㈠ FTP連接被拒絕 怎麼辦
如果沒有輸入,依然不讓使用 FTP 命令,大概是安全軟體禁止了 FTP 的使用,也就是 1 樓說的。
如果你輸入地址了。
那麼請和該地址的管理員聯系。
㈡ 如何設置文件傳輸(FTP)伺服器
FreeBSD 系統中包含了 FTP 服務軟體, ftpd。這使得在 FreeBSD 上建立和管理 FTP 伺服器變得非常簡單。配置
最重要的配置步驟是決定允許哪些帳號訪問 FTP 伺服器。 一般的 FreeBSD 系統包含了一系列系統帳號分別用於執行不同的服務程序,但未知的用戶不應被允許登錄並使用這些帳號。 /etc/ftpusers 文件中, 列出了不允許通過 FTP 訪問的用戶。 默認情況下, 這包含了前述的系統帳號,但也可以在這里加入其它不應通過 FTP 訪問的用戶。 您可能會希望限制通過 FTP 登錄的某些用戶, 而不是完全阻止他們使用 FTP。 這可以通過 /etc/ftpchroot 文件來完成。 這一文件列出了希望對 FTP 訪問進行限制的用戶和組的表。 而在 ftpchroot 聯機手冊中, 已經對此進行了詳盡的介紹, 故而不再贅述。 如果您想要在伺服器上啟用匿名的 FTP 訪問, 則必須建立一個名為 ftp 的 FreeBSD 用戶。 這樣, 用戶就可以使用 ftp 或 anonymous 和任意的口令 (習慣上,應該是以那個用戶的郵件地址作為口令) 來登錄和訪問您的 FTP 伺服器。 FTP 伺服器將在匿名用戶登錄時調用 chroot,以便將其訪問限制在 ftp 用戶的主目錄中。 有兩個文本文件可以用來指定顯示在 FTP 客戶程序中的歡迎文字。 /etc/ftpwelcome 文件中的內容將在用戶連接上之後,在登錄提示之前顯示。 在成功的登錄之後, 將顯示 /etc/ftpmotd 文件中的內容。 請注意後者是相對於登錄環境的, 因此對於匿名用戶而言, 將顯示 ~ftp/etc/ftpmotd。 一旦正確地配置了 FTP 伺服器, 就必須在 /etc/inetd.conf 中啟用它。 這里需要做的全部工作就是將注釋符 「#」 從已有的 ftpd 行之前去掉:ftp stream tcp nowait root /usr/libexec/ftpd ftpd -l
在設置了上述變數之後,獨立的服務將在下次系統重啟的時候啟動, 或者通過以 root 身份手動執行如下的命令啟動:# /etc/rc.d/ftpd start
現在可以通過輸入下面的命令來登錄您的 FTP 伺服器了:% ftp localhost維護
ftpd 服務程序使用 syslog 來記錄消息。默認情況下, 系統日誌將把和 FTP 相關的消息記錄到 /var/log/xferlog 文件中。 FTP 日誌的位置, 可以通過修改 /etc/syslog.conf 中如下所示的行來修改:ftp.info /var/log/xferlog
一定要小心對待在匿名 FTP 伺服器中可能遇到的潛在問題。 一般而言,允許匿名用戶上傳文件應三思。 您可能發現自己的 FTP 站點成為了交易未經授權的商業軟體的論壇, 或發生更糟糕的情況。 如果不需要匿名的 FTP 上傳,可以在文件上配置許可權, 使得您能夠在其它匿名用戶能夠下載這些文件之前復查它們。 本文由廣州北大青鳥天河培訓中心整理發布。
㈢ 如何限制FTP用戶的目錄許可權
這個不是在FTP中設置的,到FTP對應的目錄中,找到具體的文件夾,例如C:FTP/file/,在file文件夾上右擊->屬性,點擊「安全」標簽,在「組或用戶名稱」中選擇對應的用戶,如XXX,然後在下面的「XXX的許可權」中,勾選【拒絕】「列出文件夾目錄」,確定即可。這樣就可以實現,訪問file中的單個文件,但是卻無法查看file中的所有文件了。
