈕。這樣添加到列表中的IP地址都不能訪問FTP伺服器了。
六 合理設置組策略
通過對組策略項目的修改,也可以增強FTP伺服器的安全性。在Windows2000系統中,進入到「控制面板→管理工具」,運行本地安全策略工具。
1. 審核賬戶登錄事件
在本地安全設置窗口中,伺服器託管依次展開「安全設置→本地策略→審核策略」,然後在右側的框體中找到「審核賬戶登錄事件」項目,雙擊打開該項目,在設置對話框中選中「成功」和「失敗」這兩項,最後點擊「確定」按鈕。該策略生效後,FTP用戶的每次登錄都會被記錄到日誌中。
2. 增強賬號密碼的復雜性
一些FTP賬號的密碼設置的過於簡單,就有可能被「不法之徒」所破解。為了提高FTP伺服器的安全性,必須強制用戶設置復雜的賬號密碼。
在本地安全設置窗口中,伺服器託管依次展開「安全設置→賬戶策略→密碼策略」,在右側框體中找到「密碼必須符合復雜性要求」項,雙擊打開後,選中「已啟用」單選項,最後點擊「確定」按鈕。
然後,打開「密碼長度最小值」項,為FTP賬號密碼設置最短字元限制。這樣以來,密碼的安全性就大大增強了。
3. 賬號登錄限制
有些非法用戶使用黑客工具,反復登錄FTP伺服器,來猜測賬號密碼。這是非常危險的,因此建議大家對賬號登錄次數進行限制。
依次展開「安全設置→賬戶策略→賬戶鎖定策略」,伺服器託管在右側框體中找到「賬戶鎖定閾值」項,雙擊打開後,設置賬號登錄的最大次數,如果超過此數值,賬號會被自動鎖定。接著打開「賬戶鎖定時間」項,設置FTP賬號被鎖定的時間,賬號一旦被鎖定,超過這個時間值,才能重新使用。
通過伺服器託管以上幾步設置後,用戶的FTP伺服器就會更加安全,再也不用怕被非法入侵了。
❷ 請問FTP伺服器如何實現安全性(下)
FTP/pub目錄:將這個目錄的所有者置為FTP,並且將它的屬性設為所有用戶均可讀、寫、執行。
這樣經過設置,既保證了系統文件不被刪改,又保證了FTP合法用戶的正常訪問。
作為Internet上的FTP伺服器,系統的安全性是非常重要的,這是建立FTP伺服器者所考慮的第一個問題。其安全性主要包括以下幾個方面:
一、未經授權的用戶禁止在伺服器上進行FTP操作。
二、FTP用戶不能讀取未經系統所有者允許的文件或目錄。
三、未經允許,FTP用戶不能在伺服器上建立文件或目錄。
四、FTP用戶不能刪除伺服器上的文件或目錄。
FTP伺服器採取了一些驗明用戶身份的辦法來解決上述第一個問題,主要包括以下幾個措施:
FTP主目錄:將這個目錄的所有者設為FTP,並且將屬性設為所有的用戶都不可寫,防止不懷好意的用戶刪改文件。
FTP/bin目錄:該目錄主要放置一些系統文件,應將這個目錄的所有者設為root(即超級用戶),並且將屬性設為所有的用戶都不可寫。為保證合法用戶可顯示文件,應將目錄中的ls文件屬性設為可執行。
FTP/etc目錄:將這個目錄的所有者設為root,並且將屬性設為所有的用戶都不可寫。將目錄下的group文件和passwd文件的屬性設為所有用戶只讀屬性,並用編輯器將passwd文件中用戶加過密的口令刪掉。
FTP/pub目錄:將這個目錄的所有者置為FTP,並且將它的屬性設為所有用戶均可讀、寫、執行。
這樣經過設置,既保證了系統文件不被刪改,又保證了FTP合法用戶的正常訪問。
❸ 如何加強ftp的安全性
