安全的ftp服務

① 如何打造安全穩定的FTP伺服器

一、操作系統的選擇

FTP伺服器首先是基於操作系統而運作的，因而操作系統本身的安全性就決定了FTP伺服器安全性的級別。雖然Windows 98／Me一樣可以架設FTP伺服器，但由於其本身的安全性就不強，易受攻擊，因而最好不要採用。Windows NT就像雞肋，不用也罷。最好採用Windows 2000及以上版本，並記住及時打上補丁。至於Unix、Linux，則不在討論之列。

二、使用防火牆

埠是計算機和外部網路相連的邏輯介面，也是計算機的第一道屏障，埠配置正確與否直接影響到主機的安全，一般來說，僅打開你需要使用的埠，將其他不需要使用的埠屏蔽掉會比較安全。限制埠的方法比較多，可以使用第三方的個人防火牆，如天網個人防火牆等，這里只介紹Windows自帶的防火牆設置方法。

1.利用TCP/IP篩選功能

在Windows ?2000和Windows XP中，系統都帶有TCP/IP篩選功能，利用它可以簡單地進行埠設置。以Windows XP為例，打開「本地連接」的屬性，在「常規」選項中找到「Internet協議（TCP/IP）」，雙擊它打開該協議的屬性設置窗口。點擊右下方的「高級」按鈕，進入「高級TCP/IP設置」。在「選項」中選中「TCP/IP篩選」並雙擊進入其屬性設置。這里我們可以設置系統只允許開放的埠，假如架設的FTP伺服器埠為21，先選中「啟用TCP/IP篩選（所有適配器）」，再在TCP埠選項中選擇「只允許」，點「添加」，輸入埠號21，確定即可。這樣，系統就只允許打開21埠。要開放其他埠，繼續添加即可。這可以有效防止最常見的139埠入侵。缺點是功能過於簡單，只能設置允許開放的埠，不能自定義要關閉的埠。如果你有大量埠要開放，就得一個個地去手工添加，比較麻煩。

2.打開Internet連接防火牆

對於Windows XP系統，自帶了「Internet連接防火牆」功能，與TCP/IP篩選功能相比，設置更方便，功能更強大。除了自帶防火牆埠開放規則外，還可以自行增刪。在控制面板中打開「網路連接」，右擊撥號連接，進入「高級」選項卡，選中「通過限制或阻止來自Internet的對此計算機的訪問來保護我的計算機和網路」，啟用它。系統默認狀態下是關閉了FTP埠的，因而還要設置防火牆，打開所使用的FTP埠。點擊右下角的「設置」按鈕進入「高級設置」，選中「FTP伺服器」，編輯它。由於FTP服務默認埠是21，因而除了IP地址一欄外，其餘均不可更改。在IP地址一欄中填入伺服器公網ＩＰ，確定後退出即可即時生效。如果架設的FTP伺服器埠為其他埠，比如22，則可以在「服務」選項卡下方點「添加」，輸入伺服器名稱和公網IP後，將外部埠號和內部埠號均填入22即可。

三、對IIS、Serv-u等伺服器軟體進行設置

除了依靠系統提供的安全措施外，就需要利用FTP伺服器端軟體本身的設置來提高整個伺服器的安全了。

1.IIS的安全性設置

1）及時安裝新補丁

對於IIS的安全性漏洞，可以說是「有口皆碑」了，平均每兩三個月就要出一兩個漏洞。所幸的是，微軟會根據新發現的漏洞提供相應的補丁，這就需要你不斷更新，安裝最新補丁。

2）將安裝目錄設置到非系統盤，關閉不需要的服務

一些惡意用戶可以通過IIS的溢出漏洞獲得對系統的訪問權。把IIS安放在系統分區上，會使系統文件與IIS同樣面臨非法訪問，容易使非法用戶侵入系統分區。另外，由於IIS是一個綜合性服務組件，每開設一個服務都將會降低整個服務的安全性，因而，對不需要的服務盡量不要安裝或啟動。

3）只允許匿名連接

FTP最大的安全漏洞在於其默認傳輸密碼的過程是明文傳送，很容易被人嗅探到。而IIS又是基於Windows用戶賬戶進行管理的，因而很容易泄漏系統賬戶名及密碼，如果該賬戶擁有一定管理許可權，則更會影響到整個系統的安全。設置為「只允許匿名連接」，可以免卻傳輸過程中泄密的危險。進入「默認FTP站點」，在屬性的「安全賬戶」選項卡中，將此選項選中。

