ftp怎么设置安全
1. 如何保证文件传输服务器ftp的安全
,系统的安全性是非常重要的,这是建立
FTP服务器
者所考虑的
第一个问题
。其安全性主要包括以下几个方面:一、
未经授权的用户禁止在服务器上进行FTP操作。
二、
FTP用户不能读取未经系统所有者允许的文件或目录。
三、
未经允许,FTP用户不能在服务器上建立文件或目录。
四、
FTP用户不能删除服务器上的文件或目录。
只有在服务器的/etc/passwd文件中存在名为"FTP"的用户时,服务器才可以接受
匿名FTP
连接,匿名FTP用户可以使用"
anonymous
"或"FTP"作为用户名,自己的Internet
电子邮件地址
作为保密字。为了解决上述安全性的另外三个问题,应该对FTP主目录下的
文件属性
进行管理,建议对每个目录及其文件采取以下一些措施:FTP主目录:将这个目录的所有者设为"FTP",并且将属性设为所有的用户都不可写,防止不怀好意的用户删改文件。
FTP/bin目录:该目录主要放置一些
系统文件
,应将这个目录的所有者设为"root"(即
超级用户
),并且将属性设为所有的用户都不可写。为保证合法用户可显示文件,应将目录中的ls文件属性设为可执行。
FTP/etc目录:将这个目录的所有者设为"root",并且将属性设为所有的用户都不可写。将目录下的group文件和passwd文件的属性设为所有用户只读属性,并用编辑器将passwd文件中用户加过密的口令删掉。
###NextPage###FTP/pub目录:将这个目录的所有者置为"FTP",并且将它的属性设为所有用户均可读、写、执行。
这样经过设置,既保证了系统文件不被删改,又保证了FTP合法用户的正常访问。
作为Internet上的FTP服务器,系统的安全性是非常重要的,这是建立FTP服务器者所考虑的第一个问题。其安全性主要包括以下几个方面:一、
未经授权的用户禁止在服务器上进行FTP操作。
二、
FTP用户不能读取未经系统所有者允许的文件或目录。
三、
未经允许,FTP用户不能在服务器上建立文件或目录。
四、
FTP用户不能删除服务器上的文件或目录。
只有在服务器的/etc/passwd文件中存在名为"FTP"的用户时,服务器才可以接受匿名FTP连接,匿名FTP用户可以使用"anonymous"或"FTP"作为用户名,自己的Internet电子邮件地址作为保密字。为了解决上述安全性的另外三个问题,应该对FTP主目录下的文件属性进行管理,建议对每个目录及其文件采取以下一些措施:FTP主目录:将这个目录的所有者设为"FTP",并且将属性设为所有的用户都不可写,防止不怀好意的用户删改文件。
FTP/bin目录:该目录主要放置一些系统文件,应将这个目录的所有者设为"root"(即超级用户),并且将属性设为所有的用户都不可写。为保证合法用户可显示文件,应将目录中的ls文件属性设为可执行。
FTP/etc目录:将这个目录的所有者设为"root",并且将属性设为所有的用户都不可写。将目录下的group文件和passwd文件的属性设为所有用户只读属性,并用编辑器将passwd文件中用户加过密的口令删掉。
FTP/pub目录:将这个目录的所有者置为"FTP",并且将它的属性设为所有用户均可读、写、执行。
这样经过设置,既保证了系统文件不被删改,又保证了FTP合法用户的正常访问。
2. 如何设置ftp服务器
设置 FTP 服务器需要以下步骤:
