如何來(lái)提高FTP服務(wù)器的安全性？

從兩個(gè)方向去做:

成都創(chuàng)新互聯(lián)公司服務(wù)項(xiàng)目包括東鄉(xiāng)網(wǎng)站建設(shè)、東鄉(xiāng)網(wǎng)站制作、東鄉(xiāng)網(wǎng)頁(yè)制作以及東鄉(xiāng)網(wǎng)絡(luò)營(yíng)銷策劃等。多年來(lái)，我們專注于互聯(lián)網(wǎng)行業(yè)，利用自身積累的技術(shù)優(yōu)勢(shì)、行業(yè)經(jīng)驗(yàn)、深度合作伙伴關(guān)系等，向廣大中小型企業(yè)、政府機(jī)構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案，東鄉(xiāng)網(wǎng)站推廣取得了明顯的社會(huì)效益與經(jīng)濟(jì)效益。目前，我們服務(wù)的客戶以成都為中心已經(jīng)輻射到東鄉(xiāng)省份的部分城市，未來(lái)相信會(huì)繼續(xù)擴(kuò)大服務(wù)區(qū)域并繼續(xù)獲得客戶的支持與信任！

一、禁止系統(tǒng)級(jí)別用戶來(lái)登錄FTP服務(wù)器。

為了提高FTP服務(wù)器的安全，系統(tǒng)管理員最好能夠?yàn)閱T工設(shè)置單獨(dú)的FTP帳號(hào)，而不要把系統(tǒng)級(jí)別的用戶給普通用戶來(lái)使用，這會(huì)帶來(lái)很大的安全隱患。在VSFTP服務(wù)器中，可以通過配置文件vsftpd.ftpusers來(lái)管理登陸帳戶。不過這個(gè)帳戶是一個(gè)黑名單，列入這個(gè)帳戶的人員將無(wú)法利用其帳戶來(lái)登錄FTP服務(wù)器。部署好VSFTP服務(wù)器后，我們可以利用vi命令來(lái)查看這個(gè)配置文件，發(fā)現(xiàn)其已經(jīng)有了許多默認(rèn)的帳戶。其中，系統(tǒng)的超級(jí)用戶root也在其中?？梢姵鲇诎踩目紤]，VSFTP服務(wù)器默認(rèn)情況下就是禁止root帳戶登陸FTP服務(wù)器的。如果系統(tǒng)管理員想讓root等系統(tǒng)帳戶登陸到FTP服務(wù)器，則知需要在這個(gè)配置文件中將root等相關(guān)的用戶名刪除即可。不過允許系統(tǒng)帳戶登錄FTP服務(wù)器，會(huì)對(duì)其安全造成負(fù)面的影響，為此我不建議系統(tǒng)管理員這么做。對(duì)于這個(gè)文件中相關(guān)的系統(tǒng)帳戶管理員最好一個(gè)都不要改，保留這些帳號(hào)的設(shè)置。

如果出于其他的原因，需要把另外一些帳戶也禁用掉，則可以把帳戶名字加入到這個(gè)文件中即可。如在服務(wù)器上可能同時(shí)部署了FTP服務(wù)器與數(shù)據(jù)庫(kù)服務(wù)器。那么為了安全起見，把數(shù)據(jù)庫(kù)管理員的帳戶列入到這個(gè)黑名單，是一個(gè)不錯(cuò)的做法。

二、加強(qiáng)對(duì)匿名用戶的控制。

匿名用戶是指那些在FTP服務(wù)器中沒有定義相關(guān)的帳戶，而FTP系統(tǒng)管理員為了便于管理，仍然需要他們進(jìn)行登陸。但是他們畢竟沒有取得服務(wù)器的授權(quán)，為了提高服務(wù)器的安全性，必須要對(duì)他們的權(quán)限進(jìn)行限制。在VSFTP服務(wù)器上也有很多參數(shù)可以用來(lái)控制匿名用戶的權(quán)限。系統(tǒng)管理員需要根據(jù)FTP服務(wù)器的安全級(jí)別，來(lái)做好相關(guān)的配置工作。需要說(shuō)明的是，匿名用戶的權(quán)限控制的越嚴(yán)格，F(xiàn)TP服務(wù)器的安全性越高，但是同時(shí)用戶訪問的便利性也會(huì)降低。故最終系統(tǒng)管理員還是需要在服務(wù)器安全性與便利性上取得一個(gè)均衡。