4）謹慎設置主目錄及其許可權

IIS可以將FTP站點主目錄設為區域網中另一台計算機的共享目錄，但在區域網中，共享目錄很容易招致其他計算機感染的病毒攻擊，嚴重時甚至會造成整個區域網癱瘓，不到萬不得已，最好使用本地目錄並將主目錄設為ＮＴＦＳ格式的非系統分區中。這樣，在對目錄的許可權設置時，可以對每個目錄按不同組或用戶來設置相應的許可權。右擊要設置的目錄，進入「共享和安全→安全」中設置，如非必要，不要授予「寫入」許可權。

5）盡量不要使用默認埠號21

啟用日誌記錄，以備出現異常情況時查詢原因。

2.Serv-u的安全性設置

與IIS的FTP服務相比，Serv-u在安全性方面做得比較好。

1）對「本地伺服器」進行設置

首先，選中「攔截FTP＿bounce攻擊和XP」。什麼是ＦXP呢？通常，當使用FTP協議進行文件傳輸時，客戶端首先向FTP伺服器發出一個「PORT」命令，該命令中包含此用戶的IP地址和將被用來進行數據傳輸的埠號，伺服器收到後，利用命令所提供的用戶地址信息建立與用戶的連接。大多數情況下，上述過程不會出現任何問題，但當客戶端是一名惡意用戶時，可能會通過在PORT命令中加入特定的地址信息，使FTP伺服器與其它非客戶端的機器建立連接。雖然這名惡意用戶可能本身無權直接訪問某一特定機器，但是如果FTP伺服器有權訪問該機器的話，那麼惡意用戶就可以通過FTP伺服器作為中介，仍然能夠最終實現與目標伺服器的連接。這就是ＦXP，也稱跨伺服器攻擊。選中後就可以防止發生此種情況。

其次，在「高級」選項卡中，檢查「加密密碼」和「啟用安全」是否被選中，如果沒有，選擇它們。「加密密碼」使用單向Hash函數（MD5）加密用戶口令，加密後的口令保存在ServUDaemon。ini或是注冊表中。如果不選擇此項，用戶口令將以明文形式保存在文件中：「啟用安全」將啟動Serv-u伺服器的安全成功。

2）對域中的伺服器進行設置

前面說過，FTP默認為明文傳送密碼，容易被人嗅探，對於只擁有一般許可權的賬戶，危險並不大，但如果該賬戶擁有遠程管理尤其是系統管理員許可權，則整個伺服器都會被別人遠程式控制制。Serv-u對每個賬戶的密碼都提供了以下三種安全類型：規則密碼、OTP S／KEY MD4和OTP S／KEY MD5。不同的類型對傳輸的加密方式也不同，以規則密碼安全性最低。進入擁有一定管理許可權的賬戶的設置中，在「常規」選項卡的下方找到「密碼類型」下拉列表框，選中第二或第三種類型，保存即可。注意，當用戶憑此賬戶登錄伺服器時，需要FTP客戶端軟體支持此密碼類型，如CuteFTP Pro等，輸入密碼時選擇相應的密碼類型方可通過伺服器驗證。

與IIS一樣，還要謹慎設置主目錄及其許可權，凡是沒必要賦予寫入等能修改伺服器文件或目錄許可權的，盡量不要賦予。最後，進入「設置」，在「日誌」選項卡中將「啟用記錄到文件」選中，並設置好日誌文件名及保存路徑、記錄參數等，以方便隨時查詢伺服器異常原因。

② 如何在windows下面通過ssh建立安全的ftp伺服器

Windows提供了一些遠程管理功能，像使用Windows PowerShell，ServerManager.exe，或一個telnet伺服器，但它並沒有提供原生的SSH(安全外殼)或Secure FTP訪問。
不過，好消息是它是相當容易成立SSH和安全FTP(SFTP)伺服器，讓您可以安全地訪問命令提示符和文件的電腦或遠程伺服器示例使用的情況下，包括故障排除，維修，或轉移/共享文件，當你走出辦公室。你甚至可以決定設置它做SSH隧道，以確保你的Wi-Fi流量使用熱點時。

雖然有很多SSH和SFTP伺服器可供選擇，在這里我們將討論freeSSHd以下。freeSSH中是一個SSH和Telnet伺服器，支持普通的shell或命令行SSH訪問，基於SSH的SFTP訪問(使用命令行或GUI客戶端)，基於SSH隧道(VPN一樣的功能)。
freeSSH中很容易通過一個典型的Windows安裝程序安裝。做雖然確保創建上面的安裝結束時，因為它們所需的加密的私鑰。

