⑴ 如何使FTP伺服器安全
一、操作系統的選擇
FTP伺服器首先是基於操作系統而運作的,因而操作系統本身的安全性就決定了FTP伺服器安全性的級別。雖然Windows 98/Me一樣可以架設FTP伺服器,但由於其本身的安全性就不強,易受攻擊,因而不要採用。Windows NT就像雞肋,不用也罷。採用Windows 2000及以上版本,並記住及時打上補丁。至於Unix、Linux,則不在討論之列。
二、使用防火牆
埠是計算機和外部網路相連的邏輯介面,也是計算機的第一道屏障,埠配置正確與否直接影響到主機的安全,一般來說,僅打開你需要使用的埠,將其他不需要使用的埠屏蔽掉會比較安全。限制埠的方法比較多,可以使用第三方的個人防火牆,如天網個人防火牆等,這里只介紹Windows自帶的防火牆設置方法。
1。利用TCP/IP篩選功能
在消運Windows 2000和Windows XP中,系統都帶有TCP/IP篩選功能,利用它可以簡單地進行埠設置。以Windows XP為例,打開「本地連接」的屬性,在「常規」選項中找到「Internet協議(TCP/IP)」,雙擊它打開該協議的屬性設置窗口。點擊右下方的「高級」卜橋廳按鈕,進入「高級TCP/IP設置」。在「選項」中選中「TCP/IP篩選」並雙擊進入其屬性設置。這里我們可以設置系統只允許開放的埠,假如架設的FTP伺服器埠為21,先選中「啟用TCP/IP篩選(所有適配器)」,再在TCP埠選項中選擇「只允許」,點「添加」,輸入埠號21,確定即可。這樣,系統就只允許打開21埠。要開放其他埠,繼續添加即可。這可以有效防止最常見的139埠入侵。缺點是功能過於簡單,只能設置允許開放的埠,不能自定義要關閉的埠。如果你有大量埠要開放,就得一個個地去手工添加,比較麻煩。
2。打開Internet連接防火牆
對於Windows XP系統,自型隱帶了「Internet連接防火牆」功能,與TCP/IP篩選功能相比,設置更方便,功能更強大。除了自帶防火牆埠開放規則外,還可以自行增刪。在控制面板中打開「網路連接」,右擊撥號連接,進入「高級」選項卡,選中「通過限制或阻止來自Internet的對此計算機的訪問來保護我的計算機和網路」,啟用它。系統默認狀態下是關閉了FTP埠的,因而還要設置防火牆,打開所使用的FTP埠。點擊右下角的「設置」按鈕進入「高級設置」,選中「FTP伺服器」,我它。由於FTP服務默認埠是21,因而除了IP地址一欄外,其餘均不可更改。在IP地址一欄中填入伺服器公網IP,確定後退出即可即時生效。如果架設的FTP伺服器埠為其他埠,比如22,則可以在「服務」選項卡下方點「添加」,輸入伺服器名稱和公網IP後,將外部埠號和內部埠號均填入22即可。
三、對IIS、Serv-U等伺服器軟體進行設置
除了依靠系統提供的安全措施外,就需要利用FTP伺服器端軟體本身的設置來提高整個伺服器的安全了。
1。IIS的安全性設置
1)及時安裝新補丁
對於IIS的安全性漏洞,可以說是「有口皆碑」了,平均每兩三個月就要出一兩個漏洞。所幸的是,微軟會根據新發現的漏洞提供相應的補丁,這就需要你不斷更新,安裝最新補丁。
2)將安裝目錄設置到非系統盤,關閉不需要的服務
一些惡意用戶可以通過IIS的溢出漏洞獲得對系統的訪問權。把IIS安放在系統分區上,會使系統文件與IIS同樣面臨非法訪問,容易使非法用戶侵入系統分區。另外,由於IIS是一個綜合性服務組件,每開設一個服務都將會降低整個服務的安全性,因而,對不需要的服務盡量不要安裝或啟動。
3)只允許匿名連接
FTP的安全漏洞在於其默認傳輸密碼的過程是明文傳送,很容易被人嗅探到。而IIS又是基於Windows用戶賬戶進行管理的,因而很容易泄漏系統賬戶名及密碼,如果該賬戶擁有一定管理許可權,則更會影響到整個系統的安全。設置為「只允許匿名連接」,可以免卻傳輸過程中泄密的危險。進入「默認FTP站點」,在屬性的「安全賬戶」選項卡中,將此選項選中。
4)謹慎設置主目錄及其許可權