為Internet上的FTP伺服器,系統的安全性是非常重要的,這是建立FTP伺服器者所考慮的第一個問題。其安全性主要包括以下幾個方面: 一、 未經授權的用戶禁止在伺服器上進行FTP操作。 二、 FTP用戶不能讀取未經系統所有者允許的文件或目錄。 三、 未經允許,FTP用戶不能在伺服器上建立文件或目錄。 四、 FTP用戶不能刪除伺服器上的文件或目錄。 FTP伺服器採取了一些驗明用戶身份的辦法來解決上述第一個問題,主要包括以下幾個措施: FTP用戶所使用的用戶帳號必須在/etc/passwd文件中有所記載(匿名FTP用戶除外),並且他的口令不能為空。在沒有正確輸入用戶帳號和口令的情況下,伺服器拒絕訪問。 FTP守護進程FTPd還使用一個/etc/FTPusers文件,凡在這個文件中出現的用戶都將被伺服器拒絕提供FTP服務。伺服器管理可以建立"不受歡迎"的用戶目錄,拒絕這些用戶訪問. 只有在伺服器的/etc/passwd文件中存在名為"FTP"的用戶時,伺服器才可以接受匿名FTP連接,匿名FTP用戶可用"anonymous"或"FTP"作為用戶名,自己的Internet電子郵件地址作為保密字。為了解決上述安全性的另外三個問題,應該對FTP主目錄下的文件屬性進行管理,建議對每個目錄及其文件採取以下一些措施: FTP主目錄:將這個目錄的所有者設為"FTP",並且將屬性設為所有的用戶都不可寫,防止不懷好意的用戶刪改文件。 FTP/bin目錄:該目錄主要放置一些系統文件,應將這個目錄的所有者設為"root"(即超級用戶),並且將屬性設為所有的用戶都不可寫。為保證合法用戶可顯示文件,應將目錄中的ls文件屬性設為可執行。 FTP/etc目錄:將這個目錄的所有者設為"root",並且將屬性設為所有的用戶都不可寫。將目錄下的group文件和passwd文件的屬性設為所有用戶只讀屬性,並用編輯器將passwd文件中用戶加過密的口令刪掉。 FTP/pub目錄:將這個目錄的所有者置為"FTP",並且將它的屬性設為所有用戶均可讀、寫、執行。 這樣經過設置,既保證了系統文件不被刪改,又保證了FTP合法用戶的正常訪問. 作為Internet上的FTP伺服器,系統的安全性是非常重要的,這是建立FTP伺服器者所考慮的第一個問題。其安全性主要包括以下幾個方面: 一、 未經授權的用戶禁止在伺服器上進行FTP操作。 二、 FTP用戶不能讀取未經系統所有者允許的文件或目錄。 三、 未經允許,FTP用戶不能在伺服器上建立文件或目錄. 四、 FTP用戶不能刪除伺服器上的文件或目錄。 FTP伺服器採取了一些驗明用戶身份的辦法來解決上述第一個問題,主要包括以下幾個措施: FTP用戶所使用的用戶帳號必須在/etc/passwd文件中有所記載(匿名FTP用戶除外),並且他的口令不能為空。在沒有正確輸入用戶帳號和口令的情況下,伺服器拒絕訪問。 FTP守護進程FTPd還使用一個/etc/FTPusers文件,凡在這個文件中出現的用戶都將被伺服器拒絕提供FTP服務。伺服器管理可以建立"不受歡迎"的用戶目錄,拒絕這些用戶訪問。 只有在伺服器的/etc/passwd文件中存在名為"FTP"的用戶時,伺服器才可以接受匿名FTP連接,匿名FTP用戶可以用"anonymous"或"FTP"作為用戶名,自己的Internet電子郵件地址作為保密字。為了解決上述安全性的另外三個問題,應該對FTP主目錄下的文件屬性進行管理,建議對每個目錄及其文件採取以下一些措施: FTP主目錄:將這個目錄的所有者設為"FTP",並且將屬性設為所有的用戶都不可寫,防止不懷好意的用戶刪改文件。 