① 什麼是ftp主要的安全問題
ftp主要的安全問題是破壞程序能夠在伺服器端運行。
ftp文件傳輸協議是用於在網路上進行文件傳輸的一套標准協議,它工作在OSI模型的第七層,TCP模型的第四層,即應用層,使用TCP傳輸而不是UDP。客戶在和伺服器建立連接前要經過一個「三次握手」的過程,保證客戶與伺服器之間的連接是可靠的,而且是面向連接,為數據傳輸提供可靠保證。FTP允許用戶以文件操作的方式與另一主機相互通信。然而用戶並不真正登錄到自己想要存取的計算機上面而成為完全用戶,可用FTP程序訪問遠程資源,實現用戶往返傳輸文件、目錄管理以及訪問電子郵件等等,即使雙方計算機可能配有不同的操作系統和文件存儲方式。
更多關於什麼是ftp主要的安全問題,進入:https://m.abcgonglue.com/ask/4325cd1615836422.html?zd查看更多內容
② 請問如何保證FTP伺服器的安全
其安全性主要包括以下幾個方面:
一、 未經授權的用戶禁止在伺服器上進行FTP操作。
二、 FTP用戶不能讀取未經系統所有者允許的文件或目錄。
三、 未經允許,FTP用戶不能在伺服器上建立文件或目錄。
四、 FTP用戶不能刪除伺服器上的文件或目錄。
FTP伺服器採取了一些驗明用戶身份的辦法來解決上述第一個問題,主要包括以下幾個措施:
FTP主目錄:將這個目錄的所有者設為"FTP",並且將屬性設為所有的用戶都不可寫,防止不懷好意的用戶刪改文件。
FTP/bin目錄:該目錄主要放置一些系統文件,應將這個目錄的所有者設為"root"(即超級用戶),並且將屬性設為所有的用戶都不可寫。為保證合法用戶可顯示文件,應將目錄中的ls文件屬性設為可執行。
FTP/etc目錄:將這個目錄的所有者設為"root",並且將屬性設為所有的用戶都不可寫。將目錄下的group文件和passwd文件的屬性設為所有用戶只讀屬性,並用編輯器將passwd文件中用戶加過密的口令刪掉。
###NextPage### FTP/pub目錄:將這個目錄的所有者置為"FTP",並且將它的屬性設為所有用戶均可讀、寫、執行。
這樣經過設置,既保證了系統文件不被刪改,又保證了FTP合法用戶的正常訪問。
作為Internet上的FTP伺服器,系統的安全性是非常重要的,這是建立FTP伺服器者所考慮的第一個問題。其安全性主要包括以下幾個方面:
一、 未經授權的用戶禁止在伺服器上進行FTP操作。
二、 FTP用戶不能讀取未經系統所有者允許的文件或目錄。
三、 未經允許,FTP用戶不能在伺服器上建立文件或目錄。
四、 FTP用戶不能刪除伺服器上的文件或目錄。
FTP伺服器採取了一些驗明用戶身份的辦法來解決上述第一個問題,主要包括以下幾個措施:
FTP主目錄:將這個目錄的所有者設為"FTP",並且將屬性設為所有的用戶都不可寫,防止不懷好意的用戶刪改文件。
FTP/bin目錄:該目錄主要放置一些系統文件,應將這個目錄的所有者設為"root"(即超級用戶),並且將屬性設為所有的用戶都不可寫。為保證合法用戶可顯示文件,應將目錄中的ls文件屬性設為可執行。
FTP/etc目錄:將這個目錄的所有者設為"root",並且將屬性設為所有的用戶都不可寫。將目錄下的group文件和passwd文件的屬性設為所有用戶只讀屬性,並用編輯器將passwd文件中用戶加過密的口令刪掉。
FTP/pub目錄:將這個目錄的所有者置為"FTP",並且將它的屬性設為所有用戶均可讀、寫、執行。
這樣經過設置,既保證了系統文件不被刪改,又保證了FTP合法用戶的正常訪問。
③ FTP採用的是什麼工作模式,可以實現的文件傳輸方式有哪兩種
FTP可以採用2種工作模式,分別是Port模式、Passive模式;