IIS可以將FTP站點主目錄設為區域網中另一台計算機的共享目錄,但在區域網中,共享目錄很容易招致其他計算機感染的病毒攻擊,嚴重時甚至會造成整個區域網癱瘓,不到萬不得已,使用本地目錄並將主目錄設為NTFS格式的非系統分區中。這樣,在對目錄的許可權設置時,可以對每個目錄按不同組或用戶來設置相應的許可權。右擊要設置的目錄,進入「共享和安全→安全」中設置,如非必要,不要授予「寫入」許可權。
5)盡量不要使用默認埠號21
啟用日誌記錄,以備出現異常情況時查詢原因。
2。Serv-U的安全性設置
與IIS的FTP服務相比,Serv-U在安全性方面做得比較好。
1)對「本地伺服器」進行設置
首先,選中「攔截FTP_bounce攻擊和FXP」。什麼是FXP呢?通常,當使用FTP協議進行文件傳輸時,客戶端首先向FTP伺服器發出一個「PORT」命令,該命令中包含此用戶的IP地址和將被用來進行數據傳輸的埠號,伺服器收到後,利用命令所提供的用戶地址信息建立與用戶的連接。大多數情況下,上述過程不會出現任何問題,但當客戶端是一名惡意用戶時,可能會通過在PORT命令中加入特定的地址信息,使FTP伺服器與其它非客戶端的機器建立連接。雖然這名惡意用戶可能本身無權直接訪問某一特定機器,但是如果FTP伺服器有權訪問該機器的話,那麼惡意用戶就可以通過FTP伺服器作為中介,仍然能夠最終實現與目標伺服器的連接。這就是FXP,也稱跨伺服器攻擊。選中後就可以防止發生此種情況。
其次,在「高級」選項卡中,檢查「加密密碼」和「啟用安全」是否被選中,如果沒有,選擇它們。「加密密碼」使用單向hash函數(MD5)加密用戶口令,加密後的口令保存在ServUDaemon。ini或是注冊表中。如果不選擇此項,用戶口令將以明文形式保存在文件中:「啟用安全」將啟動Serv-U伺服器的安全成功。
2)對域中的伺服器進行設置
前面說過,FTP默認為明文傳送密碼,
容易被人嗅探,對於只擁有一般許可權的賬戶,危險並不大,但如果該賬戶擁有遠程管理尤其是系統管理員許可權,則整個伺服器都會被別人遠程式控制制。Serv-U對每個賬戶的密碼都提供了以下三種安全類型:規則密碼、OTP S/KEY MD4和OTP S/KEY MD5。不同的類型對傳輸的加密方式也不同,以規則密碼安全性最低。進入擁有一定管理許可權的賬戶的設置中,在「常規」選項卡的下方找到「密碼類型」下拉列表框,選中第二或第三種類型,保存即可。注意,當用戶憑此賬戶登錄伺服器時,需要FTP客戶端軟體支持此密碼類型,如CuteFTP Pro等,輸入密碼時選擇相應的密碼類型方可通過伺服器驗證。
與IIS一樣,還要謹慎設置主目錄及其許可權,凡是沒必要賦予寫入等能修改伺服器文件或目錄許可權的,盡量不要賦予。最後,進入「設置」,在「日誌」選項卡中將「啟用記錄到文件」選中,並設置好日誌文件名及保存路徑、記錄參數等,以方便隨時查詢伺服器異常原因。
⑵ SSH進階(二):FTP轉發
簡介 FTP協議簡介 轉發控制連接 FTP 防火牆和被動模式 FTP和網路地址轉換(Neork Address Translation) 客戶端網路地址轉換問題 如游 伺服器端網路地址轉換問題 使用默認數據傳輸埠 轉發數據連接 結論 簡介 有關SSH 一個經常被問起的問題是 我怎樣才能使用埠轉發加強FTP安全? 很不幸 你得到的回答一般非常簡短 讓你仍然無所適從 在標准FTP協議中 所有的數據都是明文傳輸的 因此網路上可能存在的嗅探器是一個極大的威脅 使用嗅探器 攻擊者很容易獲得你的帳戶和密碼 而在SSH的數據傳輸過程中 所有的數據以密文的形式傳輸的 所以SSH的埠轉發功能能夠很好地保護的帳戶密碼 本文詳細地解釋你能夠使用SSH和FTP做什麼 不能做什麼 以及其原因 這里有FTP本身的復雜性造成的問題 除此之外 防火牆和網路地址轉換(Neork Address Translation)也給我們製造了不少困難 因為現在防火牆和網路地址轉換(Neork Address Translation)已經廣泛存在了 因此我們將對這些情況進行詳細的討論 