FTP/bin目錄:該目錄主要放置一些系統文件,應將這個目錄的所有者設為"root"(即超級用戶),並且將屬性設為所有的用戶都不可寫。為保證合法用戶可顯示文件,應將目錄中的ls文件屬性設為可執行。 FTP/etc目錄:將這個目錄的所有者設為"root",並且將屬性設為所有的用戶都不可寫。將目錄下的group文件和passwd文件的屬性設為所有用戶只讀屬性,並用編輯器將passwd文件中用戶加過密的口令刪掉。 FTP/pub目錄:將這個目錄的所有者置為"FTP",並且將它的屬性設為所有用戶均可讀、寫、執行。 這樣經過設置,既保證了系統文件不被刪改,又保證了FTP合法用戶的正常訪問。
參考資料:協議分析網
❹ 如何打造安全穩定的FTP伺服器
一、操作系統的選擇
FTP伺服器首先是基於操作系統而運作的,因而操作系統本身的安全性就決定了FTP伺服器安全性的級別。雖然Windows 98/Me一樣可以架設FTP伺服器,但由於其本身的安全性就不強,易受攻擊,因而最好不要採用。Windows NT就像雞肋,不用也罷。最好採用Windows 2000及以上版本,並記住及時打上補丁。至於Unix、Linux,則不在討論之列。
二、使用防火牆
埠是計算機和外部網路相連的邏輯介面,也是計算機的第一道屏障,埠配置正確與否直接影響到主機的安全,一般來說,僅打開你需要使用的埠,將其他不需要使用的埠屏蔽掉會比較安全。限制埠的方法比較多,可以使用第三方的個人防火牆,如天網個人防火牆等,這里只介紹Windows自帶的防火牆設置方法。
1.利用TCP/IP篩選功能
在Windows ?2000和Windows XP中,系統都帶有TCP/IP篩選功能,利用它可以簡單地進行埠設置。以Windows XP為例,打開「本地連接」的屬性,在「常規」選項中找到「Internet協議(TCP/IP)」,雙擊它打開該協議的屬性設置窗口。點擊右下方的「高級」按鈕,進入「高級TCP/IP設置」。在「選項」中選中「TCP/IP篩選」並雙擊進入其屬性設置。這里我們可以設置系統只允許開放的埠,假如架設的FTP伺服器埠為21,先選中「啟用TCP/IP篩選(所有適配器)」,再在TCP埠選項中選擇「只允許」,點「添加」,輸入埠號21,確定即可。這樣,系統就只允許打開21埠。要開放其他埠,繼續添加即可。這可以有效防止最常見的139埠入侵。缺點是功能過於簡單,只能設置允許開放的埠,不能自定義要關閉的埠。如果你有大量埠要開放,就得一個個地去手工添加,比較麻煩。
2.打開Internet連接防火牆
對於Windows XP系統,自帶了「Internet連接防火牆」功能,與TCP/IP篩選功能相比,設置更方便,功能更強大。除了自帶防火牆埠開放規則外,還可以自行增刪。在控制面板中打開「網路連接」,右擊撥號連接,進入「高級」選項卡,選中「通過限制或阻止來自Internet的對此計算機的訪問來保護我的計算機和網路」,啟用它。系統默認狀態下是關閉了FTP埠的,因而還要設置防火牆,打開所使用的FTP埠。點擊右下角的「設置」按鈕進入「高級設置」,選中「FTP伺服器」,編輯它。由於FTP服務默認埠是21,因而除了IP地址一欄外,其餘均不可更改。在IP地址一欄中填入伺服器公網IP,確定後退出即可即時生效。如果架設的FTP伺服器埠為其他埠,比如22,則可以在「服務」選項卡下方點「添加」,輸入伺服器名稱和公網IP後,將外部埠號和內部埠號均填入22即可。
三、對IIS、Serv-u等伺服器軟體進行設置
除了依靠系統提供的安全措施外,就需要利用FTP伺服器端軟體本身的設置來提高整個伺服器的安全了。