选择合适的 FTP 服首派务器软件,比如 FileZilla、vsftpd 等。安装FTP服务器软件时需要注意设置用户和组权限。
指定 FTP 服务器运行的端口号,建议使用默认端口号21,因为大多数 FTP 客户端都默认使用该端口。
创建用户和组,分配相应的权限。FTP 用户应拥有访问 FTP 目录的权则孙限,组应拥有读写 FTP 目录和日志文件的权限。
配置 FTP 服务器部分安全性参数,例如最大连接数、连接超时时间、限制的最大传输速度等。
配置 FTP 服务器的数据传输模式,常用的有主动模式和被动模式。
设置 FTP 服务器上文件的格式和编码方式。可以设置为二进制文件格式或ASCII 文件格式。
配置 FTP 服务器日志,记录孙芹链 FTP 服务器访问记录及操作记录
3. 如何保护FTP服务器
一)禁止匿名登录。允许匿名访问有时会导致被利用传送非法文件。取消匿名登录,只允许被预定义的用户帐号登录,配置被定义在FTP主目录的ACL[访问控制列表]来进行访问控制,并使用NTFS许可证。
(二)设置访问日志。通过访问日志可以准确得到哪些IP地址和用户访问的准确纪录。定期维护日志能估计站点访问量和找出安全威胁和漏洞。
(三)强化访问控制列表。采用NTFS访问许可,运用ACL[访问控制列表]控制对您的FTP目录的的访问。
(四)设置站点为不可视。如您只需要用户传送文件到服务器而不是从服务器下载文件,可以考虑配置站点为不可视。这意味着用户被允许从FTP目录写入文件不能读取。这样可以阻止未授权用户访问站点。要配置站点为不可视,应当在“站点”和“主目录”设置访问许可。
(五)使用磁盘配额。磁盘配额可能有效地限制每个用户所使用的磁盘空间。授予用户对自己上传的文件的完全控制权。使用磁盘配额可以检查用户是否超出了使用空间,能有效地限制站点被攻破所带来的破坏。并且,限制用户能拥有的磁盘空间,站点将不会成为那些寻找空间共享媒体文件的黑客的目标。
(六)使用访问时间限制。限制用户只能在指定的日期的时间内才能登陆访问站点。如果站点在企业环境中使用,可以限制只有在工作时间才能访问服务请。下班以后就禁止登录以保障安全。
(七)基于IP策略的访问控制。FTP可以限制具体IP地址的访问。限制只能由特定的个体才能访问站点,可以减少未批准者登录访问的危险。
(八)审计登陆事件。审计帐户登录事件,能在安全日志查看器里查看企图登陆站点的(成功/失败)事件,以警觉一名恶意用户设法入侵的可疑活动。它也作为历史记录用于站点入侵检测。
(九)使用安全密码策略。复杂的密码是采用终端用户认证的安全方式。这是巩固站点安全的一个关键部分,FTP用户帐号选择密码时必须遵守以下规则:不包含用户帐号名字的全部或部份;必须是至少6个字符长;包含英文大、小写字符、数字和特殊字符等多个类别。
(十)限制登录次数。Windows系统安全策略允许管理员当帐户在规定的次数内未登入的情况下将帐户锁定。
4. 注重设置让FTP服务器共享更安全
为了方便员工之间相互交流和传输信息,不少单位都利用Windows服务器系统自带的FTP功能架设了FTP服务器,这样一来员工就能把自己的信息上传到FTP服务器中让其他人下载使用了。不过,不同部门的员工共享使用同一台FTP服务器,往往会存在部门信息被轻易外泄的危险;为了有效避免这种风险,让FTP服务器共享访问更安全,我们可以从设置出发,来让不同部门的员工访问FTP服务器时只能看到本部门的信息,而不能看到其他部门的信息,这样一来就能实现多部门、多用户共享使用FTP服务器的目的了!