不過 由於網路環境千差萬別 我們無法覆蓋所有可能出現的問題 這就需要你自己舉一反三了 FTP協議簡介 為了便於後面的討論 我們首先簡要地討論一下FTP協議(如果對FTP協議已經有了比較深入的了解 你可以略過這一節) 大多數的TCP服務是使用單個的連接 一般是客戶向伺服器的一個周知埠發起連接 然後使用這個連接進行通訊 但是 FTP協議卻有所不同 它使用雙向的多個連接 而且使用的埠很難預計 一般 FTP連接包括 一個控制連接(control connection) 這個連接用於傳遞客戶端的命令和伺服器端對命令的響應 它使用伺服器的 埠 生存期是整個FTP會話時間 幾個數據連接(data connection) 這些連接用於傳輸文件和其它數據 例如 目錄列表等 這種連接在需要數據傳輸時建立 而一旦數據傳輸完畢就關閉 每次使用的埠也不一定相同 而且 數據連接既可能是客戶端發起的 也可能是伺服器端發起的 下面 我們通過一個FTP客戶程序看一下控制連接 這里 我們需要使用debug模式(ftp d)才能顯示客戶發出的FTP協議命令 在客戶程序的渣帶銷輸出信息中 這些協議命令是以 >開頭的 例如 > USER nixe n 在命令發出之後 伺服器會發出響應 響應信息以數字開頭 例如 Login incorrect 下面 我們和FTP伺服器建立一個連接 使用用戶名nixe n登錄 在會話過程中發出兩次目錄切換名 一次成功一次失敗 其中黑體是我們的輸入 ftp d Connected to FTP server ready Name (:nixe n): nixe n > USER nixe n Password required for nixe n Password: > PASS XXXX User nixe n logged in > SYST UNIX Type: L Remote system type is UNIX Using binary mode to transfer files ftp> cd one > CWD one CWD mand successful ftp> cd tmp > CWD tmp tmp: No such file or directory ftp> bye > QUIT You have transferred bytes in files Total traffic for this session was bytes in transfers Thank you for using the FTP service on 在FTP協議中 控制連接使用周行升知埠 因此使用SSH的標准埠轉發就可以這種連接進行很好的安全保護 相反 數據傳輸連接的目的埠通常實現無法知道 因此處理這樣的埠轉發非常困難 FTP協議使用一個標準的埠 作為ftp data埠 但是這個埠只用於連接的源地址是伺服器端的情況 在這個埠上根本就沒有監聽進程 FTP的數據連接和控制連接的方向一般是相反的 也就是說 是伺服器向客戶端發起一個用於數據傳輸的連接 連接的埠是由伺服器端和客戶端協商確定的 FTP協議的這個特徵對SSH轉發以及防火牆和NAT的配置增加了很多困難 除此之外 還有另外一種FTP模式 叫做被動模式(passive mod) 在這種模式下 數據連接是由客戶程序發起的 和剛才討論過的模式(我們可以叫做主動模式)相反 是否採取被動模式取決於客戶程序 在ftp命令行中使用passive命令就可以關閉/打開被動模式 在了解了使用SSH轉發FTP連接的一些難點之後 我們將開始討論如何解決這些問題 轉發控制連接 FTP的控制連接的一端是一個周知埠 因此很容易通過SSH實現埠的轉發 通常 需要保護的FTP伺服器上需要運行SSH服務 而且你需要在伺服器上有一個合法帳戶以便通過SSH訪問FTP服務 假設你已經登錄到一台主機名為client的客戶主機 然後想通過安全的連接登錄到FTP伺服器 要轉發FTP控制連接 