㈠ IIS虚拟目录主目录为“另一台计算机上的共享”,磁盘缓存写入错误!
你到这网站看看吧!图文并茂了。本人看了一下,成功率应该好高!
实现FTP服务
FTP站点基础
正如WWW服务的实现依赖于TCP/IP协议组中的HTTP应用层协议一样,FTP服务同样依赖于TCP/IP协议组应用层中的FTP协议来实现。FTP的默认TCP端口号是21,由于FTP可以同时使用两个TCP端口进行传送(一个用于数据传送,一个用于指令信息传送),所以FTP可以实现更快的文件传输速度。
使用FTP需要专门的客户端软件,例如着名的BulletFTP、LeapFTP等等,一般的浏览器(如IE)也可以实现有限的FTP客户端功能,如下载文件等。
如右图,就是在IE浏览器中打开的一个FTP站点。FTP 服务器的Internet地址(URL)与通常在Web网站中使用的URL略有不同,其协议部分需要写成"ftp://"而不是"",例如,由Microsoft创建并提供大量技术支持文件的匿名FTP服务器地址为ftp://ftp.microsoft.com。
在IE中打开FTP站点,将自动以匿名用户身份登录,这时在窗口中列出的内容就是FTP站点根目录下的文件和文件夹。如在Windows资源管理器中一样双击打开文件夹(目录)则进入其下一级目录。
如果我们需要在IE中下载一个文件,应遵循如下步骤:
1.则在IE窗口中右击该文件图标,选择,或者双击该文件。
2.如右上图所示,在对话框中选择。
3.确保复选框已经被选中。
4.单击。
5.如右下图,在对话框中选择文件保存路径,完成后单击。
6.如下图,在下载对话框中显示进度,如果文件较大或者网络较慢,可能耗时较长,完成后单击。
创建FTP站点
现在我们已经对FTP站点有了一个感性认识,接下来的任务是学习如何在IIS中创建FTP站点,实际上,这项工作是与创建Web站点的过程及其相似的。
规划FTP站点
与Web站点相同,FTP站点同样需要自己的IP地址和TCP端口号。由于FTP服务的默认端口号是21,而WWW服务是80,所以一个FTP站点可以和一个Web站点共享同一个IP地址。事实上,安装IIS时自动生成的默认Web站点和默认FTP站点就是使用同一IP地址的。当我们不使用默认的21作为FTP站点的TCP端口号时,客户机请求FTP站点时就需要在FTP服务器域名地址后面添加":"和实际端口号。
IIS的FTP服务也有虚拟服务器的实现方式,通过虚拟FTP服务器,可以在一台实际计算机上维持多个FTP站点。虚拟服务器的优点是节省硬件成本,缺点是多个站点共用一台主机的资源会造成性能上的问题。实际的规划中并没有一种严格的定量规则,要根据站点的访问量和可能的数据流量以及服务器的硬件条件、带宽资源等规划一台计算机所最多承载的站点数。
在IIS中,可以为FTP站点设置虚拟目录,虚拟目录的引入,极大的扩展了FTP服务器的存储能力。我们知道单一主目录的存储能力受到磁盘分区(包括物理磁盘)的大小限制,而FTP服务的目的恰恰是提供大量文件以供下载,或提供大量的空间用于用户存储文件。这样的矛盾只有通过虚拟目录的方法才能得到解决,尤其时远程虚拟目录,可以将FTP站点的存储空间分布在网络中的多台计算机中。但是,虚拟目录(尤其是远程虚拟目录)也带来一些性能上的问题,分布在局域网中多台计算机上的存储环境可能会造成较多的网络流量。对于访问量大的FTP站点而言,分布的存储可能会影响到局域网中的其他用户。对此,唯一的弥补方法是尽量将访问量大的文件保存在服务器的本地磁盘上,而将不太常用的文件保存在远程虚拟目录中。
使用FTP站点创建向导
创建FTP站点的工作要在IIS的MMC窗口中进行,这里我们使用FTP服务器创建向导新建一个示例FTP服务器,方法如下。
1.在IIS左侧的管理控制树中右击计算机图标,在弹出菜单中指向,单击。
2.在FTP站点创建向导中单击。
3.如下左图,在对话框中输入用于在IIS内部识别站点的说明,该名称并非真正的FTP站点域名。
4.如下右图,在对话框中指定该站点使用的IP地址和TCP端口号,注意默认的端口号为21。完成后单击。
5.如上图,在主目录对话框中指定站点主目录,主目录是由于存储站点文件的主要位置。虚拟目录以在主目录中映射文件夹的形式存储数据。完成后单击。
6.如上右图,在对话框中指定站点权限,FTP站点只有两种访问权限:读取和写入,前者对应下载权限;后者对应上传权限。单击继续。
7.如右图,单击结束FTP站点创建。
8.回到IIS窗口中,在管理控制树中选择我们刚刚创建的FTP站点,单击工具条上的图标使之生效。
创建虚拟目录
虚拟目录能够极大的拓展FTP服务器的存储能力。FTP虚拟目录分为本地和远程两种,本地虚拟目录即可以位于与FTP站点主目录相同的磁盘分区上,也可以位于本地的其他磁盘上;远程虚拟目录则位于网络中的其他计算机上(必须与FTP站点所在的IIS计算机处于同一域中)。出于向下兼容性的考虑,FTP站点的虚拟目录相当于在站点主目录下的映射文件夹。虽然对于FTP用户而言这些内容是在后台执行的不可见过程;但对于FTP站点管理员,就需要考虑这一特性在站点和虚拟目录创建过程中造成的影响,稍后我们就将看到这一影响。
创建FTP虚拟目录的工作也是在IIS管理工具中完成的,具体如下:
1.在IIS管理控制树中右击需要重建虚拟目录的FTP站点,在弹出菜单中指向,单击。
2.打开虚拟目录创建向导,如右上图,在向导欢迎对话框中单击。
3.如左上图,在对话框中的栏中指定虚拟目录别名。这里所谓的别名,是指虚拟目录在IIS管理器中的有效名称,亦即虚拟目录在站点主目录下映射的名称。用户在下载FTP文件时指定的URL路径中包含的目录名称就是虚拟目录别名(对于非虚拟目录,指定其实际名称即可)。别名与目录真实名称没有联系,但也可以相同。单击继续。
4.如右上图,在对话框中单击浏览指定或在栏中直接指定虚拟目录所对应的实际路径。前面已经提到,对于远程虚拟目录,其实际路径是以UNC路径的形式指定的,如需要以Server服务器上的Share共享文件夹作为虚拟目录的实际路径,则应指定路径栏中指定UNC名为:\\Server\Share。单击继续。
5.如右图,在对话框中,指定该虚拟目录所允许的用户访问权限。选择相应的或复选框即可(对应下载和上传权限)。注意,这里的权限(虚拟目录权限)相当于WWW服务中的Web权限,是对所有站点访问用户都有效的。单击继续。
6.单击结束创建。
为了检验我们的创建结果,回到IIS管理界面,在管理控制树中展开我们刚刚创建虚拟目录的网站,可见下新建的虚拟目录节点,右击虚拟目录节点,在弹出菜单上选择,打开一个IE窗口。此时窗口中列出的内容正是新建虚拟目录所对应的实际目录中包含的文件和文件夹,说明虚拟目录创建成功。
但是,当我们在IE中打开站点时(比如右击管理控制树中的站点节点,选择),在IE窗口中却并未看见新建的虚拟目录。不过,如果在IE的地址栏中的站点地址后面加上虚拟目录的路径,形如"/<虚拟目录名>",仍然可以进入虚拟目录并查看或下载其中的文件。这是为什么呢?