架设FTP服务器
假设某单位为了便于统一管理FTP服务器,希望能让不同的部门共享使用相同的一台FTP服务器,并希望不同部门用户登录进FTP服务器后,只能访问到本部门上传发布的信息,并且仅对这些信息进行读取或修改,而不能看到其他部门的上传信息。比方说,我们假设指定“D:\aaa”文件夹作为单位FTP服务器的主目录,并在该目录下创建两个名称分别为“bbb”与“ccc”的文件夹,现在我们要让B部门的员工以“bbb”用户帐号登录FTP服务器时,只能访问和读取“bbb” 文件夹中的信息,而不能看到和访问“ccc” 文件夹中的信息,那样一来多部门共享一台FTP服务器的安全性就能得到有效保证了。要实现上面的设置目的,我们不妨按照如下步骤进行设置:
首先以超级管理员身份登录进FTP服务器所在的主机系统,并在该系统桌面中用鼠标逐一单击“开始”、“设置”、“控制面板”命令,在其后弹出的窗口中用鼠标双击“管理工具”图标,之后再双击“计算机管理”图标,打开主机系统的计算机管理窗口;在该管理窗口的左侧显示区域,用鼠标依次展开“本地用户和组”/“用户”分支选项,打开计算机用户管理窗口,在该窗口的右侧空白区域单击鼠标右键,从弹出的右键菜单中执行“用户”命令,来为B部门和C部门的员工分别创建好登录FTP服务器的用户帐号名称“bbb”和“ccc”,同时为这两个用户帐号设置好合适的密码信息。
接着打开服务器系统的资源管理器窗口,找到该主机D盘下面的“aaa”文件夹,然后用鼠标双击该文件夹图标,在其后的文件夹窗口中用鼠标右击空白区域,并依次执行快捷菜单中的“新建”/“文件夹”命令,来在“aaa”文件夹下面分别创建好“bbb”与“ccc”文件夹,这两个文件夹就作为B部门和C部门员工的信息上传目录。
下面返回到服务器系统桌面中,并依次单击“开始”/“设置”/“控制面板”命令,在其后的窗口中用鼠标依次双击“管理工具”、“Internet服务管理器”图标,打开Internet信息服务窗口,在该窗口的左侧显示区域,用鼠标右键单击服务器主机名称,从弹出的快捷菜单中依次执行“新建”/“FTP站点”命令镇岁嫌,然后在弹出的向导窗口中依照提示(如图1所示), 设置好FTP服务器的站点名称、IP地址,以及指定好FTP站点所用的主目录路径,这样就能顺利完成FTP服务器站点的架设操作了。
小提示:当我们在Internet信息服务窗口的左侧显示区域中无法找到“FTP站点”选项时,那表明当前服务器系统还没有安装FTP文件传输协议功能,雀芹此时我们可以按照前面步骤打开系统的控制面板窗口,并在其中双击“添加/御手删除程序”命令,然后选择“添加/删除Windows组件”项目,打开Windows组件安装向导窗口;选中该窗口列表中的“应用程序服务器”选项,并单击“详细信息”按钮,之后选中应用程序服务器列表窗口中的“Internet信息服务(IIS)”子组件,再单击一下“详细信息”按钮,打开如图2所示的列表界面, 选中其中的“文件传输协议(FTP)服务”,最后单击“确定”按钮,那样一来服务器系统的FTP文件传输协议功能就能被正确安装成功了。
5. 四大策略有效保护FTP服务器口令的安全
由于FTP服务器常被用来做文件上传与下载的工具,所以,其安全的重要性就不同一般。因为若其被不法攻击者攻破的话,不但FTP服务器上的文件可能被破坏或者窃取;更重要的是,若它们在这些文件上下病毒、木马,则会给全部的FTP用户带来潜在的威胁。所以,保护FTP服务器的安全已经迫在眉睫。
而要保护FTP服务器,就要从保护其口令的安全做起。这里就谈谈常见的FTP服务器具有的一些口令安全策略,帮助大家一起来提高FTP服务器闭戚乱的安全性。
策略一:口令的期限
有时候,FTP服务器不仅会给员工用,而且还会临时给一个账号给外部的合作伙伴使用。如销售部门经常会因为一些文件比较大,无法通过电子邮件发送,需要通过FTP 服务器把文件传递给客户。所以,在客户或者供应商需要一些大文件的时候,就得给他仔码们一个FTP服务器的临时帐号与密码。
