三个步骤教你打造安全安定的FTP服务器

1、操作系统的挑选

FTP服务器首先是基于操作系统而运作的,因而操作系统本身的安全性就决意了FTP服务器安全性的级别.固然Windows98/Me一样可以架设FTP服务器,但由于其本身的安全性就不强,易受攻击,因而最好不要采取.WindowsNT就像鸡肋,不用也罢.最好采取Windows2000及以上版本,并记着及时打上补钉.至于Unix、Linux,则不在谈论之列.

2、利用防火墙

端口是计算机和外部网络相连的逻辑接口,也是计算机的第一道屏障,端口配置精确与否直接影响到主机的安全,普通来说,仅翻开你需求利用的端口,将其他不需求利用的端口屏蔽掉会对比安全.限制端口的办法对比多,可以利用第三方的个人防火墙,这里只介绍Windows自带的防火墙设置办法.

1.操纵TCP/IP挑选功效

在Windows2000和WindowsXP中,系统都带有TCP/IP挑选功效,操纵它可以简单地举行端口设置.以WindowsXP为例,翻开”本地衔接”的属性,在”通例”选项中找到”Internet协议(TCP/IP)”,双击它翻开该协议的属性设置窗口.点击右下方的”高级”按钮,进入”高级TCP/IP设置”.在”选项”中选中”TCP/IP挑选”并双击进入其属性设置.这里我们可以设置系统只答应开放的端口,假定架设的FTP服务器端口为21,先选中”启用TCP/IP挑选(全部适配器)”,再在TCP端口选项中挑选”只答应”,点”增添”,输入端口号21,肯定便可.这样,系统就只答应翻开21端口.要开放其他端口,持续增添便可.这可以有效避免最常见的139端口入侵.缺陷是功效过于简单,只能设置答应开放的端口,不能自定义要关闭的端口.假如你有大量端口要开放,就得一个个地去手工增添,对比麻烦.

2.翻开Internet衔接防火墙

关于WindowsXP系统,自带了”Internet衔接防火墙”功效,与TCP/IP挑选功效相比,设置更便利,功效更强盛.除了自带防火墙端口开放法则外,还可以自行增删.在掌握面板中翻开”网络衔接”,右击拨号衔接,进入”高级”选项卡,选中”通过限制或禁止来自Internet的对此计算机的拜候来保护我的计算机和网络”,启用它.系统默许状况下是关闭了FTP端口的,因而还要设置防火墙,翻开所利用的FTP端口.点击右下角的”设置”按钮进入”高级设置”,选中”FTP服务器”,编辑它.由于FTP服务默许端口是21,因而除了IP地址一栏外,别的均不可更改.在IP地址一栏中填入服务器公网ip,肯定撤退出便可当即见效.假如架设的FTP服务器端口为其他端口,比方22,则可以在”服务”选项卡下方点”增添”,输入服务器名称和公网IP后,将外部端口号和内部端口号均填入22便可.

3、对IIS、Serv-u等服务器软件举行设置

除了依靠系统供应的安全办法外,就需求操纵FTP服务器端软件本身的设置来提高整个服务器的安全了.

1.IIS的安全性设置

1)及时安装新补钉

关于IIS的安全性漏洞,可以说是”有口皆碑”了,平均每两三个月就要出一两个漏洞.所幸的是,微软会按照新发现的漏洞供应呼应的补钉,这就需求你不断更新,安装最新补钉.

2)将安装目录设置到非系统盘,关闭不需求的服务

一些恶意用户可以通过IIS的溢出漏洞得到对系统的拜候权.把IIS安设在系统分区上,会使系统文件与IIS一样面对不法拜候,简单使不法用户侵入系统分区.别的,由于IIS是一个综合性服务组件,每开设一个服务都将会降低整个服务的安全性,因而,对不需求的服务尽大概不要安装或启动.

3)只答应匿名衔接

FTP最大的安全漏洞在于其默许传输密码的历程是明文传送,很简单被人嗅探到.而IIS又是基于Windows用户账户举行管理的,因而很简单泄露系统账户名及密码,假如该账户拥有一定管理权限,则更会影响到整个系统的安全.设置为”只答应匿名衔接”,可以省却传输历程中泄密的危险.进入”默许FTP站点”,在属性的”安全账户”选项卡中,将此选项选中.

4)谨严设置主目录及其权限

IIS可以将FTP站点主目录设为局域网中另一台计算机的同享目录,但在局域网中,同享目录很简单招致其他计算机传染的病毒攻击,严重时乃至会造成整个局域网瘫痪,不到万不得已,最好利用本地目录并将主目录设为NTFS格局的非系统分区中.这样,在对目录的权限设置时,可以对每个目录按差别组或用户来设置呼应的权限.右击要设置的目录,进入”同享和安全→安全”中设置,如非必要,不要授与”写入”权限.

5)尽大概不要利用默许端口号21

启用日记记录,以备呈现非常情形时查询缘由.

2.Serv-u的安全性设置

与IIS的FTP服务相比,Serv-u在安全性方面做得对比好.

1)对”本地服务器”举行设置

首先,选中”拦阻FTP_bounce攻击和XP”.普通,当利用FTP协议举行文件传输时,客户端首先向FTP服务器发出一个”PORT”号令,该号令中包含此用户的IP地址和将被用来举行数据传输的端口号,服务器收到后,操纵号令所供应的用户地址信息成立与用户的衔接.大大都情形下,上述历程不会呈现任何问题,但当客户端是一名恶意用户时,大概会通过在PORT号令中加入特定的地址信息,使FTP服务器与别的非客户端的机械成立衔接.固然这名恶意用户大概本身无权直接拜候某一特定机械,但是假如FTP服务器有权拜候该机械的话,那么恶意用户便可以通过FTP服务器作为中介,仍旧可以终究实现与目标服务器的衔接.这就是FXP,也称跨服务器攻击.选中后便可以避免发生此种情形.

其次,在”高级”选项卡中,查抄”加密密码”和”启用安全”能否被选中,假如没有,挑选它们.”加密密码”利用单向Hash函数(MD5)加密用户口令,加密后的口令保存在ServUDaemon.ini或是注册表中.假如不挑选此项,用户口令将以明文情势保存在文件中:”启用安全”将启动Serv-u服务器的安全成功.

2)对域中的服务器举行设置

前面说过,FTP默许为明文传送密码,简单被人嗅探,关于只拥有普通权限的账户,危险并不大,但假如该账户拥有远程管理特别是系统管理员权限,则整个服务器城市被别人远程掌握.Serv-u对每个账户的密码都供应了以下三种安全范例:法则密码、OTPS/KEYMD4和OTPS/KEYMD5.差别的范例对传输的加密方法也差别,以法则密码安全性最低.进入拥有一定管理权限的账户的设置中,在”通例”选项卡的下方找到”密码范例”下拉列表框,选中第二或第三种范例,保存便可.注意,当用户凭此账户登录服务器时,需求FTP客户端软件支持此密码范例,如CuteFTPPro等,输入密码时挑选呼应的密码范例方可通过服务器考证.

与IIS一样,还要谨严设置主目录及其权限,但凡没必要赋予写入等能改正服务器文件或目录权限的,尽大概不要赋予.最后,进入”设置”,在”日记”选项卡中将”启用记录到文件”选中,并设置好日记文件名及保存途径、记录参数等,以便利随时查询服务器非常缘由.

© 版权声明
THE END
喜欢就支持一下吧
点赞6
分享
评论 抢沙发

请登录后发表评论