其实上述问题的出现并非系统错误,其解决方法也并不复杂。前面我们曾经提到,FTP站点的虚拟目录相当于站点主目录下的映射文件夹,实际对应的文件夹并不在主目录下,而在IE浏览器中打开的站点主页却只能显示站点主目录下的内容。于是,就造成了虚拟目录不能在用户浏览器(包括其他FTP客户端工具)中显示的现象。虽然采用直接输入虚拟目录路径(完整URL)的方式也可以对虚拟目录进行访问,但是这显然极大的影响了站点系统的应用。以下我们解决这个问题。
解决问题的思路是这样的:既然虚拟目录相当于站点主目录下的映射文件夹,而主目录下实际上又没有这个实际文件夹,那么我们可以在主目录下创建一个与虚拟目录同名的假文件夹。这个假文件夹使浏览器中可以显示一个与虚拟目录同名的项目。用户在打开这个假文件夹时,将直接被引导到虚拟目录。
首先,我们需要查看FTP站点的主目录位置,如右图,在FTP站点
属性表单中的选项卡中的栏中查看FTP站点主目录位置。
随后,打开Windows资源管理器,找到站点主目录文件夹,在主目录文件夹下新建一个与虚拟目录同名的假文件夹,如右图。
最后,刷新IE浏览器窗口,这时可见FTP站点主目录下出现虚拟目录图标,双击打开,即可进入虚拟目录。
现在,让我们讨论一个问题:一旦主目录下的假文件夹也包含有文件,那么在请求虚拟目录时,用户得到的是虚拟目录中的内容呢,还是假文件夹中实际存在的文件呢?这个问题留待读者自己思考,实在不得要领的话建议做一个实验验证之。
管理FTP站点
在前一节,我们已经能够创建FTP站点和虚拟目录了,为了使FTP站点能够正常工作,还依赖于对站点的合理配置。本节将介绍有关FTP站点的管理内容。对于安全相关的管理问题,由于其具有特殊的重要性,我们将在下一节同一讨论之。
配置FTP站点属性
FTP站点的的属性配置是在FTP站点属性表单中进行的。FTP站点属性表单与WWW属性表单非常相似,如右图,FTP站点属性表单有五个选项卡。
对FTP站点属性的配置方法如下:
1.打开IIS管理界面,右击管理控制树中的FTP站点图标,从弹出菜单中选择。
2.FTP站点属性表单如左图所示,默认打开选项卡。
3.在选项卡中配置FTP站点属性(包括标识、链接、日志等,下面将详细讨论它们的值),完成后单击,再单击关闭对话框。
在FTP站点属性表单的选项卡中可以对站点的下述参数进行配置:
标识:这部分包括站点说明、IP地址和TCP端口号三项。其中站点说明是在创建站点是指定的,用于在IIS内部识别站点,并无其他用途,与站点的DNS域名也无如何关系。FTP服务的默认TCP端口号为21。由于FTP服务不支持主机标头(Host Header),所以不能以主机头方式配置虚拟服务器。也就是说,在网络中区分FTP站点的唯一性标识只有IP地址和端口号。
连接:FTP站点的连接限制与Web站点的连接限制几乎完全相同。连接限制用于维护站点的可用性并改善站点的连接性能。这一点对FTP站点来说尤为重要,因为几乎每个连到站点的用户都会进行或多或少的文件下载,下载对带宽的占用是非常巨大的。在栏中单击并制定同时连接到该站点的最大并发连接数,缺省限制为同时100,000个连接。
在栏中,可以指定站点将在多长时间后断开无响应用户的连接。缺省值设为900秒,即一个用户在发呆15分钟后将被IIS断开连接。
日志:对于FTP站点而言,也可以配置其启用日志功能,使用户对站点的全部访问都记录在日志文件中。在选项卡中选择复选框,对于FTP站点,只有三种可用的日志文件格式可用:Microsoft IIS文件格式、ODBC格式和W3C扩展文件格式,在下拉列表框中指定之。
单击日志格式栏中的打开如右图所示的扩充日志属性对话框。指定新日志文件的生成时间间隔或文件大小,根据用户访问量的大小和现有的分析能力决定采用何种方式进行文件更新。在栏中指定日志文件存储的路径和文件名。详细的日志文件命名规则参见前面对Web日志文件的介绍。
在扩充日志属性对话框中单击选项卡,从中可以对日志文件中记录的事件类型进行详细设定。
当前用户:FTP站点属性对话框中有一个独特的选项,单击,打开对话框,如右图所示。该对话框中列出当前连接到FTP站点的用户列表。从列表中选择用户,单击可以断开当前用户的连接,单击可以使全部的当前用户从系统断开。
对话框为站点管理员提供了更灵活的管理方式和控制方式,使管理员能够实时控制当前用户的连接状态。
分配FTP站点操作员
FTP站点操作员是指具有对站点进行全方位操作、维护能力的站点管理员。默认的站点管理员是Windows 2000系统管理员组的全体成员。在实际工作中,出于安全性、内容维护和其他考虑通常需要重新指定站点管理员,具体方法如下:
1.打开IIS管理界面,右击管理控制树中的FTP站点图标,从弹出菜单中选择。
2.在FTP站点属性表单中单击选项卡,如右图所示。
3.在列表中选择当前操作员账号,单击,去掉缺省的站点操作员账号。
4.单击,打开对话框。
5.指定站点操作员的账号或组账号,单击返回。
6.单击使配置生效,单击关闭站点属性表单。
FTP站点信息
用户在连入FTP站点时,应该得到对站点的相关介绍,对于不能像WWW服务一样提供丰富信息的FTP站点来说,这样的介绍尤为重要。此外,在用户离开站点时,以及因站点达到最大连接数而不能接受用户的访问请求时,都应该得到相应的提示信息。这些提示性、解说性的简要信息就是FTP服务的站点消息。
站点消息的指定要在FTP站点属性表单中的选项卡中进行指定,如右图。FTP站点消息分为三种:欢迎、退出、最大连接数,分别在选项卡中的、和栏中进行指定。这三种消息类型的具体说明如下:
欢迎消息:用于向每一个连接到当前站点的访问者介绍本站点提供的服务、文件内容、访问方式等有关信息。它们有助于访问者更好地了解站点提供的内容,弥补FTP服务的信息断层。