首先要在client上運行一個SSH埠轉發命令 [nixe n@client nixe n]ssh L :: nix cn s password: 接著 就可以使用被轉發的埠登錄到 [nixe n@clinet nixe n]ftp localhost Connected to localhost FTP server ready Name:foo Password: User foo logged in ftp> 這里 我們需要注意兩個非常重要的問題 在本地進行轉發 可能出現一些錯誤 在確定轉發的目標時 建議不要使用localhost作為目標 因為有時使用這種地址可能出現一些莫名其妙的問題 假如在你的主機(client)上 有其它的網路介面(例如 eth ) 其地址為 如果你想在本機上進行SSH進行FTP埠轉發 [nixe n@localhost nixe n]$ssh L :localhost: localhost nixe n@localhost s password: 然後 使用ftp命令登錄到FTP伺服器就可能出現一些錯誤 [nixe n@localhost nixe n]ftp localhost Connected to localhost localhost FTP server ready Name[localhost:nixe n]:nixe n Password required for nixe n Password: User nixe n logged in ftp>ls PORT mand successful Can t build data connection:Cannot assign requested address ftp> 出現這個問題是因為FTP伺服器會試圖通過回環地址(lo: )向client(eth : )發起連接造成的 本機的回環介面只能和本機的其它回環介面進行通訊 如果和其它的網路介面(例如 eth )通訊 就會返回 address not available 的錯誤 客戶程序需要使用被動模式 被動模式對於解決NAT/防火牆造成的一些問題很有幫助 Linux系統的ftp命令在默認情況下使用這種模式 FTP 防火牆和被動模式 前面我們講過 FTP協議的數據傳輸存在兩種模式 主動模式和被動模式 這兩種模式發起連接的方向截然相反 主動模式是從伺服器端向客戶端發起 被動模式是客戶端向伺服器端發起連接 但是如果伺服器和客戶之間存在防火牆 主動模式經常會引起一些麻煩 設想 客戶位於防火牆之後 防火牆允許所有內部向外部的連接通過 但是對於外部向內部發起的連接卻存在很多限制 在這種情況下 客戶可以正常地和伺服器建立控制連接 而如果使用主動模式 ls put和get等數據傳輸命令就很難成功運行 因為防火牆會阻塞從伺服器向客戶發起的數據傳輸連接 簡單包過濾防火牆把控制連接和數據傳輸連接完全分離開了 因此很難通過配置防火牆允許主動模式的FTP數據傳輸連接通過 如果防火牆允許ICMP或者TCP RST報文通過 客戶程序就會馬上返回connection refused錯誤信息 而如果防火牆只是做簡單的丟棄處理 會造成客戶程序掛起一段時間 被動模式一般可以解決此類問題 因為在被動模式下 連接是由客戶端發起的餓 不過 這要看FTP伺服器和客戶程序是否支持被動模式 命令行FTP客戶程序一般使用passive命令關/開被動模式 例如 ftp>passive Passive mode off ftp>passive Passive mode on 如果客戶程序不支持被動模式 它就會返回?Invaild mand 如果客戶程序支持被動模式 而伺服器不支持 就會返回 PASV:mand not understood PASV是一個FTP協議命令 使伺服器進入到被動模式 FTP和網路地址轉換(Neork Address Translation) 除了簡單包過濾防火牆之外 被動模式也可以解決使用網路地址轉換(NAT)給FTP造成的一些問題 在轉發報文之前 進行網路地址轉換的網關首先會改變報文的源地址和目的地址 網路地址轉換能夠提高網路的安全性 有助於解決IP地址資源不足問題 客戶端網路地址轉換問題 假設你的FTP客戶主機位於區域網內 通過一個網路地址轉換(NAT)網關連入互聯網 在這種情況下 客戶程序可以毫無困難地和外部的FTP伺服器建立控制連接 但是 如果 lishixin/Article/program/Oracle/201311/17826