1.IIS的安全性設置
1)及時安裝新補丁
對於IIS的安全性漏洞,可以說是「有口皆碑」了,平均每兩三個月就要出一兩個漏洞。所幸的是,微軟會根據新發現的漏洞提供相應的補丁,這就需要你不斷更新,安裝最新補丁。
2)將安裝目錄設置到非系統盤,關閉不需要的服務
一些惡意用戶可以通過IIS的溢出漏洞獲得對系統的訪問權。把IIS安放在系統分區上,會使系統文件與IIS同樣面臨非法訪問,容易使非法用戶侵入系統分區。另外,由於IIS是一個綜合性服務組件,每開設一個服務都將會降低整個服務的安全性,因而,對不需要的服務盡量不要安裝或啟動。
3)只允許匿名連接
FTP最大的安全漏洞在於其默認傳輸密碼的過程是明文傳送,很容易被人嗅探到。而IIS又是基於Windows用戶賬戶進行管理的,因而很容易泄漏系統賬戶名及密碼,如果該賬戶擁有一定管理許可權,則更會影響到整個系統的安全。設置為「只允許匿名連接」,可以免卻傳輸過程中泄密的危險。進入「默認FTP站點」,在屬性的「安全賬戶」選項卡中,將此選項選中。
4)謹慎設置主目錄及其許可權
IIS可以將FTP站點主目錄設為區域網中另一台計算機的共享目錄,但在區域網中,共享目錄很容易招致其他計算機感染的病毒攻擊,嚴重時甚至會造成整個區域網癱瘓,不到萬不得已,最好使用本地目錄並將主目錄設為NTFS格式的非系統分區中。這樣,在對目錄的許可權設置時,可以對每個目錄按不同組或用戶來設置相應的許可權。右擊要設置的目錄,進入「共享和安全→安全」中設置,如非必要,不要授予「寫入」許可權。
5)盡量不要使用默認埠號21
啟用日誌記錄,以備出現異常情況時查詢原因。
2.Serv-u的安全性設置
與IIS的FTP服務相比,Serv-u在安全性方面做得比較好。
1)對「本地伺服器」進行設置
首先,選中「攔截FTP_bounce攻擊和XP」。什麼是FXP呢?通常,當使用FTP協議進行文件傳輸時,客戶端首先向FTP伺服器發出一個「PORT」命令,該命令中包含此用戶的IP地址和將被用來進行數據傳輸的埠號,伺服器收到後,利用命令所提供的用戶地址信息建立與用戶的連接。大多數情況下,上述過程不會出現任何問題,但當客戶端是一名惡意用戶時,可能會通過在PORT命令中加入特定的地址信息,使FTP伺服器與其它非客戶端的機器建立連接。雖然這名惡意用戶可能本身無權直接訪問某一特定機器,但是如果FTP伺服器有權訪問該機器的話,那麼惡意用戶就可以通過FTP伺服器作為中介,仍然能夠最終實現與目標伺服器的連接。這就是FXP,也稱跨伺服器攻擊。選中後就可以防止發生此種情況。
其次,在「高級」選項卡中,檢查「加密密碼」和「啟用安全」是否被選中,如果沒有,選擇它們。「加密密碼」使用單向Hash函數(MD5)加密用戶口令,加密後的口令保存在ServUDaemon。ini或是注冊表中。如果不選擇此項,用戶口令將以明文形式保存在文件中:「啟用安全」將啟動Serv-u伺服器的安全成功。
2)對域中的伺服器進行設置
前面說過,FTP默認為明文傳送密碼,容易被人嗅探,對於只擁有一般許可權的賬戶,危險並不大,但如果該賬戶擁有遠程管理尤其是系統管理員許可權,則整個伺服器都會被別人遠程式控制制。Serv-u對每個賬戶的密碼都提供了以下三種安全類型:規則密碼、OTP S/KEY MD4和OTP S/KEY MD5。不同的類型對傳輸的加密方式也不同,以規則密碼安全性最低。進入擁有一定管理許可權的賬戶的設置中,在「常規」選項卡的下方找到「密碼類型」下拉列表框,選中第二或第三種類型,保存即可。注意,當用戶憑此賬戶登錄伺服器時,需要FTP客戶端軟體支持此密碼類型,如CuteFTP Pro等,輸入密碼時選擇相應的密碼類型方可通過伺服器驗證。