如右图就是一个站点欢迎消息的示例,以在IE浏览器中打开的Web站点为例,左侧窗格中列出当前打开的FTP站点的欢迎消息内容(黄色背景部分)。
退出消息:用于在客户断开连接时(退出系统),发送给站点访问者的信息,一般为"再见,欢迎再来"之类的话。由于旧式的FTP工具大多是在命令行方式下工作的(Windows 2000命令提示行下页可以访问FTP站点),所以在退出站点时可见该消息(在IE浏览器中不存在退出的问题,只需要关闭窗口即断开与站点的连接,故该信息不可见)。
最大连接数消息:该消息用于在系统同时连接数已经达到上限(最大并发连接限制)时,向请求连接站点的新访问者发出的提示消息,如"由于当前用户太多,不能响应你的请求,请稍候再试"等。
右图为命令提示行下,FTP这点的欢迎和退出消息。如果某些采用不同操作系统或客户端FTP软件的用户抱怨欢迎消息不能完全显示,则说明存在消息格式冲突,解决的方法是将站点的欢迎消息限制在一行之内。
配置FTP站点主目录
FTP站点主目录是供站点存储主要文件的目录。主目录下的文件夹将作为FTP站点根目录的下一级目录出现,虚拟目录相当于主目录下的对应文件夹,也是站点根目录的下一级目录。
FTP站点主目录的指定方式有本地主目录和远程主目录两种。前者是指站点主目录位于本地计算机的磁盘上;后者是将主目录设置为网络中(必须与IIS计算机同在一域之内)的另一台计算机的共享文件夹上。主目录是在FTP站点属性表单的选项卡中指定的。
如右上图,本地主目录的指定方法为:在选项卡中选择主目录位置为。单击指定主目录位置或者直接在栏中输入主目录路径。单击、完成。
远程主目录的指定方法为:在选项卡中选择主目录位置为,然后从栏中指定共享主目录的UNC路径。如果当前站点管理员没有访问所指定共享文件夹的权限,则单击,打开如右下图所示的身份验证对话框,输入具有对该共享文件夹合适权限的账号和口令,单击返回。单击、完成。
配置站点目录列表方式
选项卡中还可以指定目录列表风格。可选的站点目录列表风格有MS-DOS和UNIX两种,在选项卡中的栏中选择或分别之。
按照字面理解,这两种风格分别适用于DOS/Windows 用户和UNIX用户,但这也不是绝对的。只能说某种风格可能会另相应操作系统的用户看起来更舒服一些,其中对UNIX/LINUX用户的影响更大一点。所以,在主要针对UNIX/LINUX用户群的站点应设置为UNIX列表方式。下面两个窗口是不同目录列表方式在Windows 2000目录提示行下的显示示例,左图为MS-DOS方式,右图为UNIX方式。
实现FTP服务
FTP站点安全性设置
FTP站点的安全性设置相对单纯,这是因为FTP站点并不涉及复杂的安全性应用程序和服务器/浏览器交互过程。限制FTP站点安全性的手段无非是:用户账号认证、匿名访问控制以及IP地址限制,本节将给出这些限制方法及其综合运用方式。
目录安全性设置
FTP用户仅有两种目录权限:读取和写入,读取权限对应于下载能力;写入权限对应上传能力。
FTP站点的目录权限是对全体访问该目录的用户都生效的权限,即一旦某个目录设置为仅有读取权限,则任何FTP用户,包括授权用户都不能进行上传操作(需要写入权限)。
目录权限可以在FTP站点和虚拟目录两个层次进行设置。在IIS管理MMC界面的管理控制树中右击FTP站点或虚拟目录图标,选择,
打开站点属性表单或虚拟目录属性表单,选择或选项卡。只需选择、复选框即可指定站点或虚拟目录的目录访问权限。如右图,就是在虚拟目录属性表单中配置目录权限的情况。
目录权限与NTFS权限并无关系,但二者共同作用于FTP站点访问者。一般的,在NTFS分区上的站点目录被设置的NTFS权限如果与我们这里设置的目录权限发生冲突,二者中限制较大(权限较小)的权限将实际发生作用。这种配置有利于站点的安全性,两重的权限保护在某种程度上避免了管理员的疏忽。所以,应当尽量的将站点目录(包括虚拟目录)存储在NTFS分区中。
完成目录权限指定后,单击使之生效,如果此时系统提示修改过的权限设置与当前对象的子站点(子目录或虚拟目录)存在权限冲突,如右图,则说明子站点权限与当前权限有不一致的情况。这时,应在图中的列表栏中指定继承当前许可设置的子站点/子目录对象。或者单击使当前权限能够覆盖全部子对象当权限。单
击返回。如果不选择站点或单击,都会导致只有当前对象直接包含的文件才被修改了权限。最后单击结束目录权限的设置。
匿名访问控制
匿名访问是FTP服务的一大特点,虽然在WWW服务中也有匿名访问的限制,但是匿名访问对于一个FTP站点来说在安全性和内容方面具有特殊的用途。
由于FTP是一个简单的,在Internet产生初期就存在的服务,一个FTP站点除了用户账号之外没有其他的用户安全验证服务(ISAPI过滤器、数字证书等方法对于FTP是无效的)。所以有必要合理的设置FTP安全账号。
在IIS管理器的MMC界面中,右击管理控制树中的FTP站点节点,从弹出菜单中选择,打开站点属性表单,选择选项卡,如右图所示,这里是配置匿名访问的主要界面。
在选项卡中选中复选框,使当前站点同时允许匿名和授权用户连接。
IIS默认的匿名访问用户账号是IUSR_computername,其中computername是 IIS所在服务器的计算机名。我们也可以更改这一账号,在选项卡中单击栏右侧的。在如右上图所示的中指定匿名用户账号,单击即可。
通常情况下,虽然匿名访问用户账号由Windows 2000进行验证和安全性维护,但是账号的密码是由IIS进行控制的,取消选择复选框可以自行指定用户密码。
FTP站点的用户访问控制可以分为三种情况:仅有授权访问、仅有匿名访问、匿名访问与授权访问混合使用。仅使用匿名访问方式的好处是强化系统的安全性。这种方式拒绝任何非匿名的登录请求,也就不可能允许具有管理员权限的用户(可能是黑客)通过Internet登录站点,从而保证服务器不被入侵。在FTP站点属性表单的选项卡中选择复选框进行此设置。如果清除此复选框,IIS会给出如右下图所示的警告对话框。