下面是我推薦的幾個(gè)針對(duì)匿名用戶的配置，大家若不清楚該如何配置的話，可以參考這些配置。這些配置兼顧了服務(wù)器的安全與用戶的使用便利。

一是參數(shù)anon_world_readable_only。這個(gè)參數(shù)主要用來(lái)控制匿名用戶是否可以從FTP服務(wù)器上下載可閱讀的文件。如果FTP服務(wù)器部署在企業(yè)內(nèi)部，主要供企業(yè)內(nèi)部員工使用的話，則最好把這個(gè)參數(shù)設(shè)置為YES。然后把一些企業(yè)常用表格等等可以公開的文件放置在上面，讓員工在匿名的情況下也可以下載這些文件。這即不會(huì)影響到FTP服務(wù)器的安全，而且也有利于其他員工操作的便利性上。

二是參數(shù)anon_upload_enable。這個(gè)參數(shù)表示匿名用戶能否在匿名訪問的情況下向FTP服務(wù)器上傳文件。通常情況下，應(yīng)該把這個(gè)參數(shù)設(shè)置為No。即在匿名訪問時(shí)不允許用戶上傳文件。否則的話，隨便哪個(gè)人都可以上傳文件的話，那對(duì)方若上傳一個(gè)病毒文件，那企業(yè)不是要遭殃了。故應(yīng)該禁止匿名用戶上傳文件。但是這也有例外。如有些企業(yè)通過FTP協(xié)議來(lái)備份文件。此時(shí)如果企業(yè)網(wǎng)絡(luò)的安全性有所保障的話，可以把這個(gè)參數(shù)設(shè)置為YES，即允許操作系統(tǒng)調(diào)用FTP命令往FTP服務(wù)器上備份文件。

謝謝，這是我的回答。

提高服務(wù)器安全等級(jí)的方法？

對(duì)于編程開發(fā)程序員來(lái)說(shuō)，除了需要完成軟件編程工作以外，同時(shí)也需要增加一些基礎(chǔ)的信息安全措施。今天我們就一起來(lái)了解一下，提高服務(wù)器安全等級(jí)的安全措施都有哪些類型。

深度防范

深度防范原則是安全專業(yè)人員人人皆知的原則，它說(shuō)明了冗余安全措施的價(jià)值，這是被歷史所證明的。

深度防范原則可以延伸到其它領(lǐng)域，不僅僅是局限于編程領(lǐng)域。使用過備份傘的跳傘隊(duì)員可以證明有冗余安全措施是多么的有價(jià)值，盡管大家永遠(yuǎn)不希望主傘失效。一個(gè)冗余的安全措施可以在主安全措施失效的潛在的起到重大作用。

回到編程領(lǐng)域，堅(jiān)持深度防范原則要求您時(shí)刻有一個(gè)備份方案。如果一個(gè)安全措施失效了，必須有另外一個(gè)提供一些保護(hù)。例如，在用戶進(jìn)行重要操作前進(jìn)行重新用戶認(rèn)證就是一個(gè)很好的習(xí)慣，盡管你的用戶認(rèn)證邏輯里面沒有已知缺陷。如果一個(gè)未認(rèn)證用戶通過某種方法偽裝成另一個(gè)用戶，提示錄入密碼可以潛在地避免未認(rèn)證(未驗(yàn)證)用戶進(jìn)行一些關(guān)鍵操作。

盡管深度防范是一個(gè)合理的原則，但是過度地增加安全措施只能增加成本和降低價(jià)值。

小權(quán)限

我過去有一輛汽車有一個(gè)傭人鑰匙。這個(gè)鑰匙只能用來(lái)點(diǎn)火，所以它不能打開車門、控制臺(tái)、后備箱，它只能用來(lái)啟動(dòng)汽車。我可以把它給泊車員(或把它留在點(diǎn)火器上)，我確認(rèn)這個(gè)鑰匙不能用于其它目的。

把一個(gè)不能打開控制臺(tái)或后備箱的鑰匙給泊車員是有道理的，畢竟，你可能想在這些地方保存貴重物品。但我覺得沒有道理的是為什么它不能開車門。當(dāng)然，這是因?yàn)槲业挠^點(diǎn)是在于權(quán)限的收回。我是在想為什么泊車員被取消了開車門的權(quán)限。在編程中，這是一個(gè)很不好的觀點(diǎn)。相反地，你應(yīng)該考慮什么權(quán)限是必須的，只能給予每個(gè)人完成他本職工作所必須的盡量少的權(quán)限。

一個(gè)為什么傭人鑰匙不能打開車門的理由是這個(gè)鑰匙可以被復(fù)制，而這個(gè)復(fù)制的鑰匙在將來(lái)可能被用于偷車。這個(gè)情況聽起來(lái)不太可能發(fā)生，但這個(gè)例子說(shuō)明了不必要的授權(quán)會(huì)加大你的風(fēng)險(xiǎn)，即使是增加了很小權(quán)限也會(huì)如此。風(fēng)險(xiǎn)小化是安全程序開發(fā)的主要組成部分。