FTP的傳輸有兩種方式:ASCII、二進制:
1、ASCII傳輸方式:
假定用戶正在拷貝的文件包含的簡單ASCII碼文本,如果在遠程機器上運行的不是UNIX,當文件傳輸時ftp通常會自動地調整文件的內容以便於把文件解釋成另外那台計算機存儲文本文件的格式
2、二進制傳輸模式:
在二進制傳輸中,保存文件的位序,以便原始和拷貝的是逐位一一對應的。即使目的地機器上包含位序列的文件是沒意義的。例如,macintosh以二進制方式傳送可執行文件到Windows系統,在對方系統上,此文件不能執行。
(3)ftp如何保證可靠性擴展閱讀:
FTP文件傳輸協議的特點介紹:
FTP工作在TCP/IP模型的應用層,基於的傳輸協議是TCP,FTP客戶端和伺服器之間的連接是可靠的,面向連接的,為數據的傳輸提供了可靠的保證。
FTP的主要特徵:
1、控制連接是建立在客戶協議解釋器和伺服器協議解釋器之間用於交換命令與應答的通信鏈路
2、數據連接是傳輸數據的全雙工連接。傳輸數據可以發生在伺服器數據傳輸過程DTP和客戶DTP之間,也可以發生在兩個伺服器的DTP之間。
④ FTP原理與配置
FTP是用來傳送文件的協議。使用FTP實現遠程文件傳輸的同時,還可以保證數據傳輸的可靠性和高效性。
在企業網路中部署一台FTP伺服器,將網路設備配置為FTP客戶端,則可以使用FTP來備份或更新VRP文件和配置文件。 也可以把網路設備配置為FTP伺服器,將設備的日誌文件保存到某台主機上方便查看。
FTP傳輸數據時支持兩種傳輸模式:ASCII模式和二進制模式。
ASCII模式用於傳輸文本。 發送端的字元在發送前被轉換成ASCII碼格式之後進行傳輸,接收端收到之後再將其轉換成字元。 二進制模式常用於發送圖片文件和程序文件。 發送端在發送這些文件時無需轉換格式,即可傳輸。
使用FTP進行文件傳輸時,會使用兩個TCP連接。 第一個連接是FTP客戶端和FTP伺服器間的控制連接。 FTP伺服器開啟21號埠 ,等待FTP客戶端發送連接請求。
第二個連接是FTP客戶端和FTP伺服器間的數據連接。 伺服器使用TCP的20號埠 與客戶端建立數據連接。 通常情況下,伺服器主動建立或中斷數據連接。
執行 ftp server enable 命令使能FTP功能。
執行 set default ftp-directory 命令設置FTP用戶。
在配置FTP伺服器時,可以使用AAA為每個用戶分別配置登錄賬號和訪問許可權。
aaa 命令用來進入AAA視圖。
local-user user-name { access-limit max-number | ftpdirectory directory | idle-timeout minutes [ seconds ] | password cipher password [ opt ]| privilege level level | state {active | block } } *命令用來創建本地用戶,並配置本地用戶的各項參數。
ftp客戶端連接ftp伺服器
ftp命令用來不遠程FTP伺服器建立控制連接,並進入FTP客戶端視圖。
binary命令用來在設備作為FTP客戶端時設置文件傳輸方式為Binary模式,又稱二進制模式。預設情況下,文件傳輸方式為ASCII模式。get命令用來從遠程FTP伺服器下載文件並保存在本地。
⑤ ftp伺服器的工作原理
FTP是File Transfer Protocol(文件傳輸協議)的縮寫,用來在兩台計算機之間互相傳送文件。相比於HTTP,FTP協議要復雜得多。復雜的原因,是因為FTP協議要用到兩個TCP連接,一個是命令鏈路,用來在FTP客戶端與伺服器之間傳遞命令;另一個是數據鏈路,用來上傳或下載數據。