对于授权用户,可以在图形界面或基于目录提示行的FTP客户端软件中直接指定登录账号和密码(匿名账号为anonymous,密码为空),以做登录验证之用。左图是在IE浏览器中登录FTP站点的对话框。缺省时,在IE中打开FTP站点都是以匿名身份进入的,需要改变用户身份时,单击IE浏览器的菜单,选择,如右图所示,输入账号和密码,单击以授权用户身份进入站点。通常只有授权用户才有上传权限。
IP地址访问控制
IP地址限制是FTP站点通常使用的安全限制方式之一,由于对于FTP这种较老的服务并无过多的安全技术可供选择,所以用好现有的安全限制(如IP地址限制)是非常必要的。
FTP站点的目录安全性可以以两种方式限制特殊IP地址的访问:授权访问和拒绝访问,两种方式不能同时使用。授权访问方式允许缺省用户访问站点,但可以指定不能访问站点的例外地址;拒绝访问方式缺省限制所有地址对站点的访问,但可以指定不受限制的例外地址。两种方式中后者的安全性要高些,但限制也较大,通常用于内部FTP站点(不对组织外的用户提供服务);前者则广泛用于公共的下载站点,根据经验或者日志文件的攻击纪录将曾经尝试攻击的用户IP地址加入例外地址列表即可加强站点的安全性。
指定IP地址限制的方法如下:
1.在FTP站点属性表单中单击选项卡。
2.如右上图,选择限制方式为或。
3.单击列表右侧的,打开例外地址对话框。
4.如右下图所示,选择限制类型为【单
㈡ 如何保证文件传输服务器FTP的安全
,系统的安全性是非常重要的,这是建立
FTP服务器
者所考虑的
第一个问题
。其安全性主要包括以下几个方面:一、
未经授权的用户禁止在服务器上进行FTP操作。
二、
FTP用户不能读取未经系统所有者允许的文件或目录。
三、
未经允许,FTP用户不能在服务器上建立文件或目录。
四、
FTP用户不能删除服务器上的文件或目录。
只有在服务器的/etc/passwd文件中存在名为"FTP"的用户时,服务器才可以接受
匿名FTP
连接,匿名FTP用户可以使用"
anonymous
"或"FTP"作为用户名,自己的Internet
电子邮件地址
作为保密字。为了解决上述安全性的另外三个问题,应该对FTP主目录下的
文件属性
进行管理,建议对每个目录及其文件采取以下一些措施:FTP主目录:将这个目录的所有者设为"FTP",并且将属性设为所有的用户都不可写,防止不怀好意的用户删改文件。
FTP/bin目录:该目录主要放置一些
系统文件
,应将这个目录的所有者设为"root"(即
超级用户
),并且将属性设为所有的用户都不可写。为保证合法用户可显示文件,应将目录中的ls文件属性设为可执行。
FTP/etc目录:将这个目录的所有者设为"root",并且将属性设为所有的用户都不可写。将目录下的group文件和passwd文件的属性设为所有用户只读属性,并用编辑器将passwd文件中用户加过密的口令删掉。
###NextPage###FTP/pub目录:将这个目录的所有者置为"FTP",并且将它的属性设为所有用户均可读、写、执行。
这样经过设置,既保证了系统文件不被删改,又保证了FTP合法用户的正常访问。
作为Internet上的FTP服务器,系统的安全性是非常重要的,这是建立FTP服务器者所考虑的第一个问题。其安全性主要包括以下几个方面:一、
未经授权的用户禁止在服务器上进行FTP操作。
二、
FTP用户不能读取未经系统所有者允许的文件或目录。
三、
未经允许,FTP用户不能在服务器上建立文件或目录。
四、
FTP用户不能删除服务器上的文件或目录。
只有在服务器的/etc/passwd文件中存在名为"FTP"的用户时,服务器才可以接受匿名FTP连接,匿名FTP用户可以使用"anonymous"或"FTP"作为用户名,自己的Internet电子邮件地址作为保密字。为了解决上述安全性的另外三个问题,应该对FTP主目录下的文件属性进行管理,建议对每个目录及其文件采取以下一些措施:FTP主目录:将这个目录的所有者设为"FTP",并且将属性设为所有的用户都不可写,防止不怀好意的用户删改文件。
FTP/bin目录:该目录主要放置一些系统文件,应将这个目录的所有者设为"root"(即超级用户),并且将属性设为所有的用户都不可写。为保证合法用户可显示文件,应将目录中的ls文件属性设为可执行。
FTP/etc目录:将这个目录的所有者设为"root",并且将属性设为所有的用户都不可写。将目录下的group文件和passwd文件的属性设为所有用户只读属性,并用编辑器将passwd文件中用户加过密的口令删掉。
FTP/pub目录:将这个目录的所有者置为"FTP",并且将它的属性设为所有用户均可读、写、执行。
这样经过设置,既保证了系统文件不被删改,又保证了FTP合法用户的正常访问。
㈢ 如何加强ftp的安全性