與IIS一樣,還要謹慎設置主目錄及其許可權,凡是沒必要賦予寫入等能修改伺服器文件或目錄許可權的,盡量不要賦予。最後,進入「設置」,在「日誌」選項卡中將「啟用記錄到文件」選中,並設置好日誌文件名及保存路徑、記錄參數等,以方便隨時查詢伺服器異常原因。
❺ 如何保護FTP伺服器
一)禁止匿名登錄。允許匿名訪問有時會導致被利用傳送非法文件。取消匿名登錄,只允許被預定義的用戶帳號登錄,配置被定義在FTP主目錄的ACL[訪問控制列表]來進行訪問控制,並使用NTFS許可證。
(二)設置訪問日誌。通過訪問日誌可以准確得到哪些IP地址和用戶訪問的准確紀錄。定期維護日誌能估計站點訪問量和找出安全威脅和漏洞。
(三)強化訪問控制列表。採用NTFS訪問許可,運用ACL[訪問控制列表]控制對您的FTP目錄的的訪問。
(四)設置站點為不可視。如您只需要用戶傳送文件到伺服器而不是從伺服器下載文件,可以考慮配置站點為不可視。這意味著用戶被允許從FTP目錄寫入文件不能讀取。這樣可以阻止未授權用戶訪問站點。要配置站點為不可視,應當在「站點」和「主目錄」設置訪問許可。
(五)使用磁碟配額。磁碟配額可能有效地限制每個用戶所使用的磁碟空間。授予用戶對自己上傳的文件的完全控制權。使用磁碟配額可以檢查用戶是否超出了使用空間,能有效地限制站點被攻破所帶來的破壞。並且,限制用戶能擁有的磁碟空間,站點將不會成為那些尋找空間共享媒體文件的黑客的目標。
(六)使用訪問時間限制。限制用戶只能在指定的日期的時間內才能登陸訪問站點。如果站點在企業環境中使用,可以限制只有在工作時間才能訪問服務請。下班以後就禁止登錄以保障安全。
(七)基於IP策略的訪問控制。FTP可以限制具體IP地址的訪問。限制只能由特定的個體才能訪問站點,可以減少未批准者登錄訪問的危險。
(八)審計登陸事件。審計帳戶登錄事件,能在安全日誌查看器里查看企圖登陸站點的(成功/失敗)事件,以警覺一名惡意用戶設法入侵的可疑活動。它也作為歷史記錄用於站點入侵檢測。
(九)使用安全密碼策略。復雜的密碼是採用終端用戶認證的安全方式。這是鞏固站點安全的一個關鍵部分,FTP用戶帳號選擇密碼時必須遵守以下規則:不包含用戶帳號名字的全部或部份;必須是至少6個字元長;包含英文大、小寫字元、數字和特殊字元等多個類別。
(十)限制登錄次數。Windows系統安全策略允許管理員當帳戶在規定的次數內未登入的情況下將帳戶鎖定。
❻ 如何讓FTP伺服器更保險
我理解的更保險是被安全的訪問,不易被攻破。有以下方向可以入手:
提供FTP服務的伺服器做好安全加固,消除安全隱患。比如關閉無關服務,過濾非必要埠訪問,帳戶密碼等等;
使用一款安全的FTP服務端軟體,並且要及時更新補丁
FTP訪問許可權的管理。以低許可權運行FTP服務、修改默認埠、設置用戶許可權、來源IP限制,流量連接數限制等等
FTP資源目錄的管理。將FTP放在一個獨立的分區或磁碟,並設置低文件許可權(如Linux,可以設定某個分區不可運行可執行文件,只讀等)。可避免磁碟爆滿伺服器掛了,也可避免一些上傳並可執行文件的隱患
由於FTP是明文傳輸,數據存在被截獲的可能,所以可以使用sftp替代
如果內部使用的FTP,甚至可以套一層VPN。FTP服務只對內網開放,只能通過VPN接入內網,就可以嚴格限定使用對象了