⑶ FTP是什麼
FTP就是用來在客戶機和伺服器之間實現文件傳輸的標准協議。它使用客戶/伺服器模式,客戶程序把客戶的請求告訴伺服器,並將伺服器發回的結果顯示出來。而伺服器端執行真正的工作,比如存儲、發送文件等。\x0d\x0a如果用戶要將一個文件從自己的計算機上發送到另一台計算機上,稱為是FTP的上載,而更多的情況是用戶從伺服器上把文件或資源傳送到客戶機上,稱之為FTP的下載。在Internet上有一些計算機稱為FTP伺服器,它存儲了許多允許存取的文件,如:文本文件、圖像文件、程序文件、聲音文件、電影文件等。\x0d\x0aFTP系統是一個通過Internet傳送文件的系統。FTP客戶程序必須與遠程的FTP伺服器建立連接並登錄後,才能進行文件的傳輸。通常,一個用戶必須在FTP伺服器進行注冊,即建立用戶帳號,擁有合法的登錄用戶名和密碼後,才有可能進行有效的FTP連接和登錄。\x0d\x0a大多數站點提供匿名FTP服務,即這些站點允許任何一個用戶免費登錄到它們的機器上,並從其上復制文件。這類伺服器的目的就是想社會公眾提供免費的文件拷貝服務,因此,它不要求用戶事先在該伺服器進行注冊。與這類「匿名」FTP伺服器建立連接時,用戶名一般是anonymous,而口令可以使用任意字元串,一種比較常用的是使用你的電子郵件地址作為口令。但這個口令既不進行校驗,也不是強制的。\x0d\x0aFTP是基於客戶機/伺服器模式的服務系統,它油客戶軟體、伺服器軟體和FTP通信協議三部分組成。FTP客戶軟體作為一種應用程序,運行在客戶計算機上。用戶使用FTP命令與FTP伺服器建設連接或傳送文件,一般操作系統內置標准FTP命令,標准瀏覽器也支持FTP協議,當然也可以使用一些專用的FTP軟體。FTP伺服器軟體運行在遠程主機上,並設置一個名叫anonymous的公共用戶帳號,向用戶開放。
⑷ 跪求指教!登錄FTP,出現不支持,如果繼續文件和密碼會明文傳輸。
ftp是明文傳輸的,會泄露密碼
你把下面的選項勾選,以後就不提示了
伺服器啟動FTPs服務,再訪問就加密了
⑸ nfs ,ftp 和samba都有什麼區別
1、三種協議雖然都可以支持文件共享,但是其功能點和側重點上面各有所不同,協議格式不同Authentication(鑒定)也就是你說的登陸方式也會隨著協議的內容也有所不同。
2、標準的FTP協議的登陸密碼是用明文傳輸的,沒有加密,這會有很大的安全隱患,目前有FTPs(FTPonSSL/TLS)和sFTP(SSHFTP)等基於通信層進行加密的FTP協議,這樣會有更好的安全性。
3、NFS:NetworkFileSystem是已故的Sun公司制定的用於分布式訪問的文件系統,它的本質是文件系統。主要在Unix系列操作系統上使用,基於TCP/IP協議層,可以將遠程的計算機磁碟掛載到本地,像本地磁碟一樣操作。
4、samba是Unix系統下實現的Windows文件共享協議-CIFS,由於Windows共享是基於NetBios協議,是基於Ethernet的廣播協議,在沒有透明網橋的情況下(如VPN)是不能跨網段使用的。它主要用於unix和windows系統進行文件和列印機共享,也可以通過samba套件中的程序掛載到本地使用。
5、FTP的目的是在Internet上共享文件而發明的一種協議,基於TCP/IP。世界上絕大多數系統都會有支持FTP的工具存在,通用性很強。目前少有人把VPS修改成支持FTP組件的形式,主要是因為FTP一開始就不是為了文件系統而設計的。