为Internet上的FTP服务器,系统的安全性是非常重要的,这是建立FTP服务器者所考虑的第一个问题。其安全性主要包括以下几个方面: 一、 未经授权的用户禁止在服务器上进行FTP操作。 二、 FTP用户不能读取未经系统所有者允许的文件或目录。 三、 未经允许,FTP用户不能在服务器上建立文件或目录。 四、 FTP用户不能删除服务器上的文件或目录。 FTP服务器采取了一些验明用户身份的办法来解决上述第一个问题,主要包括以下几个措施: FTP用户所使用的用户帐号必须在/etc/passwd文件中有所记载(匿名FTP用户除外),并且他的口令不能为空。在没有正确输入用户帐号和口令的情况下,服务器拒绝访问。 FTP守护进程FTPd还使用一个/etc/FTPusers文件,凡在这个文件中出现的用户都将被服务器拒绝提供FTP服务。服务器管理可以建立"不受欢迎"的用户目录,拒绝这些用户访问. 只有在服务器的/etc/passwd文件中存在名为"FTP"的用户时,服务器才可以接受匿名FTP连接,匿名FTP用户可用"anonymous"或"FTP"作为用户名,自己的Internet电子邮件地址作为保密字。为了解决上述安全性的另外三个问题,应该对FTP主目录下的文件属性进行管理,建议对每个目录及其文件采取以下一些措施: FTP主目录:将这个目录的所有者设为"FTP",并且将属性设为所有的用户都不可写,防止不怀好意的用户删改文件。 FTP/bin目录:该目录主要放置一些系统文件,应将这个目录的所有者设为"root"(即超级用户),并且将属性设为所有的用户都不可写。为保证合法用户可显示文件,应将目录中的ls文件属性设为可执行。 FTP/etc目录:将这个目录的所有者设为"root",并且将属性设为所有的用户都不可写。将目录下的group文件和passwd文件的属性设为所有用户只读属性,并用编辑器将passwd文件中用户加过密的口令删掉。 FTP/pub目录:将这个目录的所有者置为"FTP",并且将它的属性设为所有用户均可读、写、执行。 这样经过设置,既保证了系统文件不被删改,又保证了FTP合法用户的正常访问. 作为Internet上的FTP服务器,系统的安全性是非常重要的,这是建立FTP服务器者所考虑的第一个问题。其安全性主要包括以下几个方面: 一、 未经授权的用户禁止在服务器上进行FTP操作。 二、 FTP用户不能读取未经系统所有者允许的文件或目录。 三、 未经允许,FTP用户不能在服务器上建立文件或目录. 四、 FTP用户不能删除服务器上的文件或目录。 FTP服务器采取了一些验明用户身份的办法来解决上述第一个问题,主要包括以下几个措施: FTP用户所使用的用户帐号必须在/etc/passwd文件中有所记载(匿名FTP用户除外),并且他的口令不能为空。在没有正确输入用户帐号和口令的情况下,服务器拒绝访问。 FTP守护进程FTPd还使用一个/etc/FTPusers文件,凡在这个文件中出现的用户都将被服务器拒绝提供FTP服务。服务器管理可以建立"不受欢迎"的用户目录,拒绝这些用户访问。 只有在服务器的/etc/passwd文件中存在名为"FTP"的用户时,服务器才可以接受匿名FTP连接,匿名FTP用户可以用"anonymous"或"FTP"作为用户名,自己的Internet电子邮件地址作为保密字。为了解决上述安全性的另外三个问题,应该对FTP主目录下的文件属性进行管理,建议对每个目录及其文件采取以下一些措施: FTP主目录:将这个目录的所有者设为"FTP",并且将属性设为所有的用户都不可写,防止不怀好意的用户删改文件。 FTP/bin目录:该目录主要放置一些系统文件,应将这个目录的所有者设为"root"(即超级用户),并且将属性设为所有的用户都不可写。为保证合法用户可显示文件,应将目录中的ls文件属性设为可执行。 FTP/etc目录:将这个目录的所有者设为"root",并且将属性设为所有的用户都不可写。将目录下的group文件和passwd文件的属性设为所有用户只读属性,并用编辑器将passwd文件中用户加过密的口令删掉。 FTP/pub目录:将这个目录的所有者置为"FTP",并且将它的属性设为所有用户均可读、写、执行。 这样经过设置,既保证了系统文件不被删改,又保证了FTP合法用户的正常访问。
参考资料:协议分析网
㈣ FTP怎么设置
1、从“管理工具”中打开“Inetnet信息服务器6.0管理器”。
2、右击默认FTP“站点”,选择“属性”。
3、在默认FTP站点的属性窗口中,选择“主目录”选项卡、选择“写入”选项,允许上传文件,单击“确定”按钮。
4、在配置安全账户,要配置FTP服务的登录方式,需要在“Default
FTP
Site”属性对话框中,选择“安全账户”选项卡。
5、在ftp站点的属性对话框中,选择“消息”选项卡,可以设置用户连接到FTP站点显示的标题,欢迎和推出消息,在这里登录、推出FTP站点时,或者因为连接人数已经达到最大连接数而不能登录时,用户就会看到这些文字。
6、在FTP站点的属性对话框中,选择“目录安全性”选项卡,选择“拒绝访问”,单击“添加”按钮。
7、在弹出来的“授权访问”对话框中,在“类型”选项区域选择“一组计算机”单选按钮,在“网络标识”和“子网掩码”e
8、在“目录安全性”选项卡中,可以看到设置的拒绝访问网段,然后单击“确定”按钮。完成设置。
㈤ 如何打造安全稳定的FTP服务器
一、操作系统的选择
FTP服务器首先是基于操作系统而运作的,因而操作系统本身的安全性就决定了FTP服务器安全性的级别。虽然Windows 98/Me一样可以架设FTP服务器,但由于其本身的安全性就不强,易受攻击,因而最好不要采用。Windows NT就像鸡肋,不用也罢。最好采用Windows 2000及以上版本,并记住及时打上补丁。至于Unix、Linux,则不在讨论之列。
二、使用防火墙
端口是计算机和外部网络相连的逻辑接口,也是计算机的第一道屏障,端口配置正确与否直接影响到主机的安全,一般来说,仅打开你需要使用的端口,将其他不需要使用的端口屏蔽掉会比较安全。限制端口的方法比较多,可以使用第三方的个人防火墙,如天网个人防火墙等,这里只介绍Windows自带的防火墙设置方法。
1.利用TCP/IP筛选功能