你無(wú)需去考慮一項(xiàng)權(quán)限被濫用的所有方法。事實(shí)上，你要預(yù)測(cè)每一個(gè)潛在攻擊者的動(dòng)作是幾乎不可能的。

簡(jiǎn)單就是美

復(fù)雜滋生錯(cuò)誤，錯(cuò)誤能導(dǎo)致安全漏洞。這個(gè)簡(jiǎn)單的事實(shí)說(shuō)明了為什么簡(jiǎn)單對(duì)于一個(gè)安全的應(yīng)用來(lái)說(shuō)是多么重要。沒有必要的復(fù)雜與沒有必要的風(fēng)險(xiǎn)一樣糟糕。

暴露小化

PHP應(yīng)用程序需要在PHP與外部數(shù)據(jù)源間進(jìn)行頻繁通信。主要的外部數(shù)據(jù)源是客戶端瀏覽器和數(shù)據(jù)庫(kù)。如果你正確的跟蹤數(shù)據(jù)，你可以確定哪些數(shù)據(jù)被暴露了。Internet是主要的暴露源，這是因?yàn)樗且粋€(gè)非常公共的網(wǎng)絡(luò)，您必須時(shí)刻小心防止數(shù)據(jù)被暴露在Internet上。

數(shù)據(jù)暴露不一定就意味著安全風(fēng)險(xiǎn)?？墒菙?shù)據(jù)暴露必須盡量小化。例如，一個(gè)用戶進(jìn)入支付系統(tǒng)，在向你的服務(wù)器傳輸他的信用卡數(shù)據(jù)時(shí)，你應(yīng)該用SSL去保護(hù)它。如果你想要在一個(gè)確認(rèn)頁(yè)面上顯示他的信用卡號(hào)時(shí)，由于該卡號(hào)信息是由服務(wù)器發(fā)向他的客戶端的，你同樣要用SSL去保護(hù)它。

比如前面的例子，顯示信用卡號(hào)顯然增加了暴露的機(jī)率。SSL確實(shí)可以降低風(fēng)險(xiǎn)，但是佳的解決方案是通過只顯示后四位數(shù)，從而達(dá)到徹底杜絕風(fēng)險(xiǎn)的目的。

為了降低對(duì)敏感數(shù)據(jù)的暴露率，北京電腦培訓(xùn)認(rèn)為你必須確認(rèn)什么數(shù)據(jù)是敏感的，同時(shí)跟蹤它，并消除所有不必要的數(shù)據(jù)暴露。在本書中，我會(huì)展示一些技巧，用以幫助你實(shí)現(xiàn)對(duì)很多常見敏感數(shù)據(jù)的保護(hù)。

怎樣提高服務(wù)器安全性

1、系統(tǒng)漏洞的修復(fù)

安裝好的系統(tǒng)都會(huì)有系統(tǒng)漏洞需要進(jìn)行補(bǔ)丁，一些高危漏洞是需要我們及時(shí)補(bǔ)丁的, 否則黑客容易利用漏洞進(jìn)行服務(wù)器攻擊。

2、系統(tǒng)賬號(hào)優(yōu)化

我們服務(wù)器的密碼需要使用強(qiáng)口令，同時(shí)有一些來(lái)賓賬戶例如guest一定要禁用掉。

3、目錄權(quán)限優(yōu)化

對(duì)于不需要執(zhí)行與寫入權(quán)限的服務(wù)器我們要進(jìn)行權(quán)限修改，確保不把不該出現(xiàn)的的權(quán)限暴露給攻擊者讓攻擊者有機(jī)可趁。

例如我們的windows文件夾權(quán)限，我們給的就應(yīng)該盡可能的少，對(duì)于用戶配置信息文件夾，不要給予everyone權(quán)限。

4、數(shù)據(jù)庫(kù)優(yōu)化

針對(duì)數(shù)據(jù)密碼和數(shù)據(jù)庫(kù)端口訪問都要進(jìn)行優(yōu)化，不要將數(shù)據(jù)庫(kù)暴露在公網(wǎng)訪問環(huán)境。

5、系統(tǒng)服務(wù)優(yōu)化

去除一些不必要的系統(tǒng)服務(wù)，可以優(yōu)化我們系統(tǒng)性能，同時(shí)優(yōu)化系統(tǒng)服務(wù)可以提升系統(tǒng)安全性。

6、注冊(cè)表優(yōu)化

注冊(cè)表優(yōu)化可以提升網(wǎng)絡(luò)并發(fā)能力，去除不必要的端口，幫助抵御snmp攻擊，優(yōu)化網(wǎng)絡(luò)，是我們優(yōu)化服務(wù)器不可缺少的環(huán)節(jié)。

7、掃描垃圾文件

垃圾文件冗余可能會(huì)造成我們的服務(wù)器卡頓，硬盤空間不足，需要我們定期進(jìn)行清理。