暫時想到這些,希望對你有用。
❼ 如何提高FTP伺服器安全性
一、禁止系統級別用戶來登錄FTP伺服器。
為了提高FTP伺服器的安全,系統管理員最好能夠為員工設置單獨的FTP帳號,而不要把系統級別的用戶給普通用戶來使用,這會帶來很大的安全隱患。在VSFTP伺服器中,可以通過配置文件vsftpd.ftpusers來管理登陸帳戶。不過這個帳戶是一個黑名單,列入這個帳戶的人員將無法利用其帳戶來登錄FTP伺服器。部署好VSFTP伺服器後,我們可以利用vi命令來查看這個配置文件,發現其已經有了許多默認的帳戶。其中,系統的超級用戶root也在其中。可見出於安全的考慮,VSFTP伺服器默認情況下就是禁止root帳戶登陸FTP伺服器的。如果系統管理員想讓root等系統帳戶登陸到FTP伺服器,則知需要在這個配置文件中將root等相關的用戶名刪除即可。不過允許系統帳戶登錄FTP伺服器,會對其安全造成負面的影響,為此我不建議系統管理員這么做。對於這個文件中相關的系統帳戶管理員最好一個都不要改,保留這些帳號的設置。
如果出於其他的原因,需要把另外一些帳戶也禁用掉,則可以把帳戶名字加入到這個文件中即可。如在伺服器上可能同時部署了FTP伺服器與資料庫伺服器。那麼為了安全起見,把資料庫管理員的帳戶列入到這個黑名單,是一個不錯的做法。
二、加強對匿名用戶的控制。
匿名用戶是指那些在FTP伺服器中沒有定義相關的帳戶,而FTP系統管理員為了便於管理,仍然需要他們進行登陸。但是他們畢竟沒有取得伺服器的授權,為了提高伺服器的安全性,必須要對他們的許可權進行限制。在VSFTP伺服器上也有很多參數可以用來控制匿名用戶的許可權。系統管理員需要根據FTP伺服器的安全級別,來做好相關的配置工作。需要說明的是,匿名用戶的許可權控制的越嚴格,FTP伺服器的安全性越高,但是同時用戶訪問的便利性也會降低。故最終系統管理員還是需要在伺服器安全性與便利性上取得一個均衡。
下面是我推薦的幾個針對匿名用戶的配置,大家若不清楚該如何配置的話,可以參考這些配置。這些配置兼顧了伺服器的安全與用戶的使用便利。
一是參數anon_world_readable_only。這個參數主要用來控制匿名用戶是否可以從FTP伺服器上下載可閱讀的文件。如果FTP伺服器部署在企業內部,主要供企業內部員工使用的話,則最好把這個參數設置為YES。然後把一些企業常用表格等等可以公開的文件放置在上面,讓員工在匿名的情況下也可以下載這些文件。這即不會影響到FTP伺服器的安全,而且也有利於其他員工操作的便利性上。
二是參數anon_upload_enable。這個參數表示匿名用戶能否在匿名訪問的情況下向FTP伺服器上傳文件。通常情況下,應該把這個參數設置為No。即在匿名訪問時不允許用戶上傳文件。否則的話,隨便哪個人都可以上傳文件的話,那對方若上傳一個病毒文件,那企業不是要遭殃了。故應該禁止匿名用戶上傳文件。但是這也有例外。如有些企業通過FTP協議來備份文件。此時如果企業網路的安全性有所保障的話,可以把這個參數設置為YES,即允許操作系統調用FTP命令往FTP伺服器上備份文件。
❽ Linux系統中如何提高VSFTP伺服器安全性