现在的做法就是,在FTP服务器设置一个账号,但是,其口令则是当天有效,第二天就自动失效。如此的话,当客户或者供应商需要使用FTP服务器的话,只需要更改一些密码即可。而不需要每次使用的时候,去创建一个用户;用完后再把它删除。同时,也可以避免因为没有及时注销临时帐户而给服务器带来安全上的隐患,因为口令会自动失效。
大多数FTP服务器,如微软操作系统自带的FTP服务器软件,都具有口令期限管理的功能。一般来说,对于临时的帐户,就可以跟帐户与口令的期限管理一起,来提高临时帐户的安全性。而对于内部用户来说,也可以通过期限管理,来督促员工提高密码更改的频率。
策略二:口令必须符合复杂性规则
现在由不少银行,为了用户帐户的安全,进行了一些密码的复杂性认证。如诸如888888等形式的密码,已经不在被接受。从密码学上来说,这种形式的密码是非常危险的。因为他们可以通过一些密码破解工具,如密码电子字典等等,非常轻松的进行破解。
故为了提高口令本身的安全性,最简单的就是提高密码的复杂程度。在FTP服务器中,可以通过口令复杂性规则,强制用户采用一些安全级别比较高的口令。具体的来说,可以进行如下的复杂性规则设定。
1、不能以纯数字或者纯字符作为密码
若黑客想破解一个FTP服务器的帐号,其所用的时间直接跟密码的组成相关。如现在由一个八位数字的密码,一个是纯数字组成的,另外一个是数字与字符的结合。如分别为82372182与32dwl98s.这两个密码看起来差不多,可是对与密码破解工具来说,就相差很大。前面这个纯数字的密码,通过一些先进的密码破解工具,可能只需要24个小时就可以破解;可是,对于后面这个字母与数字结合的密码,则其破解就需要2400个小时,甚至更多。其破解难度比原先那个起码增加了100倍。
可见,字符与数字结合的口令,其安全程度是相当高的。为此,我们可以在FTP服务器上进行设置,让其不接受纯数字或者纯字符的口令设置。
2、口令不能与用户名相同
其实,我轿档们都知道,很多时候服务器被攻破都是因为管理不当所造成的。而用户名与口令相同,则是FTP服务器最不安全的因素之一。
很多用户,包括网络管理员,为了容易记忆与管理,他们喜欢把密码跟用户名设置为一样。这虽然方便了使用,但是,很明显这是一个非常不安全的操作。根据密码攻击字典的设计思路,其首先会检查FTP服务器其帐户的密码是否为空;若不为空,则其会尝试利用用户名相同的口令来进行破解。若以上两个再不行的话,则其再尝试其他可能的密码构成。
所以,在黑客眼中,若口令跟用户名相同,则相当于没有设置口令。为此,在FTP服务器的口令安全策略中,也要把禁止口令与密码一致这个原则强制的进行实现。
3、密码长度的要求
虽然说口令的安全跟密码的长度不成正比,但是,一般来说,口令长总比短好。如对于随机密码来说,破解7位的口令要比破解5位的口令难度增加几十倍,虽然说,其口令长度只是增加了两位。
策略三:口令历史纪录
为了提高FTP服务器的安全,则为用户指定一个不能重复口令的时间间隔,这也是非常必要的。如FTP服务器中有一个文件夹,是专门用来存放客户的订单信息,这方便相关人员在出差的时候,可以及时的看到这方面的内容。这个文件夹中的资料是属于高度机密的。若这些内容泄露出去的话,则企业可能会失去大量的订单,从而给企业带来致命的影响。
所以,对于存放了这么敏感资料的FTP服务器,在安全性方面是不敢小视。为此,就启用了口令历史纪录功能。根据这个策略,用户必须每隔一个星期更改一次FTP服务器密码。同时,用户在60天之内,不能够重复使用这个密码。也就是说,启用了口令历史纪录功能之后,FTP服务器会纪录用户两个月内使用过的密码。若用户新设置的密码在两个月内用过的话,则服务器就会拒绝用户的密码更改申请。