在Windows ?2000和Windows XP中,系统都带有TCP/IP筛选功能,利用它可以简单地进行端口设置。以Windows XP为例,打开“本地连接”的属性,在“常规”选项中找到“Internet协议(TCP/IP)”,双击它打开该协议的属性设置窗口。点击右下方的“高级”按钮,进入“高级TCP/IP设置”。在“选项”中选中“TCP/IP筛选”并双击进入其属性设置。这里我们可以设置系统只允许开放的端口,假如架设的FTP服务器端口为21,先选中“启用TCP/IP筛选(所有适配器)”,再在TCP端口选项中选择“只允许”,点“添加”,输入端口号21,确定即可。这样,系统就只允许打开21端口。要开放其他端口,继续添加即可。这可以有效防止最常见的139端口入侵。缺点是功能过于简单,只能设置允许开放的端口,不能自定义要关闭的端口。如果你有大量端口要开放,就得一个个地去手工添加,比较麻烦。
2.打开Internet连接防火墙
对于Windows XP系统,自带了“Internet连接防火墙”功能,与TCP/IP筛选功能相比,设置更方便,功能更强大。除了自带防火墙端口开放规则外,还可以自行增删。在控制面板中打开“网络连接”,右击拨号连接,进入“高级”选项卡,选中“通过限制或阻止来自Internet的对此计算机的访问来保护我的计算机和网络”,启用它。系统默认状态下是关闭了FTP端口的,因而还要设置防火墙,打开所使用的FTP端口。点击右下角的“设置”按钮进入“高级设置”,选中“FTP服务器”,编辑它。由于FTP服务默认端口是21,因而除了IP地址一栏外,其余均不可更改。在IP地址一栏中填入服务器公网IP,确定后退出即可即时生效。如果架设的FTP服务器端口为其他端口,比如22,则可以在“服务”选项卡下方点“添加”,输入服务器名称和公网IP后,将外部端口号和内部端口号均填入22即可。
三、对IIS、Serv-u等服务器软件进行设置
除了依靠系统提供的安全措施外,就需要利用FTP服务器端软件本身的设置来提高整个服务器的安全了。
1.IIS的安全性设置
1)及时安装新补丁
对于IIS的安全性漏洞,可以说是“有口皆碑”了,平均每两三个月就要出一两个漏洞。所幸的是,微软会根据新发现的漏洞提供相应的补丁,这就需要你不断更新,安装最新补丁。
2)将安装目录设置到非系统盘,关闭不需要的服务
一些恶意用户可以通过IIS的溢出漏洞获得对系统的访问权。把IIS安放在系统分区上,会使系统文件与IIS同样面临非法访问,容易使非法用户侵入系统分区。另外,由于IIS是一个综合性服务组件,每开设一个服务都将会降低整个服务的安全性,因而,对不需要的服务尽量不要安装或启动。
3)只允许匿名连接
FTP最大的安全漏洞在于其默认传输密码的过程是明文传送,很容易被人嗅探到。而IIS又是基于Windows用户账户进行管理的,因而很容易泄漏系统账户名及密码,如果该账户拥有一定管理权限,则更会影响到整个系统的安全。设置为“只允许匿名连接”,可以免却传输过程中泄密的危险。进入“默认FTP站点”,在属性的“安全账户”选项卡中,将此选项选中。
4)谨慎设置主目录及其权限
IIS可以将FTP站点主目录设为局域网中另一台计算机的共享目录,但在局域网中,共享目录很容易招致其他计算机感染的病毒攻击,严重时甚至会造成整个局域网瘫痪,不到万不得已,最好使用本地目录并将主目录设为NTFS格式的非系统分区中。这样,在对目录的权限设置时,可以对每个目录按不同组或用户来设置相应的权限。右击要设置的目录,进入“共享和安全→安全”中设置,如非必要,不要授予“写入”权限。
5)尽量不要使用默认端口号21
启用日志记录,以备出现异常情况时查询原因。
2.Serv-u的安全性设置
与IIS的FTP服务相比,Serv-u在安全性方面做得比较好。
1)对“本地服务器”进行设置
首先,选中“拦截FTP_bounce攻击和XP”。什么是FXP呢?通常,当使用FTP协议进行文件传输时,客户端首先向FTP服务器发出一个“PORT”命令,该命令中包含此用户的IP地址和将被用来进行数据传输的端口号,服务器收到后,利用命令所提供的用户地址信息建立与用户的连接。大多数情况下,上述过程不会出现任何问题,但当客户端是一名恶意用户时,可能会通过在PORT命令中加入特定的地址信息,使FTP服务器与其它非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一特定机器,但是如果FTP服务器有权访问该机器的话,那么恶意用户就可以通过FTP服务器作为中介,仍然能够最终实现与目标服务器的连接。这就是FXP,也称跨服务器攻击。选中后就可以防止发生此种情况。
其次,在“高级”选项卡中,检查“加密密码”和“启用安全”是否被选中,如果没有,选择它们。“加密密码”使用单向Hash函数(MD5)加密用户口令,加密后的口令保存在ServUDaemon。ini或是注册表中。如果不选择此项,用户口令将以明文形式保存在文件中:“启用安全”将启动Serv-u服务器的安全成功。
2)对域中的服务器进行设置
前面说过,FTP默认为明文传送密码,容易被人嗅探,对于只拥有一般权限的账户,危险并不大,但如果该账户拥有远程管理尤其是系统管理员权限,则整个服务器都会被别人远程控制。Serv-u对每个账户的密码都提供了以下三种安全类型:规则密码、OTP S/KEY MD4和OTP S/KEY MD5。不同的类型对传输的加密方式也不同,以规则密码安全性最低。进入拥有一定管理权限的账户的设置中,在“常规”选项卡的下方找到“密码类型”下拉列表框,选中第二或第三种类型,保存即可。注意,当用户凭此账户登录服务器时,需要FTP客户端软件支持此密码类型,如CuteFTP Pro等,输入密码时选择相应的密码类型方可通过服务器验证。
与IIS一样,还要谨慎设置主目录及其权限,凡是没必要赋予写入等能修改服务器文件或目录权限的,尽量不要赋予。最后,进入“设置”,在“日志”选项卡中将“启用记录到文件”选中,并设置好日志文件名及保存路径、记录参数等,以方便随时查询服务器异常原因。
㈥ ftp站点的设置
检查你是否 关闭了系统自带防火墙 默认情况 FTP 也就是端口21 是被防火墙 自动关闭的!