㈣ FTP伺服器無法訪問怎麼解決
區域網內計算機訪問FTP伺服器時,提示「無法訪問伺服器名稱或地址」,一般由三個原因造成:
一、防火牆未關閉
解決方法如下:
1、單擊屏幕左下角的」開始「菜單
2、在彈出菜單中單擊」控制面板「
3、點擊」系統和安全「
4、點擊」Winsows 防火牆「
5、單擊左側的」打開或關閉Windows防火牆「
6、在」家庭或工作網路位置設置「和」公用網路位置設置「兩項里選擇關閉防火牆,單擊」確定「即可。
二、設置有誤,FTP被動模式沒有禁止。
解決方法如下:
1、打開瀏覽器,點擊」工具「
2、在下拉菜單中點擊」Internet選項「
3、單擊」高級「,然後上下拉動滾動條查找」FTP被動模式「選項
4、去掉」使用被動FTP(為防火牆和DSL數據機兼容性)「前面的對號,然後單擊「確定」即可。
三、FTP伺服器設置了許可權限制
解決方法如下:
1、在桌面「計算機」圖標上單擊滑鼠右鍵,在彈出菜單中單擊「管理」
2、然後在「本地用戶和組」裡面添加訪問FTP伺服器的用戶,假設用戶為js
3、在FTP伺服器的主目錄根文件夾上右鍵,選擇「屬性」。在「安全標簽」下,單擊「編輯」,然後選擇「添加」,輸入剛才添加的用戶js單擊「確定」
4、選擇js,設置該用戶的許可權
5、打開「授權規則」
6、從右邊選擇「添加允許規則」,再設置一下js的許可權即可。
㈤ FTP連接不上是什麼原因
修改下面的設置,把勾去掉就解決了。
方法:
1、打開IE的菜單"工具"->"Internet 選項";
2、點擊「高級」標簽卡;
3、將「瀏覽」節點下的「使用被動FTP(為防火牆和DSL數據機兼容性)」前面的勾去掉。
㈥ 如何禁止FTP,如何封堵FTP,FTP通訊協議和埠范圍
添加防火牆入站規則,
windows上禁止20、21兩個埠就可以了。
linux上,還有22埠是給ssh工具用的,如果也想阻止,就一起禁止掉。
㈦ 編寫防火牆規則:禁止任何一台計算機訪問本機的ftp服務
控制面板」--「Windows防火牆」--「高級」--將「FTP伺服器」框框不打鉤就行了
㈧ 為何遠程防問FTP提示是否有許可權訪問該文件
因為FTP服務上有一個用戶許可權管理,一般有三種許可權:
FTP為了安全需要會給文件、文件夾設置許可權,一般會使用到777, 755, 644 三種許可權:
777:所有者可讀可寫可執行。
775:與文件所有者同屬一個組的其他用戶可讀可執行。
644:所有者可讀可寫,其他用戶可讀。
一般默認匿名用戶為禁止,所以,如果以匿名用戶連接FTP的話,就會出現無法讀、寫,就會出現這個提示了。
㈨ FTP的防範與攻擊如何實現
------------------------FTP安全考慮—RFC2577----------------------------------
1.簡介
文件傳輸協議規范(FTP)[PR85]提供了一種允許客戶端建立FTP控制連接並在兩台
FTP伺服器間傳輸文件的機制。這種「代理FTP」機制可以用來減少網路的流量,客戶端命
令一台伺服器傳輸文件給另一台伺服器,而不是從第一台伺服器傳輸文件給客戶端,然後從
客戶端再傳輸給第二台伺服器。當客戶端連接到網路的速度特別慢時,這是非常有用的。但
同時,代理FTP還帶來了一個安全問題——「跳轉攻擊(bounce attack)」[CERT97:27]。除
了「跳轉攻擊」,FTP伺服器還可以被攻擊者通過強力來猜測密碼。