可见,口令历史纪录功能可以在一定程度上提高FTP服务器口令的安全性。
策略四:账户锁定策略
从理论上来说,再复杂的密码,也有被电子字典攻破的可能。为此,我们除了要采用以上这些策略外,还需要启用“帐户锁定策略”。这个策略可以有效的避免不法之徒的密码攻击。
帐户锁定策略是指当一个用户超过了指定的失败登陆次数时,服务器就会自动的锁定这个帐号,并向管理员发出警告。通过这个策略,当不法人士试图尝试不同的口令登陆FTP服务器时,由于其最多只能够尝试三次(假如管理员设置失败的登陆次数最多为3),则这个帐号就会被锁定。这就会让他们的密码攻击无效。
在采用帐户锁定策略时,需要注意几个方面的内容。
一是采用手工解禁还是自动解禁。若采用手工解禁的话,则被锁住的账户必须有管理员手工解禁。而若设置为自动解禁的话,则当帐户锁住满一定期限的时候,服务器会自动帮这个帐号进行解锁。若对于服务器的安全性要求比较高的话,则建议采用手工解禁的方式比较好。
二是错误登陆的次数设置。若这个次数设置的太多,不能够起到保护的作用。若设置的太少的话,则用户可能因为疏忽密码输入错误,而触发帐户锁定,从而给服务器管理员凭空增加不少的工作量。为此,一般可以把这个次数设置为三到五次。这既可以保证安全性的需要,而且也给用户密码输入错误提供了一定的机会。
三是遇到帐户锁定情况时,要能够自动向服务器管理员发出警报。因为作为FTP服务器来说,其不能够辨别这是恶意攻击事件还是一个偶然事件。这需要服务器管理员根据经验来进行判断。FTP服务器只能够提供暂时的保护作用。所以,当出现帐户锁定的情况时,服务器要能够向管理员发出警报,让其判断是否存在恶意攻击。若存在的话,则就需采取相应的措施来避免这种情况的再次发生。
通过以上四种策略,基本上可以保障FTP服务器口令的安全。
6. 如何进行全面提高FTP服务器的安全性能呢
Windows2000系统提供了FTP服务功能,由于简单易用,服务器托管与Windows系统本身结合紧密,深受广大用户的喜爱。但使用IIS5.0 架设的FTP服务器真的安全吗?它的默认设置其实存在很多安全隐患,很容易成为黑客们的攻击目标。服务器托管如何让FTP服务器更加安全,只要稍加改造,就能做到。
一 取消匿名访问功能
默认情况下服务器托管,Windows2000系统的FTP服务器是允许匿名访问的,虽然匿名访问为用户上传、下载文件提供方便,但却存在极大的安全隐患。用户不需要申请合法的账号,就能访问FTP服务器,甚至还可以上传、下载文件,特别对于一些存储重要资料的FTP服务器,服务器托管很容易出现泄密的情况,因此建议用户取消匿名访问功能。
在Windows2000系统中,点击“开始→程序→管理工具→Internet服务管理器”,弹出管理控制台窗口。然后展开窗口左侧的本地计算机选项,就能看到IIS5.0自带的FTP服务器,下面笔者以默认FTP站点为例,介绍如何取消匿名访问功能。
右键点击“默认FTP站点”项,在右键菜单中选择“属性”,服务器托管接着弹出默认FTP站点属性对话框,切换到“安全账号”标签页,取消“允许匿名连接”前的勾选,最后点击“确定”按钮,这样用户就不能使用匿名账号访问FTP服务器了,必须拥有合法账号。
二 启用日志记录
Windows日志记录着系统运行的一切信息,但很多管理员对日志记录功能不够重视,为了节省服务器资源,禁用了FTP服务器日志记录功能,服务器托管这是万万要不得的。FTP服务器日志记录着所有用户的访问信息,如访问时间、客户机IP地址、使用的登录账号等,这些信息对于FTP服务器的稳定运行具有很重要的意义,一旦服务器出现问题,就可以查看FTP日志,找到故障所在,及时排除。因此一定要启用FTP日志记录。
在默认FTP站点属性对话框中,切换到“FTP站点”标签页,一定要确保“启用日志记录”选项被选中,这样就可以在“事件查看器”中查看FTP日志记录了。