㈦ 如何进行全面提高FTP服务器的安全性能呢
Windows2000系统提供了FTP服务功能,由于简单易用,服务器托管与Windows系统本身结合紧密,深受广大用户的喜爱。但使用IIS5.0 架设的FTP服务器真的安全吗?它的默认设置其实存在很多安全隐患,很容易成为黑客们的攻击目标。服务器托管如何让FTP服务器更加安全,只要稍加改造,就能做到。
一 取消匿名访问功能
默认情况下服务器托管,Windows2000系统的FTP服务器是允许匿名访问的,虽然匿名访问为用户上传、下载文件提供方便,但却存在极大的安全隐患。用户不需要申请合法的账号,就能访问FTP服务器,甚至还可以上传、下载文件,特别对于一些存储重要资料的FTP服务器,服务器托管很容易出现泄密的情况,因此建议用户取消匿名访问功能。
在Windows2000系统中,点击“开始→程序→管理工具→Internet服务管理器”,弹出管理控制台窗口。然后展开窗口左侧的本地计算机选项,就能看到IIS5.0自带的FTP服务器,下面笔者以默认FTP站点为例,介绍如何取消匿名访问功能。
右键点击“默认FTP站点”项,在右键菜单中选择“属性”,服务器托管接着弹出默认FTP站点属性对话框,切换到“安全账号”标签页,取消“允许匿名连接”前的勾选,最后点击“确定”按钮,这样用户就不能使用匿名账号访问FTP服务器了,必须拥有合法账号。
二 启用日志记录
Windows日志记录着系统运行的一切信息,但很多管理员对日志记录功能不够重视,为了节省服务器资源,禁用了FTP服务器日志记录功能,服务器托管这是万万要不得的。FTP服务器日志记录着所有用户的访问信息,如访问时间、客户机IP地址、使用的登录账号等,这些信息对于FTP服务器的稳定运行具有很重要的意义,一旦服务器出现问题,就可以查看FTP日志,找到故障所在,及时排除。因此一定要启用FTP日志记录。
在默认FTP站点属性对话框中,切换到“FTP站点”标签页,一定要确保“启用日志记录”选项被选中,这样就可以在“事件查看器”中查看FTP日志记录了。
三 正确设置用户访问权限
每个FTP用户账号都具有一定的访问权限,但对用户权限的不合理设置,也能导致FTP服务器出现安全隐患。如服务器中的CCE文件夹,只允许 CCEUSER账号对它有读、写、修改、列表的权限,禁止其他用户访问,但系统默认设置,还是允许其他用户对CCE文件夹有读和列表的权限,服务器托管因此必须重新设置该文件夹的用户访问权限。
右键点击CCE文件夹,在弹出菜单中选择“属性”,然后切换到“安全”标签页,首先删除Everyone用户账号,接着点击“添加”按钮,服务器托管将 CCEUSER账号添加到名称列表框中,然后在“权限”列表框中选中修改、读取及运行、列出文件夹目录、读取和写入选项,最后点击“确定”按钮。这样一来,CCE文件夹只有CCEUSER用户才能访问。
四 启用磁盘配额
FTP服务器磁盘空间资源是宝贵的,无限制的让用户使用,势必造成巨大的浪费,因此要对每位FTP用户使用的磁盘空间进行限制。下面笔者以CCEUSER用户为例,将其限制为只能使用100M磁盘空间。
在资源管理器窗口中,右键点击CCE文件夹所在的硬盘盘符,在弹出的菜单中选择“属性”,接着切换到“配额”标签页,选中服务器托管“启用配额管理”复选框,激活“配额”标签页中的所有配额设置选项,为了不让某些FTP用户占用过多的服务器磁盘空间,一定要选中“拒绝将磁盘空间给超过配额限制的用户”复选框。
然后在“为该卷上的新用户选择默认配额限制”框中选择“将磁盘空间限制为”单选项,接着在后面的栏中输入100,磁盘容量单位选择为“MB”,然后进行警告等级设置,在“将警告等级设置为”栏中输入“96”,容量单位也选择为“MB”,这样就完成了默认配额设置。服务器托管此外,还要选中“用户超出配额限制时记录事件”和“用户超过警告等级时记录事件”复选框,以便将配额告警事件记录到Windows日志中。
点击配额标签页下方的“配额项”按钮,打开磁盘配额项目对话框,接着点击“配额→新建配额项”,弹出选择用户对话框,选中CCEUSER用户后,点击“确定”按钮,接着在“添加新配额项”对话框中为CCEUSER用户设置配额参数,服务器托管选择“将磁盘空间限制为”单选项,在后面的栏中输入 “100”,接着在“将警告等级设置为”栏中输入“96”,它们的磁盘容量单位为“MB”,最后点击“确定”按钮,完成磁盘配额设置,这样CCEUSER 用户就只能使用100MB磁盘空间,超过96MB就会发出警告。
五 TCP/IP访问限制
为了保证FTP服务器的安全,还可以拒绝某些IP地址的访问。在默认FTP站点属性对话框中,切换到“目录安全性”标签页,选中“授权访问”单选项,然后在“以下所列除外”框中点击“添加”按钮,弹出“拒绝以下访问”对话框,这里可以拒绝单个IP地址或一组IP地址访问,服务器托管以单个IP地址为例,选中“单机”选项,然后在“IP地址”栏中输入该机器的IP地址,最后点击“确定”按钮。这样添加到列表中的IP地址都不能访问FTP服务器了。