FTP協議有兩種工作方式:PORT方式和PASV方式,中文意思為主動式和被動式。
PORT(主動)方式的連接過程是:客戶端向伺服器的FTP埠(默認是21)發送連接請求,伺服器接受連接,建立一條命令鏈路。當需要傳送數據時,客戶端在命令鏈路上用PORT命令告訴伺服器:「我打開了XXXX埠,你過來連接我」。於是伺服器從20埠向客戶端的XXXX埠發送連接請求,建立一條數據鏈路來傳送數據。
PASV(被動)方式的連接過程是:客戶端向伺服器的FTP埠(默認是21)發送連接請求,伺服器接受連接,建立一條命令鏈路。當需要傳送數據時,伺服器在命令鏈路上用PASV命令告訴客戶端:「我打開了XXXX埠,你過來連接我」。於是客戶端向伺服器的XXXX埠發送連接請求,建立一條數據鏈路來傳送數據。
⑥ FTP使用傳輸層的什麼協議
FTP使用傳輸層的TCP協議。
TCP旨在適應支持多網路應用的分層協議層次結構。連接到不回同但互答連的計算機通信網路的主計算機中的成對進程之間依靠TCP提供可靠的通信服務。
TCP假設它可以從較低級別的協議獲得簡單的,可能不可靠的數據報服務。原則上,TCP應該能夠在從硬線連接到分組交換或電路交換網路的各種通信系統之上操作。
(6)ftp如何保證可靠性擴展閱讀:
TCP協議的主要功能:
1、在數據正確性與合法性上,TCP用一個校驗和函數來檢驗數據是否有錯誤,在發送和接收時都要計算校驗和;同時可以使用md5認證對數據進行加密。
2、在保證可靠性上,採用超時重傳和捎帶確認機制。
3、在流量控制上,採用滑動窗口協議,協議中規定,對於窗口內未經確認的分組需要重傳。
⑦ ftp是基於什麼協議的 TCP還是UDP
tcp。
文件傳輸協議(File Transfer Protocol,FTP)是用於在網路上進行文件傳輸的一套標准協議,它工作在 OSI 模型的第磨謹七層, TCP 模型的第四層, 即應用層, 使用 TCP 傳輸而不是 UDP, 客戶在和伺服器建立連接前要經過一個「三次握手」的過程, 保證客戶與伺服器之間的連接是可靠的, 而且是面向連接, 為數據傳輸提供可靠保證。
(7)ftp如何保證可靠性擴展閱讀:
FTP客戶端發起FTP會話,與FTP伺服器建立相應的瞎斗基連接。FTP會話期間要建立控制信息進程與數據進程兩個連接。控制連接不能完成傳輸數據的任務,只能用來傳送FTP執行的內部命令以及命令的響應等控制信息;數據連接是伺服器與客戶端之間傳輸文件的連接,是全雙工的,允許同時進行雙向數據傳輸。當數據傳輸完成後,數據連接會撤消,再回到FTP會話狀態,直到控制連接被撤消,並退出會話為止。
參考銷宏資料來源:網路-ftp
⑧ FTP管理妙招三招提高FTP伺服器安全性
FTP是一種文件傳輸協議。有時我們把他形象的叫做「文件交流集中地」。FTP文件伺服器的主要用途就是提供文件存儲的空間,讓用戶可以上傳或者下載所需要的文件。在企業中,往往會給客戶提供一個特定的FTP空間,以方便跟可以進行一些大型文件的交流,如大到幾百兆的設計圖紙等等。同時,FTP還可以作為企業文件的備份伺服器,如把資料庫等關鍵應用在FTP伺服器上實現異地備份等等。
可見,FTP伺服器在企業中的應用是非常廣泛的。真是因為其功能如此的強大,所以,很多黑客、病毒也開始「關注」他了。他們企圖通過FTP伺服器為跳板,作為他們傳播木馬、病毒的源頭。同時,由於FTP伺服器上存儲著企業不少有價值的內容。在經濟利益的誘惑下,FTP伺服器也就成為了別人攻擊的對象。
所以,FTP伺服器的安全性工作也逐漸顯得重要。筆者採用的FTP伺服器是基於Linxu操作系統平台上的Vsftpd軟體。筆者今天就以這個軟體為例,談談如何若照FTP伺服器的安全設計。
一、誰可以訪問FTP伺服器?