三 正确设置用户访问权限
每个FTP用户账号都具有一定的访问权限,但对用户权限的不合理设置,也能导致FTP服务器出现安全隐患。如服务器中的CCE文件夹,只允许 CCEUSER账号对它有读、写、修改、列表的权限,禁止其他用户访问,但系统默认设置,还是允许其他用户对CCE文件夹有读和列表的权限,服务器托管因此必须重新设置该文件夹的用户访问权限。
右键点击CCE文件夹,在弹出菜单中选择“属性”,然后切换到“安全”标签页,首先删除Everyone用户账号,接着点击“添加”按钮,服务器托管将 CCEUSER账号添加到名称列表框中,然后在“权限”列表框中选中修改、读取及运行、列出文件夹目录、读取和写入选项,最后点击“确定”按钮。这样一来,CCE文件夹只有CCEUSER用户才能访问。
四 启用磁盘配额
FTP服务器磁盘空间资源是宝贵的,无限制的让用户使用,势必造成巨大的浪费,因此要对每位FTP用户使用的磁盘空间进行限制。下面笔者以CCEUSER用户为例,将其限制为只能使用100M磁盘空间。
在资源管理器窗口中,右键点击CCE文件夹所在的硬盘盘符,在弹出的菜单中选择“属性”,接着切换到“配额”标签页,选中服务器托管“启用配额管理”复选框,激活“配额”标签页中的所有配额设置选项,为了不让某些FTP用户占用过多的服务器磁盘空间,一定要选中“拒绝将磁盘空间给超过配额限制的用户”复选框。
然后在“为该卷上的新用户选择默认配额限制”框中选择“将磁盘空间限制为”单选项,接着在后面的栏中输入100,磁盘容量单位选择为“MB”,然后进行警告等级设置,在“将警告等级设置为”栏中输入“96”,容量单位也选择为“MB”,这样就完成了默认配额设置。服务器托管此外,还要选中“用户超出配额限制时记录事件”和“用户超过警告等级时记录事件”复选框,以便将配额告警事件记录到Windows日志中。
点击配额标签页下方的“配额项”按钮,打开磁盘配额项目对话框,接着点击“配额→新建配额项”,弹出选择用户对话框,选中CCEUSER用户后,点击“确定”按钮,接着在“添加新配额项”对话框中为CCEUSER用户设置配额参数,服务器托管选择“将磁盘空间限制为”单选项,在后面的栏中输入 “100”,接着在“将警告等级设置为”栏中输入“96”,它们的磁盘容量单位为“MB”,最后点击“确定”按钮,完成磁盘配额设置,这样CCEUSER 用户就只能使用100MB磁盘空间,超过96MB就会发出警告。
五 TCP/IP访问限制
为了保证FTP服务器的安全,还可以拒绝某些IP地址的访问。在默认FTP站点属性对话框中,切换到“目录安全性”标签页,选中“授权访问”单选项,然后在“以下所列除外”框中点击“添加”按钮,弹出“拒绝以下访问”对话框,这里可以拒绝单个IP地址或一组IP地址访问,服务器托管以单个IP地址为例,选中“单机”选项,然后在“IP地址”栏中输入该机器的IP地址,最后点击“确定”按钮。这样添加到列表中的IP地址都不能访问FTP服务器了。
六 合理设置组策略
通过对组策略项目的修改,也可以增强FTP服务器的安全性。在Windows2000系统中,进入到“控制面板→管理工具”,运行本地安全策略工具。
1. 审核账户登录事件
在本地安全设置窗口中,服务器托管依次展开“安全设置→本地策略→审核策略”,然后在右侧的框体中找到“审核账户登录事件”项目,双击打开该项目,在设置对话框中选中“成功”和“失败”这两项,最后点击“确定”按钮。该策略生效后,FTP用户的每次登录都会被记录到日志中。
2. 增强账号密码的复杂性
一些FTP账号的密码设置的过于简单,就有可能被“不法之徒”所破解。为了提高FTP服务器的安全性,必须强制用户设置复杂的账号密码。
在本地安全设置窗口中,服务器托管依次展开“安全设置→账户策略→密码策略”,在右侧框体中找到“密码必须符合复杂性要求”项,双击打开后,选中“已启用”单选项,最后点击“确定”按钮。
