如何提高FTP服務(wù)器安全性

FTP是一種文件傳輸協(xié)議。有時(shí)我們把他形象的叫做文件交流集中地。FTP文件服務(wù)器的主要用途就是提供文件存儲(chǔ)的空間，讓用戶可以上傳或者下載所需要的文件。在企業(yè)中，往往會(huì)給客戶提供一個(gè)特定的FTP空間，以方便跟可以進(jìn)行一些大型文件的交流，如大到幾百兆的設(shè)計(jì)圖紙等等。同時(shí)，F(xiàn)TP還可以作為企業(yè)文件的備份服務(wù)器，如把數(shù)據(jù)庫等關(guān)鍵應(yīng)用在FTP服務(wù)器上實(shí)現(xiàn)異地備份等等。

成都創(chuàng)新互聯(lián)長期為上千家客戶提供的網(wǎng)站建設(shè)服務(wù)，團(tuán)隊(duì)從業(yè)經(jīng)驗(yàn)10年，關(guān)注不同地域、不同群體，并針對(duì)不同對(duì)象提供差異化的產(chǎn)品和服務(wù)；打造開放共贏平臺(tái)，與合作伙伴共同營造健康的互聯(lián)網(wǎng)生態(tài)環(huán)境。為平谷企業(yè)提供專業(yè)的成都網(wǎng)站設(shè)計(jì)、網(wǎng)站制作、外貿(mào)營銷網(wǎng)站建設(shè)，平谷網(wǎng)站改版等技術(shù)服務(wù)。擁有十余年豐富建站經(jīng)驗(yàn)和眾多成功案例,為您定制開發(fā)。

可見，F(xiàn)TP服務(wù)器在企業(yè)中的應(yīng)用是非常廣泛的。真是因?yàn)槠涔δ苋绱说膹?qiáng)大，所以，很多黑客、病毒也開始關(guān)注他了。他們企圖通過FTP服務(wù)器為跳板，作為他們傳播木馬、病毒的源頭。同時(shí)，由于FTP服務(wù)器上存儲(chǔ)著企業(yè)不少有價(jià)值的內(nèi)容。在經(jīng)濟(jì)利益的誘惑下，F(xiàn)TP服務(wù)器也就成為了別人攻擊的對(duì)象。

在考慮FTP服務(wù)器安全性工作的時(shí)候，第一步要考慮的就是誰可以訪問FTP服務(wù)器。在Vsftpd服務(wù)器軟件中，默認(rèn)提供了三類用戶。不同的用戶對(duì)應(yīng)著不同的權(quán)限與操作方式。

一類是Real帳戶。這類用戶是指在FTP服務(wù)上擁有帳號(hào)。當(dāng)這類用戶登錄FTP服務(wù)器的時(shí)候，其默認(rèn)的主目錄就是其帳號(hào)命名的目錄。但是，其還可以變更到其他目錄中去。如系統(tǒng)的主目錄等等。

第二類帳戶實(shí)Guest用戶。在FTP服務(wù)器中，我們往往會(huì)給不同的部門或者某個(gè)特定的用戶設(shè)置一個(gè)帳戶。但是，這個(gè)賬戶有個(gè)特點(diǎn)，就是其只能夠訪問自己的主目錄。服務(wù)器通過這種方式來保障FTP服務(wù)上其他文件的安全性。這類帳戶，在Vsftpd軟件中就叫做Guest用戶。擁有這類用戶的帳戶，只能夠訪問其主目錄下的目錄，而不得訪問主目錄以外的文件。

在組建FTP服務(wù)器的時(shí)候，我們就需要根據(jù)用戶的類型，對(duì)用戶進(jìn)行歸類。默認(rèn)情況下，Vsftpd服務(wù)器會(huì)把建立的所有帳戶都?xì)w屬為Real用戶。但是，這往往不符合企業(yè)安全的需要。因?yàn)檫@類用戶不僅可以訪問自己的主目錄，而且，還可以訪問其他用戶的目錄。這就給其他用戶所在的空間 帶來一定的安全隱患。所以，企業(yè)要根據(jù)實(shí)際情況，修改用戶雖在的類別。

修改方法：第一步：修改/etc/Vsftpd/vsftpd.conf文件。

默認(rèn)情況下，只啟用了Real與Anonymous兩類用戶。若我們需要啟用Guest類用戶的時(shí)候，就需要把這個(gè)選項(xiàng)啟用。修改/etc/Vsftpd/vsftpd.conf文件，把其中的chroot_list_enable=YES這項(xiàng)前面的注釋符號(hào)去掉。去掉之后，系統(tǒng)就會(huì)自動(dòng)啟用Real類型的帳戶。