在考慮FTP伺服器安全性工作的時候,第一步要考慮的就是誰可以訪問FTP伺服器。在Vsftpd伺服器軟體中,默認提供了三類用戶。不同的用戶對應著不同的許可權與操作方式。
一類是Real帳戶。這類用戶是指在FTP服務上擁有帳號。當這類用戶登錄FTP伺服器的時候,其默認的主目錄就是其帳號命名的目錄。但是,其還可以變更到其他目錄中去。如系統的主目錄等等。
第二類帳戶實Guest用戶。在FTP伺服器中,我們往往會給不同的部門或者某個特定的用戶設置一個帳戶。但是,這個賬戶有個特點,就是其只能夠訪問自己的主目錄。伺服器通過這種方式來保障FTP服務上其他文件的安全性。這類帳戶,在Vsftpd軟體中就叫做Guest用戶。擁有這類用戶的帳戶,只能夠訪問其主目錄下的目錄,而不得訪問主目錄以外的文件。
第三類帳戶是Anonymous(匿名)用戶,這也是我們通常所說的匿名訪問。這類用戶是指在FTP伺服器中沒有指定帳戶,但是其仍然可以進行匿名訪問某些公開的資源。
在組建FTP伺服器的時候,我們就需要根據用戶的類型,對用戶進行歸類。默認情況下,Vsftpd伺服器會把建立的所有帳戶都歸屬為Real用戶。但是,這往往不符合企業安全的需要。因為這類用戶不僅可以訪問自己的主目錄,而且,還可以訪問其他用戶的目錄。這就給其他用戶所在的空間 帶來一定的安全隱患。所以,企業要根據實際情況,修改用戶雖在的類別。
修改方法:
第一步:修改/etc/Vsftpd/vsftpd.conf文件。
默認情況下,只啟用了Real與Anonymous兩類用戶。若我們需要啟用Guest類用戶的時候,就需要把這個選項啟用。修改/etc/Vsftpd/vsftpd.conf文件,把其中的「chroot_list_enable=YES」這項前面的注釋符號去掉。去掉之後,系統就會自動啟用Real類型的帳戶。
第二步:修改/etc/vsftpd.conf文件。
若要把某個FTP伺服器的帳戶歸屬為Guest帳戶,則就需要在這個文件中添加用戶。通常情況下,FTP伺服器上沒有這個文件,需要用戶手工的創建。利用VI命令創建這個文件之後,就可以把已經建立的FTP帳晌飢戶加入到這個文件中。宴山返如此的話,某個帳戶就屬於Real類型的用戶了。他們登錄到FTP伺服器後,只能夠訪問自己的主目錄,而不能夠更改主目錄。
第三步:重新啟動FTP伺服器。
按照上述步驟配置完成唯跡後,需要重新啟動FTP伺服器,其配置才能夠生效。我們可以重新啟動伺服器,也可以直接利用Restart命令來重新啟動FTP服務。
在對用戶盡心分類的時候,筆者有幾個善意的提醒。
一是盡量採用Guest類型的用戶,而減少Real類行的用戶。一般我們在建立FTP帳戶的時候,用戶只需要訪問自己的主目錄下的文件即可。當給某個用戶的許可權過大時,會對其他用戶文件的安全產生威脅。
二是盡量不要採用匿名類型的帳戶。因為他們在沒有授權的情況下,就可以訪問FTP伺服器。雖然其訪問的資源受到一定的限制,但是,仍然具有危險性。故在沒有特殊需要的情況下,把匿名類型帳戶禁用掉。
二、哪些帳號不可以訪問FTP伺服器?