然后,打开“密码长度最小值”项,为FTP账号密码设置最短字符限制。这样以来,密码的安全性就大大增强了。
3. 账号登录限制
有些非法用户使用黑客工具,反复登录FTP服务器,来猜测账号密码。这是非常危险的,因此建议大家对账号登录次数进行限制。
依次展开“安全设置→账户策略→账户锁定策略”,服务器托管在右侧框体中找到“账户锁定阈值”项,双击打开后,设置账号登录的最大次数,如果超过此数值,账号会被自动锁定。接着打开“账户锁定时间”项,设置FTP账号被锁定的时间,账号一旦被锁定,超过这个时间值,才能重新使用。
通过服务器托管以上几步设置后,用户的FTP服务器就会更加安全,再也不用怕被非法入侵了。
7. 如何使FTP服务器安全
一、操作系统的选择
FTP服务器首先是基于操作系统而运作的,因而操作系统本身的安全性就决定了FTP服务器安全性的级别。虽然Windows 98/Me一样可以架设FTP服务器,但由于其本身的安全性就不强,易受攻击,因而不要采用。Windows NT就像鸡肋,不用也罢。采用Windows 2000及以上版本,并记住及时打上补丁。至于Unix、Linux,则不在讨论之列。
二、使用防火墙
端口是计算机和外部网络相连的逻辑接口,也是计算机的第一道屏障,端口配置正确与否直接影响到主机的安全,一般来说,仅打开你需要使用的端口,将其他不需要使用的端口屏蔽掉会比较安全。限制端口的方法比较多,可以使用第三方的个人防火墙,如天网个人防火墙等,这里只介绍Windows自带的防火墙设置方法。
1。利用TCP/IP筛选功能
在消运Windows 2000和Windows XP中,系统都带有TCP/IP筛选功能,利用它可以简单地进行端口设置。以Windows XP为例,打开“本地连接”的属性,在“常规”选项中找到“Internet协议(TCP/IP)”,双击它打开该协议的属性设置窗口。点击右下方的“高级”卜桥厅按钮,进入“高级TCP/IP设置”。在“选项”中选中“TCP/IP筛选”并双击进入其属性设置。这里我们可以设置系统只允许开放的端口,假如架设的FTP服务器端口为21,先选中“启用TCP/IP筛选(所有适配器)”,再在TCP端口选项中选择“只允许”,点“添加”,输入端口号21,确定即可。这样,系统就只允许打开21端口。要开放其他端口,继续添加即可。这可以有效防止最常见的139端口入侵。缺点是功能过于简单,只能设置允许开放的端口,不能自定义要关闭的端口。如果你有大量端口要开放,就得一个个地去手工添加,比较麻烦。
2。打开Internet连接防火墙
对于Windows XP系统,自型隐带了“Internet连接防火墙”功能,与TCP/IP筛选功能相比,设置更方便,功能更强大。除了自带防火墙端口开放规则外,还可以自行增删。在控制面板中打开“网络连接”,右击拨号连接,进入“高级”选项卡,选中“通过限制或阻止来自Internet的对此计算机的访问来保护我的计算机和网络”,启用它。系统默认状态下是关闭了FTP端口的,因而还要设置防火墙,打开所使用的FTP端口。点击右下角的“设置”按钮进入“高级设置”,选中“FTP服务器”,我它。由于FTP服务默认端口是21,因而除了IP地址一栏外,其余均不可更改。在IP地址一栏中填入服务器公网IP,确定后退出即可即时生效。如果架设的FTP服务器端口为其他端口,比如22,则可以在“服务”选项卡下方点“添加”,输入服务器名称和公网IP后,将外部端口号和内部端口号均填入22即可。
三、对IIS、Serv-U等服务器软件进行设置
除了依靠系统提供的安全措施外,就需要利用FTP服务器端软件本身的设置来提高整个服务器的安全了。
1。IIS的安全性设置
1)及时安装新补丁
对于IIS的安全性漏洞,可以说是“有口皆碑”了,平均每两三个月就要出一两个漏洞。所幸的是,微软会根据新发现的漏洞提供相应的补丁,这就需要你不断更新,安装最新补丁。