六 合理设置组策略
通过对组策略项目的修改,也可以增强FTP服务器的安全性。在Windows2000系统中,进入到“控制面板→管理工具”,运行本地安全策略工具。
1. 审核账户登录事件
在本地安全设置窗口中,服务器托管依次展开“安全设置→本地策略→审核策略”,然后在右侧的框体中找到“审核账户登录事件”项目,双击打开该项目,在设置对话框中选中“成功”和“失败”这两项,最后点击“确定”按钮。该策略生效后,FTP用户的每次登录都会被记录到日志中。
2. 增强账号密码的复杂性
一些FTP账号的密码设置的过于简单,就有可能被“不法之徒”所破解。为了提高FTP服务器的安全性,必须强制用户设置复杂的账号密码。
在本地安全设置窗口中,服务器托管依次展开“安全设置→账户策略→密码策略”,在右侧框体中找到“密码必须符合复杂性要求”项,双击打开后,选中“已启用”单选项,最后点击“确定”按钮。
然后,打开“密码长度最小值”项,为FTP账号密码设置最短字符限制。这样以来,密码的安全性就大大增强了。
3. 账号登录限制
有些非法用户使用黑客工具,反复登录FTP服务器,来猜测账号密码。这是非常危险的,因此建议大家对账号登录次数进行限制。
依次展开“安全设置→账户策略→账户锁定策略”,服务器托管在右侧框体中找到“账户锁定阈值”项,双击打开后,设置账号登录的最大次数,如果超过此数值,账号会被自动锁定。接着打开“账户锁定时间”项,设置FTP账号被锁定的时间,账号一旦被锁定,超过这个时间值,才能重新使用。
通过服务器托管以上几步设置后,用户的FTP服务器就会更加安全,再也不用怕被非法入侵了。
㈧ 如何提高FTP服务器安全性
一、禁止系统级别用户来登录FTP服务器。
为了提高FTP服务器的安全,系统管理员最好能够为员工设置单独的FTP帐号,而不要把系统级别的用户给普通用户来使用,这会带来很大的安全隐患。在VSFTP服务器中,可以通过配置文件vsftpd.ftpusers来管理登陆帐户。不过这个帐户是一个黑名单,列入这个帐户的人员将无法利用其帐户来登录FTP服务器。部署好VSFTP服务器后,我们可以利用vi命令来查看这个配置文件,发现其已经有了许多默认的帐户。其中,系统的超级用户root也在其中。可见出于安全的考虑,VSFTP服务器默认情况下就是禁止root帐户登陆FTP服务器的。如果系统管理员想让root等系统帐户登陆到FTP服务器,则知需要在这个配置文件中将root等相关的用户名删除即可。不过允许系统帐户登录FTP服务器,会对其安全造成负面的影响,为此我不建议系统管理员这么做。对于这个文件中相关的系统帐户管理员最好一个都不要改,保留这些帐号的设置。
如果出于其他的原因,需要把另外一些帐户也禁用掉,则可以把帐户名字加入到这个文件中即可。如在服务器上可能同时部署了FTP服务器与数据库服务器。那么为了安全起见,把数据库管理员的帐户列入到这个黑名单,是一个不错的做法。
二、加强对匿名用户的控制。
匿名用户是指那些在FTP服务器中没有定义相关的帐户,而FTP系统管理员为了便于管理,仍然需要他们进行登陆。但是他们毕竟没有取得服务器的授权,为了提高服务器的安全性,必须要对他们的权限进行限制。在VSFTP服务器上也有很多参数可以用来控制匿名用户的权限。系统管理员需要根据FTP服务器的安全级别,来做好相关的配置工作。需要说明的是,匿名用户的权限控制的越严格,FTP服务器的安全性越高,但是同时用户访问的便利性也会降低。故最终系统管理员还是需要在服务器安全性与便利性上取得一个均衡。
下面是我推荐的几个针对匿名用户的配置,大家若不清楚该如何配置的话,可以参考这些配置。这些配置兼顾了服务器的安全与用户的使用便利。
一是参数anon_world_readable_only。这个参数主要用来控制匿名用户是否可以从FTP服务器上下载可阅读的文件。如果FTP服务器部署在企业内部,主要供企业内部员工使用的话,则最好把这个参数设置为YES。然后把一些企业常用表格等等可以公开的文件放置在上面,让员工在匿名的情况下也可以下载这些文件。这即不会影响到FTP服务器的安全,而且也有利于其他员工操作的便利性上。
二是参数anon_upload_enable。这个参数表示匿名用户能否在匿名访问的情况下向FTP服务器上传文件。通常情况下,应该把这个参数设置为No。即在匿名访问时不允许用户上传文件。否则的话,随便哪个人都可以上传文件的话,那对方若上传一个病毒文件,那企业不是要遭殃了。故应该禁止匿名用户上传文件。但是这也有例外。如有些企业通过FTP协议来备份文件。此时如果企业网络的安全性有所保障的话,可以把这个参数设置为YES,即允许操作系统调用FTP命令往FTP服务器上备份文件。