配置伺服器
一旦你打開freeSSHd以下，你會發現一個系統托盤圖標，你可以單擊「打開伺服器設置。如果你沒有在安裝過程中創建的私鑰SSH選項卡並單擊「新建」的關鍵()。否則，你應該做的，為了獲得伺服器運行的是創建一些用戶通過點擊「用戶」選項卡。
為了使你的SSH伺服器更加安全，考慮強迫用戶進行身份驗證，通過自己的密碼加上一個私鑰，他們必須在他們的PC連接時，在他們的客戶端程序配置。
如果你知道將遠程連接到伺服器 - 如果它總是會從另一間辦公室，有一個靜態IP，例如 - 你也可以考慮遠程IP地址白名單，以提高伺服器的安全性。要做到這一點，只需點擊「主機限制」選項卡，並輸入IP地址。
如果您打算使用SFTP連接來傳輸文件，單擊SFTP選項卡，為用戶指定一個默認路徑。

測試伺服器
在打開你的防火牆上的SSH埠，可以測試伺服器從客戶端程序連接同一台PC上使用本地主機的主機地址或IP地址的PC。您可以使用標準的SSH和SFTP客戶端，如膩子，WinSCP賦予或FileZilla的。

打開防火牆
為了從其他電腦SSH埠22必須打開Windows防火牆或任何其他你可能已經安裝了個人防火牆訪問SSH伺服器。您可能已提醒有關允許或禁止訪問，當你第一次運行freeSSH中。如果沒有，你就無法通過SSH連接其他電腦，仔細檢查防火牆的設置。
如果你打算通過互聯網連接到SSH伺服器，路由器和網路PC連接必須被配置為允許訪問。在路由器中，您可以使用虛擬伺服器或埠轉發設置打開SSH埠22和前瞻性的PC主機的SSH伺服器的IP地址的流量。

③ 什麼是ftp主要的安全問題

ftp主要的安全問題是破壞程序能夠在伺服器端運行。
ftp文件傳輸協議是用於在網路上進行文件傳輸的一套標准協議，它工作在OSI模型的第七層，TCP模型的第四層，即應用層，使用TCP傳輸而不是UDP。客戶在和伺服器建立連接前要經過一個「三次握手」的過程，保證客戶與伺服器之間的連接是可靠的，而且是面向連接，為數據傳輸提供可靠保證。FTP允許用戶以文件操作的方式與另一主機相互通信。然而用戶並不真正登錄到自己想要存取的計算機上面而成為完全用戶，可用FTP程序訪問遠程資源，實現用戶往返傳輸文件、目錄管理以及訪問電子郵件等等，即使雙方計算機可能配有不同的操作系統和文件存儲方式。
更多關於什麼是ftp主要的安全問題，進入：https://m.abcgonglue.com/ask/4325cd1615836422.html?zd查看更多內容

④ Linux系統下FTP伺服器如何實現安全性

作為Internet上的FTP伺服器，系統的安全性是非常重要的，這是建立FTP伺服器者所考慮的第一個問題。其安全性主要包括以下幾個方面：

一、未經授權的用戶禁止在伺服器上進行FTP操作。

二、FTP用戶不能讀取未經系統所有者允許的文件或目錄。

三、未經允許，FTP用戶不能在伺服器上建立文件或目錄.

四、FTP用戶不能刪除伺服器上的文件或目錄。

FTP伺服器採取了一些驗明用戶身份的辦法來解決上述第一個問題，主要包括以下幾個措施：

FTP用戶所使用的用戶帳號必須在／etc/passwd文件中有所記載（匿名FTP用戶除外），並且他的口令不能為空。在沒有正確輸入用戶帳號和口令的情況下，伺服器拒絕訪問。

FTP守護進程FTPd還使用一個/etc/FTPusers文件，凡在這個文件中出現的用戶都將被伺服器拒絕提供FTP服務。伺服器管理可以建立"不受歡迎"的用戶目錄，拒絕這些用戶訪問。

只有在伺服器的／etc/passwd文件中存在名為"FTP"的用戶時，伺服器才可以接受匿名FTP連接，匿名FTP用戶可以用"anonymous"或"FTP"作為用戶名，自己的Internet電子郵件地址作為保密字。為了解決上述安全性的另外三個問題，應該對FTP主目錄下的文件屬性進行管理，建議對每個目錄及其文件採取以下一些措施：