本文檔並不考慮當FTP和一些強壯的安全協議(比如IP安全)聯合使用的情況。雖然
這些安全關注並不在本文檔的考慮范圍內,但是它們也應該被寫成文檔。
本文給FTP伺服器的實現者和系統管理員提供了一些信息,如下所示。第二章描述了
FTP「跳轉攻擊」。第三章提供了減少「跳轉攻擊」的建議。第四章給基於網路地址限制訪
問的伺服器提供了建議。第五章提供了限制客戶端強力「猜測密碼」的建議。接著,第六章
簡單的討論了改善保密性的機制。第七章給出了阻止猜測用戶身份的機制。第八章討論了端
口盜用。最後,第九章討論了其它跟軟體漏洞有關而跟協議本身無關的FTP安全問題。
2.跳轉攻擊(Bounce Attack)
RFC959[PR85]中規定的FTP規范提供了一種攻擊知名網路伺服器的一種方法,並且使
攻擊者很難被跟蹤。攻擊者發送一個FTP"PORT"命令給目標FTP伺服器,其中包含該主機
的網路地址和被攻擊的服務的埠號。這樣,客戶端就能命令FTP伺服器發一個文件給被
攻擊的服務。這個文件可能包括根被攻擊的服務有關的命令(如SMTP,NNTP等)。由於是
命令第三方去連接到一種服務,而不是直接連接,就使得跟蹤攻擊者變得困難,並且還避開
了基於網路地址的訪問限制。
例如,客戶端上載包含SMTP命令的報文到FTP伺服器。然後,使用正確的PORT命
令,客戶端命令伺服器打開一個連接給第三方機器的SMTP埠。最後,客戶端命令服務
器傳輸剛才上載的包含SMTP命令的報文給第三方機器。這就使得客戶端不建立任何直接
的連接而在第三方機器上偽造郵件,並且很難跟蹤到這個攻擊者。
3.避免跳轉攻擊
原來的FTP規范[PR85]假定使用TCP進行數據鏈接,TCP埠號從0到1023時報留給
一些眾所周知的服務的,比如郵件,網路新聞和FTP控制鏈接。FTP規范對數據鏈接沒有
限制TCP埠號。因此,使用代理FTP,客戶端就可以命令伺服器去攻擊任何機器上眾所
周知的服務。
為了避免跳轉攻擊,伺服器最好不要打開數據鏈接到小於1024的TCP埠號。如果服
務器收到一個TCP埠號小於1024的PORT命令,那麼可以返回消息504(對這種參數命
令不能實現)。但要注意這樣遺留下那些不知名服務(埠號大於1023)易受攻擊。
一些建議(例如[AOM98]和[Pis94])提供了允許使用除了TCP以外的其他傳輸協議來
建立數據連接的機制。當使用這些協議時,同樣要注意採用類似的防範措施來保護眾所周知
的服務。
另外,我們注意到跳轉攻擊一般需要攻擊者首先上載一個報文到FTP伺服器然後再下
載到准備攻擊的服務埠上。使用適當的文件保護措施就可以阻止這種情況發生。然而攻擊
者也可能通過從遠程FTP伺服器發送一些能破壞某些服務的數據來攻擊它。
禁止使用PORT命令也是避免跳轉攻擊的一種方法。大多數文件傳輸可以僅通過PASV
命令來實現。但這樣做的缺點就是喪失了使用代理FTP的能力,當然代理FTP並不是在所
有場合都需要的。
4.受限制的訪問
一些FTP伺服器希望有基於網路地址的訪問控制。例如,伺服器可能希望限制來自某
些地點的對某些文件的訪問(例如為了某些文件不被傳送到組織以外)。在這種情況下,服
務器在發送受限制的文件之前應該首先確保遠程主機的網路地址在本組織的范圍內,不管是
控制連接還是數據連接。通過檢查這兩個連接,伺服器就被保護避免了這種情況:控制連接
用一台可信任的主機連接而數據連接不是。同樣的,客戶也應該在接受監聽模式下的開放端
口連接後檢察遠程主機的IP地址,以確保連接是由所期望的伺服器建立的。
注意,基於網路地址的受限訪問留下了FTP伺服器易受「地址盜用(spoof)」攻擊。在