在以下幾種情況下,我們要禁止這些賬戶訪問FTP伺服器,以提高伺服器的安全。
一是某些系統帳戶。如ROOT帳戶。這個賬戶默認情況下是Linxu系統的管理員帳戶,其對系統具有的操作與管理許可權。若允許用戶以這個賬戶為賬戶名進行登陸的話,則用戶不但可以訪問Linux系統的所有資源,而且,還好可以進行系統配置。這對於FTP伺服器來說,顯然危害很大。所以,往往不允許用戶以這個Root等系統帳戶身份登陸到FTP伺服器上來。
第二類是一些臨時賬戶。有時候我們出於臨時需要,為開一些臨時賬戶。如需要跟某個客戶進行圖紙上的交流,而圖紙本身又比較大時,FTP伺服器就是一個很好的圖紙中轉工具。在這種情況下,就需要為客戶設立一個臨時賬戶。這些賬戶用完之後,一般就加入到了黑名單。等到下次需要再次用到的時候,再啟用他。
在vstftpd伺服器中,要把某些用戶加入到黑名單,也非常的簡單。在Vsftpd軟體中,有一個/etc/vsftpd.user_lise配置文件。這個文件就是用來指定哪些賬戶不能夠登陸到這個伺服器。我們利用vi命令查看這個文件,通常情況下,一些系統賬戶已經加入到了這個黑名單中。FTP伺服器管理員要及時的把一些臨時的或者不再使用的帳戶加入到這個黑名單中。從而才可以保證未經授權的賬戶訪問FTP伺服器。在配置後,往往不需要重新啟動FTP服務,配置就會生效。
不過,一般情況下,不會影響當前會話。也就是說,管理員在管理FTP伺服器的時候,發現有一個非法賬戶登陸到了FTP伺服器。此時,管理員馬上把這個賬戶拉入黑名單。但是,因為這個賬戶已經連接到FTP伺服器上,所以,其當前的會話不會受到影響。當其退出當前會話,下次再進行連接的時候,就不允許其登陸FTP伺服器了。所以,若要及時的把該賬戶禁用掉的話,就需要在設置好黑名單後,手工的關掉當前的會話。
對於一些以後不再需要使用的帳戶時,管理員不需要把他加入黑名單,而是直接刪除用戶為好。同時,在刪除用戶的時候,要記得把用戶對應的主目錄也一並刪除。不然主目錄越來越多,會增加管理員管理的工作量。在黑名單中,只保留那些將來可能利用的賬戶或者不是用作FTP伺服器登陸的賬戶。這不但可以減少伺服器管理的工作量,而且,還可以提高FTP伺服器的安全性。
三、匿名賬戶也可以上傳文件
在系統默認配置下,匿名類型的用戶只可以下載文件,而不能夠上傳文件。雖然這不是我們推薦的配置,但是,有時候出於一些特殊的需要,確實要開啟這個功能。如筆者以前在企業中,利用這個功能實現了對用戶終端文件進行備份的功能。為了設置的方便,就在FTP伺服器上開啟了匿名訪問,並且允許匿名訪問賬戶網某個特定的文件夾中上傳某個文件。
若要讓匿名用戶上傳文件,則首先要建立一個目錄,並且把這個目錄指定為匿名用戶具有更新的許可權。以後匿名用戶需要上傳文件的時候,只能夠王這個文件夾中傳。而不能夠像Real用戶那樣,網其他用戶的文件夾中上傳文件。
文件目錄設置好之後,再修改/etc/vsftpd/vsftpd.conf配置文件。把這個文件下的有關匿名賬戶的功能啟用。默認情況下,跟匿名賬戶相關的功能,如更新、增加目錄等功能都是被注釋掉的。管理員需要把這個注釋符號去掉,匿名賬戶才能夠網特定的賬戶中上傳文件。
筆者再次重申一遍,一般情況下,是不建議用戶開啟匿名賬戶的文件上傳功能。因為很難保證匿名賬戶上傳的文件中,不含有一些破壞性的程序,如病毒或者木馬等等。有時候,雖然開啟了這個功能,但是往往會在IP上進行限制。如只允許企業內部IP可以進行匿名訪問並上傳文件,其他賬戶則不行。如此的話,可以防止外部用戶未經授權匿名訪問企業的FTP伺服器。若用戶具有合法的賬戶,就可以在外網中登陸到FTP伺服器上。
總之,在FTP伺服器安全管理上,主要關注三個方面的問題。一是未經授權的用戶不能往FTP空間上上傳文件;二是用戶不得訪問未經授權的目錄,以及對這些目錄的文件進行更改,包括刪除與上傳;三是FTP伺服器本身的穩定性。以上三個問題中的前兩部分內容,都可以通過上面的三個方法有效的解決。相信管理員靈活採用如上的方法,可以在保障企業應用的前期下,提高FTP伺服器的安全性。