FTP主目錄：將這個目錄的所有者設為"FTP"，並且將屬性設為所有的用戶都不可寫，防止不懷好意的用戶刪改文件。

FTP/bin目錄：該目錄主要放置一些系統文件，應將這個目錄的所有者設為"root"（即超級用戶），並且將屬性設為所有的用戶都不可寫。為保證合法用戶可顯示文件，應將目錄中的ls文件屬性設為可執行。

FTP/etc目錄：將這個目錄的所有者設為"root"，並且將屬性設為所有的用戶都不可寫。將目錄下的group文件和passwd文件的屬性設為所有用戶只讀屬性，並用編輯器將passwd文件中用戶加過密的口令刪掉。

FTP/pub目錄：將這個目錄的所有者置為"FTP"，並且將它的屬性設為所有用戶均可讀、寫、執行。

這樣經過設置，既保證了系統文件不被刪改，又保證了FTP合法用戶的正常訪問

⑤ 請問如何保證FTP伺服器的安全

其安全性主要包括以下幾個方面：
一、 未經授權的用戶禁止在伺服器上進行FTP操作。
二、 FTP用戶不能讀取未經系統所有者允許的文件或目錄。
三、 未經允許，FTP用戶不能在伺服器上建立文件或目錄。
四、 FTP用戶不能刪除伺服器上的文件或目錄。
FTP伺服器採取了一些驗明用戶身份的辦法來解決上述第一個問題，主要包括以下幾個措施：
FTP主目錄：將這個目錄的所有者設為"FTP"，並且將屬性設為所有的用戶都不可寫，防止不懷好意的用戶刪改文件。
FTP/bin目錄：該目錄主要放置一些系統文件，應將這個目錄的所有者設為"root"（即超級用戶），並且將屬性設為所有的用戶都不可寫。為保證合法用戶可顯示文件，應將目錄中的ls文件屬性設為可執行。
FTP/etc目錄：將這個目錄的所有者設為"root"，並且將屬性設為所有的用戶都不可寫。將目錄下的group文件和passwd文件的屬性設為所有用戶只讀屬性，並用編輯器將passwd文件中用戶加過密的口令刪掉。
###NextPage### FTP/pub目錄：將這個目錄的所有者置為"FTP"，並且將它的屬性設為所有用戶均可讀、寫、執行。
這樣經過設置，既保證了系統文件不被刪改，又保證了FTP合法用戶的正常訪問。
作為Internet上的FTP伺服器，系統的安全性是非常重要的，這是建立FTP伺服器者所考慮的第一個問題。其安全性主要包括以下幾個方面：
一、 未經授權的用戶禁止在伺服器上進行FTP操作。
二、 FTP用戶不能讀取未經系統所有者允許的文件或目錄。
三、 未經允許，FTP用戶不能在伺服器上建立文件或目錄。
四、 FTP用戶不能刪除伺服器上的文件或目錄。
FTP伺服器採取了一些驗明用戶身份的辦法來解決上述第一個問題，主要包括以下幾個措施：
FTP主目錄：將這個目錄的所有者設為"FTP"，並且將屬性設為所有的用戶都不可寫，防止不懷好意的用戶刪改文件。
FTP/bin目錄：該目錄主要放置一些系統文件，應將這個目錄的所有者設為"root"（即超級用戶），並且將屬性設為所有的用戶都不可寫。為保證合法用戶可顯示文件，應將目錄中的ls文件屬性設為可執行。
FTP/etc目錄：將這個目錄的所有者設為"root"，並且將屬性設為所有的用戶都不可寫。將目錄下的group文件和passwd文件的屬性設為所有用戶只讀屬性，並用編輯器將passwd文件中用戶加過密的口令刪掉。
FTP/pub目錄：將這個目錄的所有者置為"FTP"，並且將它的屬性設為所有用戶均可讀、寫、執行。
這樣經過設置，既保證了系統文件不被刪改，又保證了FTP合法用戶的正常訪問。