spoof攻擊中,攻擊機器可以冒用在組織內的機器的網路地址,從而將文件下載到在組織之
外的未授權的機器上。只要可能,就應該使用安全鑒別機制,比如在[HL97]中列出的安全鑒
別機制。
5.保護密碼
為了減少通過FTP伺服器進行強力密碼猜測攻擊的風險,建議伺服器限制嘗試發送正
確的密碼的次數。在幾次嘗試(3~5次)後,伺服器應該結束和該客戶的控制連接。在結束
控制連接以前,伺服器必須給客戶端發送一個返回碼421(「服務不可用,關閉控制連接」
[PR85])。另外,伺服器在相應無效的「PASS」命令之前應暫停幾秒來消減強力攻擊的有效
性。若可能的話,目標操作系統提供的機制可以用來完成上述建議。
攻擊者可能通過與伺服器建立多個、並行的控制連接破壞上述的機制。為了搏擊多個並
行控制連接的使用,伺服器可以限制控制連接的最大數目,或探查會話中的可疑行為並在以
後拒絕該站點的連接請求。然而上述兩種措施又引入了「服務否決」攻擊,攻擊者可以故意
的禁止有效用戶的訪問。
標准FTP[PR85]在明文文本中使用「PASS」命令發送密碼。建議FTP客戶端和伺服器
端使用備用的鑒別機制,這種鑒別機制不會遭受竊聽。比如,IETF公共鑒別技術工作組開
發的機制[HL97]。
6.私密性
在FTP標准中[PR85]中,所有在網路上被傳送的數據和控制信息(包括密碼)都未被
加密。為了保障FTP傳輸數據的私密性,應盡可能使用強壯的加密系統。在[HL97]中定義
了一個這樣的機制。
7.保護用戶名
當「USER」命令中的用戶名被拒絕時,在FTP標准中[PR85]中定義了相應的返回碼530。
而當用戶名是有效的但卻需要密碼,FTP將使用返回碼331。為了避免惡意的客戶利用USER
操作返回的碼確定一個用戶名是否有效,建議伺服器對USER命令始終返回331,然後拒絕
對無效用戶名合並用戶名和密碼。
8.埠盜用
許多操作系統以遞增的順序動態的分配埠號。通過合法的傳輸,攻擊者能夠觀察當前
由伺服器端分配的埠號,並「猜」出下一個即將使用的埠號。攻擊者可以與這個埠建
立連接,然後就剝奪了下一個合法用戶進行傳輸的能力。或者,攻擊者可以盜取給合法用戶
的文件。另外,攻擊者還可能在從授權用戶發出的數據流中插入偽造的文件。通過使FTP
客戶和伺服器隨機的給數據連接分配埠號,或者要求操作系統隨機分配埠號,或者使用
與系統無關的機制都可以減少埠盜用的發生。
9.基於軟體的安全問題
本文檔的重點是和協議相關的安全問題。另外還有一些成文的FTP安全問題是由於不
完善的FTP實現造成的。雖然這種類型的問題的細節超出本文檔的范圍,還是有必要指出
以下那些過去曾被誤用,今後的實現應該慎重考慮的FTP特性。
? 匿名FTP
匿名FTP服務使客戶端用最少的證明連接到FTP伺服器分享公共文件。如果這樣的用
戶能夠讀系統上所有的文件或者能建立文件,那麼問題就產生了。[CERT92:09] [CERT93:06]
? 執行遠程命令
FTP擴展命令"SITE EXEC"允許客戶端執行伺服器上任意的命令。這種特性顯然需要非
常小心的實現。已經有幾個成文的例子說明攻擊者利用FTP「SITE EXEC」命令可以破壞服
務器的安全性。[CERT94:08] [CERT95:16]
? 調試代碼
前面的一些跟FTP有關危及安全的問題是由於置入了調試特性的軟體造成的。
[CERT88:01]
本文建議有這些功能的FTP伺服器的實現者在發布軟體之前參閱所有的CERT有關這
些問題的攻擊以及類似機制的忠告。
10.結論
使用以上建議可以減少和FTP伺服器有關的安全問題的發生,而不用刪除其功能。