但是,安全問題也一直伴隨在FTP左右。如何防止攻擊者通過非法手段竊取FTP伺服器中的重要信息;如何防止攻擊者利用FTP伺服器來傳播木馬與病毒等等。這些都是系統管理員所需要關注的問題。這次我就已Linux操作系統平台上使用的最廣泛的VSFTP為例,談談如何來提高FTP伺服器的安全性。 一、禁止系統級別用戶來登錄FTP伺服器 為了提高FTP伺服器的安全,系統管理員最好能夠為員工設置單獨的FTP帳號,而不要把系統級別的用戶給普通用戶來使用,這會帶來很大的安全隱患。在VSFTP伺服器中,可以通過配置文件vsftpd.ftpusers來管理登陸帳戶。不過這個帳戶是一個黑名單,列入這個帳戶的人員將無法利用其帳戶來登錄FTP伺服器。部署好VSFTP伺服器後,我們可以利用vi命令來查看這個配置文件,發現其已經有了許多默認的帳戶。其中,系統的超級用戶root也在其中。可見出於安全的考慮,VSFTP伺服器默認情況下就是禁止root帳戶登陸FTP伺服器的。如果系統管理員想讓root等系統帳戶登陸到FTP伺服器,則知需要在這個配置文件中將root等相關的用戶名刪除即可。不過允許系統帳戶登錄FTP伺服器,會對其安全造成負面的影響,為此我不建議系統管理員這么做。對於這個文件中相關的系統帳戶管理員最好一個都不要改,保留這些帳號的設置。 如果出於其他的原因,需要把另外一些帳戶也禁用掉,則可以把帳戶名字加入到這個文件中即可。如在伺服器上可能同時部署了FTP伺服器與資料庫伺服器。那麼為了安全起見,把資料庫管理員的帳戶列入到這個黑名單,是一個不錯的做法。 匿名用戶是指那些在FTP伺服器中沒有定義相關的帳戶,而FTP系統管理員為了便於管理,仍然需要他們進行登陸。但是他們畢竟沒有取得伺服器的授權,為了提高伺服器的安全性,必須要對他們的許可權進行限制。在VSFTP伺服器上也有很多參數可以用來控制匿名用戶的許可權。系統管理員需要根據FTP伺服器的安全級別,來做好相關的配置工作。需要說明的是,匿名用戶的許可權控制的越嚴格,FTP伺服器的安全性越高,但是同時用戶訪問的便利性也會降低。故最終系統管理員還是需要在伺服器安全性與便利性上取得一個均衡。 一是參數anon_world_readable_only。這個參數主要用來控制匿名用戶是否可以從FTP伺服器上下載可閱讀的文件。如果FTP伺服器部署在企業內部,主要供企業內部員工使用的話,則最好把這個參數設置為YES。然後把一些企業常用表格等等可以公開的文件放置在上面,讓員工在匿名的情況下也可以下載這些文件。這即不會影響到FTP伺服器的安全,而且也有利於其他員工操作的便利性上。 二是參數anon_upload_enable。這個參數表示匿名用戶能否在匿名訪問的情況下向FTP伺服器上傳文件。通常情況下,應該把這個參數設置為No。即在匿名訪問時不允許用戶上傳文件。否則的話,隨便哪個人都可以上傳文件的話,那對方若上傳一個病毒文件,那企業不是要遭殃了。故應該禁止匿名用戶上傳文件。但是這也有例外。如有些企業通過FTP協議來備份文件。此時如果企業網路的安全性有所保障的話,可以把這個參數設置為YES,即允許操作系統調用FTP命令往FTP伺服器上備份文件。在這種情況下,為了簡化備份程序的部署,往往採用匿名訪問。故需要在FTP伺服器上允許匿名用戶上傳文件。 三是參數anon_other_write_enable與參數anon_mkdir_write_enable。這兩個參數主要涉及到匿名用戶的一些比較高級的許可權。如第一個參數表示匿名用戶具有上傳和建立子目錄之外的許可權,如可以更改FTP伺服器上文件的名字等等。而第二個參數則表示匿名用戶可以在特定的情況下建立子目錄。這些功能都會影響到FTP伺服器的安全與文件的安全。為此除非有特別需要的原因,否則的話都應該把這些許可權禁用掉。