2)将安装目录设置到非系统盘,关闭不需要的服务
一些恶意用户可以通过IIS的溢出漏洞获得对系统的访问权。把IIS安放在系统分区上,会使系统文件与IIS同样面临非法访问,容易使非法用户侵入系统分区。另外,由于IIS是一个综合性服务组件,每开设一个服务都将会降低整个服务的安全性,因而,对不需要的服务尽量不要安装或启动。
3)只允许匿名连接
FTP的安全漏洞在于其默认传输密码的过程是明文传送,很容易被人嗅探到。而IIS又是基于Windows用户账户进行管理的,因而很容易泄漏系统账户名及密码,如果该账户拥有一定管理权限,则更会影响到整个系统的安全。设置为“只允许匿名连接”,可以免却传输过程中泄密的危险。进入“默认FTP站点”,在属性的“安全账户”选项卡中,将此选项选中。
4)谨慎设置主目录及其权限
IIS可以将FTP站点主目录设为局域网中另一台计算机的共享目录,但在局域网中,共享目录很容易招致其他计算机感染的病毒攻击,严重时甚至会造成整个局域网瘫痪,不到万不得已,使用本地目录并将主目录设为NTFS格式的非系统分区中。这样,在对目录的权限设置时,可以对每个目录按不同组或用户来设置相应的权限。右击要设置的目录,进入“共享和安全→安全”中设置,如非必要,不要授予“写入”权限。
5)尽量不要使用默认端口号21
启用日志记录,以备出现异常情况时查询原因。
2。Serv-U的安全性设置
与IIS的FTP服务相比,Serv-U在安全性方面做得比较好。
1)对“本地服务器”进行设置
首先,选中“拦截FTP_bounce攻击和FXP”。什么是FXP呢?通常,当使用FTP协议进行文件传输时,客户端首先向FTP服务器发出一个“PORT”命令,该命令中包含此用户的IP地址和将被用来进行数据传输的端口号,服务器收到后,利用命令所提供的用户地址信息建立与用户的连接。大多数情况下,上述过程不会出现任何问题,但当客户端是一名恶意用户时,可能会通过在PORT命令中加入特定的地址信息,使FTP服务器与其它非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一特定机器,但是如果FTP服务器有权访问该机器的话,那么恶意用户就可以通过FTP服务器作为中介,仍然能够最终实现与目标服务器的连接。这就是FXP,也称跨服务器攻击。选中后就可以防止发生此种情况。
其次,在“高级”选项卡中,检查“加密密码”和“启用安全”是否被选中,如果没有,选择它们。“加密密码”使用单向hash函数(MD5)加密用户口令,加密后的口令保存在ServUDaemon。ini或是注册表中。如果不选择此项,用户口令将以明文形式保存在文件中:“启用安全”将启动Serv-U服务器的安全成功。
2)对域中的服务器进行设置
前面说过,FTP默认为明文传送密码,
容易被人嗅探,对于只拥有一般权限的账户,危险并不大,但如果该账户拥有远程管理尤其是系统管理员权限,则整个服务器都会被别人远程控制。Serv-U对每个账户的密码都提供了以下三种安全类型:规则密码、OTP S/KEY MD4和OTP S/KEY MD5。不同的类型对传输的加密方式也不同,以规则密码安全性最低。进入拥有一定管理权限的账户的设置中,在“常规”选项卡的下方找到“密码类型”下拉列表框,选中第二或第三种类型,保存即可。注意,当用户凭此账户登录服务器时,需要FTP客户端软件支持此密码类型,如CuteFTP Pro等,输入密码时选择相应的密码类型方可通过服务器验证。
与IIS一样,还要谨慎设置主目录及其权限,凡是没必要赋予写入等能修改服务器文件或目录权限的,尽量不要赋予。最后,进入“设置”,在“日志”选项卡中将“启用记录到文件”选中,并设置好日志文件名及保存路径、记录参数等,以方便随时查询服务器异常原因。