⑥ 如何讓FTP伺服器更保險

我理解的更保險是被安全的訪問，不易被攻破。有以下方向可以入手：

1. 提供FTP服務的伺服器做好安全加固，消除安全隱患。比如關閉無關服務，過濾非必要埠訪問，帳戶密碼等等；

2. 使用一款安全的FTP服務端軟體，並且要及時更新補丁

3. FTP訪問許可權的管理。以低許可權運行FTP服務、修改默認埠、設置用戶許可權、來源IP限制，流量連接數限制等等

4. FTP資源目錄的管理。將FTP放在一個獨立的分區或磁碟，並設置低文件許可權(如Linux，可以設定某個分區不可運行可執行文件，只讀等）。可避免磁碟爆滿伺服器掛了，也可避免一些上傳並可執行文件的隱患

5. 由於FTP是明文傳輸，數據存在被截獲的可能，所以可以使用sftp替代

6. 如果內部使用的FTP，甚至可以套一層VPN。FTP服務只對內網開放，只能通過VPN接入內網，就可以嚴格限定使用對象了

暫時想到這些，希望對你有用。

⑦ 如何保證文件傳輸伺服器FTP的安全

，系統的安全性是非常重要的，這是建立FTP伺服器者所考慮的第一個問題。其安全性主要包括以下幾個方面：一、 未經授權的用戶禁止在伺服器上進行FTP操作。
二、 FTP用戶不能讀取未經系統所有者允許的文件或目錄。
三、 未經允許，FTP用戶不能在伺服器上建立文件或目錄。
四、 FTP用戶不能刪除伺服器上的文件或目錄。
只有在伺服器的／etc/passwd文件中存在名為"FTP"的用戶時，伺服器才可以接受匿名FTP連接，匿名FTP用戶可以使用"anonymous"或"FTP"作為用戶名，自己的Internet電子郵件地址作為保密字。為了解決上述安全性的另外三個問題，應該對FTP主目錄下的文件屬性進行管理，建議對每個目錄及其文件採取以下一些措施：FTP主目錄：將這個目錄的所有者設為"FTP"，並且將屬性設為所有的用戶都不可寫，防止不懷好意的用戶刪改文件。
FTP/bin目錄：該目錄主要放置一些系統文件，應將這個目錄的所有者設為"root"（即超級用戶），並且將屬性設為所有的用戶都不可寫。為保證合法用戶可顯示文件，應將目錄中的ls文件屬性設為可執行。
FTP/etc目錄：將這個目錄的所有者設為"root"，並且將屬性設為所有的用戶都不可寫。將目錄下的group文件和passwd文件的屬性設為所有用戶只讀屬性，並用編輯器將passwd文件中用戶加過密的口令刪掉。
###NextPage###FTP/pub目錄：將這個目錄的所有者置為"FTP"，並且將它的屬性設為所有用戶均可讀、寫、執行。
這樣經過設置，既保證了系統文件不被刪改，又保證了FTP合法用戶的正常訪問。
作為Internet上的FTP伺服器，系統的安全性是非常重要的，這是建立FTP伺服器者所考慮的第一個問題。其安全性主要包括以下幾個方面：一、 未經授權的用戶禁止在伺服器上進行FTP操作。
二、 FTP用戶不能讀取未經系統所有者允許的文件或目錄。
三、 未經允許，FTP用戶不能在伺服器上建立文件或目錄。
四、 FTP用戶不能刪除伺服器上的文件或目錄。
只有在伺服器的／etc/passwd文件中存在名為"FTP"的用戶時，伺服器才可以接受匿名FTP連接，匿名FTP用戶可以使用"anonymous"或"FTP"作為用戶名，自己的Internet電子郵件地址作為保密字。為了解決上述安全性的另外三個問題，應該對FTP主目錄下的文件屬性進行管理，建議對每個目錄及其文件採取以下一些措施：FTP主目錄：將這個目錄的所有者設為"FTP"，並且將屬性設為所有的用戶都不可寫，防止不懷好意的用戶刪改文件。
FTP/bin目錄：該目錄主要放置一些系統文件，應將這個目錄的所有者設為"root"（即超級用戶），並且將屬性設為所有的用戶都不可寫。為保證合法用戶可顯示文件，應將目錄中的ls文件屬性設為可執行。
FTP/etc目錄：將這個目錄的所有者設為"root"，並且將屬性設為所有的用戶都不可寫。將目錄下的group文件和passwd文件的屬性設為所有用戶只讀屬性，並用編輯器將passwd文件中用戶加過密的口令刪掉。
FTP/pub目錄：將這個目錄的所有者置為"FTP"，並且將它的屬性設為所有用戶均可讀、寫、執行。
這樣經過設置，既保證了系統文件不被刪改，又保證了FTP合法用戶的正常訪問。