即把這些參數的值設置為NO。我認為,除非FTP伺服器是系統管理員拿來玩玩的,可以開啟這些參數。否則的話,還是把這些參數設置為NO為好,以提高FTP伺服器的安全。 三、做好目錄的控制 通常情況下,系統管理員需要為每個不同的用戶設置不同的根目錄。而為安全起見,不讓不同用戶之間進行相互的干擾,則系統管理員需要設置不讓用戶可以訪問其他用戶的根目錄。如有些企業為每個部門設置了一個FTP帳戶,以利於他們交流文件。那麼銷售部門Sales有一個根目錄sales;倉庫部門有一個根目錄Ware。作為銷售員工來說,他們可以訪問自己根目錄下的任何子目錄,但是無法訪問倉庫用戶的根目錄Ware。如此的話,銷售部門員工也就無法訪問倉庫用戶的文件了。可見,通過限制用戶訪問根目錄以外的目錄,可以防止不同用戶之間相互干擾,以提高FTP伺服器上文件的安全。為了實現這個目的,可以把參數chroot_local_user設置為NO。如此設置後,所有在本地登陸的用戶都不可以進入根目錄之外的其他目錄。不過在進行這個控制的時候,最好能夠設置一個大家都可以訪問的目錄,以存放一些公共的文件。我們既要保障伺服器的安全,也不能夠因此影響到文件的正常共享交流。 四、進行傳輸速率的限制 有時候為了保障FTP伺服器的穩定運行,需要對其文件上傳下載的速率進行限制。如在同一台伺服器上,分別部署了FTP伺服器、郵件伺服器等等。為了這些應用服務能夠和平共處,就需要對其的最大傳輸速率進行控制。因為同一台伺服器的帶寬是有最大限制的。若某個應用服務佔用比較大的帶寬時,就會對其他應用服務產生不利的影響,甚至為導致其他應用服務無法正常相應用戶的需求。再如有時候FTP用途的不同,也需要設置最大速率的限制。如FTP同時作為文件備份與文件上傳下載等用途,那麼為了提高文件備份的效率,縮短備份時間就需要對文件上傳下載的速率進行最大值的限制。 為了實現傳輸速率的限制,系統管理員可以設置local_max_rate參數。默認情況下,這個參數是不啟用的,即沒有最大速率的限制。不過基於以上這些原因,我還是建議各位系統管理員在把FTP伺服器投入生產運營之前能夠先對這個參數進行設置。防止因為上傳下載耗用了過多的帶寬而對其他應用服務產生負面的影響。系統管理員需要在各個應用服務之間取得一個均衡,合理的分配帶寬。至少要保證各個應用服務能夠正常響應客戶的請求。另外在有可能的情況下,需要執行錯峰運行。如在一台主機上同時部署有郵件伺服器與FTP伺服器。而FTP伺服器主要用來進行文件備份。那麼為了防止文件備份對郵件收發產生不利影響(因為文件備份需要比較大的帶寬會在很大程度上降低郵件收發的速度),最好能夠把文件備份與郵件收發的高峰時期分開來。如一般情況下早上上班時是郵件收發的高峰時期,那就不要利用FTP服務來進行文件備份。而中午休息的時候一般收發郵件就比較少了。此時就可以利用FTP來進行文件備份。所以把FTP伺服器與其他應用服務錯峰運行,那麼就可以把這個速率設置的大一點,以提高FTP服務的運行效率。當然,這對系統管理員提出了比較高的要求。因為系統管理員需要分析各種應用,然後再結合伺服器的部署,來進行綜合的規劃。除非有更高的措施與更好的條件,否則的話對FTP伺服器進行最大速率傳輸是必須的。
❾ 部署FTP伺服器時如何保證各用戶之間的信息安全
使用AD域控,設置不同的賬號和訪問許可權,劃分文件夾的架構,如果有必要也可以設置多個FTP伺服器,實行不同部分使用不同的FTP伺服器,部門和部門之間網路隔離,避免賬號混用。