第二步：修改/etc/vsftpd.conf文件。

若要把某個(gè)FTP服務(wù)器的帳戶歸屬為Guest帳戶，則就需要在這個(gè)文件中添加用戶。通常情況下，F(xiàn)TP服務(wù)器上沒有這個(gè)文件，需要用戶手工的創(chuàng)建。利用VI命令創(chuàng)建這個(gè)文件之后，就可以把已經(jīng)建立的FTP帳戶加入到這個(gè)文件中。如此的話，某個(gè)帳戶就屬于Real類型的用戶了。他們登錄到FTP服務(wù)器后，只能夠訪問自己的主目錄，而不能夠更改主目錄。

第三步：重新啟動(dòng)FTP服務(wù)器。

按照上述步驟配置完成后，需要重新啟動(dòng)FTP服務(wù)器，其配置才能夠生效。我們可以重新啟動(dòng)服務(wù)器，也可以直接利用Restart命令來重新啟動(dòng)FTP服務(wù)。

在對(duì)用戶盡心分類的時(shí)候，筆者有幾個(gè)善意的提醒。

一是盡量采用Guest類型的用戶，而減少Real類行的用戶。一般我們?cè)诮TP帳戶的時(shí)候，用戶只需要訪問自己的主目錄下的文件即可。當(dāng)給某個(gè)用戶的權(quán)限過大時(shí)，會(huì)對(duì)其他用戶文件的安全產(chǎn)生威脅。

在以下幾種情況下，我們要禁止這些賬戶訪問FTP服務(wù)器，以提高服務(wù)器的安全。

一是某些系統(tǒng)帳戶。如ROOT帳戶。這個(gè)賬戶默認(rèn)情況下是Linxu系統(tǒng)的管理員帳戶，其對(duì)系統(tǒng)具有最高的操作與管理權(quán)限。若允許用戶以這個(gè)賬戶為賬戶名進(jìn)行登陸的話，則用戶不但可以訪問Linux系統(tǒng)的所有資源，而且，還好可以進(jìn)行系統(tǒng)配置。這對(duì)于FTP服務(wù)器來說，顯然危害很大。所以，往往不允許用戶以這個(gè)Root等系統(tǒng)帳戶身份登陸到FTP服務(wù)器上來。

第二類是一些臨時(shí)賬戶。有時(shí)候我們出于臨時(shí)需要，為開一些臨時(shí)賬戶。如需要跟某個(gè)客戶進(jìn)行圖紙上的交流，而圖紙本身又比較大時(shí)，F(xiàn)TP服務(wù)器就是一個(gè)很好的圖紙中轉(zhuǎn)工具。在這種情況下，就需要為客戶設(shè)立一個(gè)臨時(shí)賬戶。這些賬戶用完之后，一般就加入到了黑名單。等到下次需要再次用到的時(shí)候，再啟用他。

在vstftpd服務(wù)器中，要把某些用戶加入到黑名單，也非常的簡單。在Vsftpd軟件中，有一個(gè)/etc/vsftpd.user_lise配置文件。這個(gè)文件就是用來指定哪些賬戶不能夠登陸到這個(gè)服務(wù)器。我們利用vi命令查看這個(gè)文件，通常情況下，一些系統(tǒng)賬戶已經(jīng)加入到了這個(gè)黑名單中。FTP服務(wù)器管理員要及時(shí)的把一些臨時(shí)的或者不再使用的帳戶加入到這個(gè)黑名單中。從而才可以保證未經(jīng)授權(quán)的賬戶訪問FTP服務(wù)器。在配置后，往往不需要重新啟動(dòng)FTP服務(wù)，配置就會(huì)生效。

不過，一般情況下，不會(huì)影響當(dāng)前會(huì)話。也就是說，管理員在管理FTP服務(wù)器的時(shí)候，發(fā)現(xiàn)有一個(gè)非法賬戶登陸到了FTP服務(wù)器。此時(shí)，管理員馬上把這個(gè)賬戶拉入黑名單。但是，因?yàn)檫@個(gè)賬戶已經(jīng)連接到FTP服務(wù)器上，所以，其當(dāng)前的會(huì)話不會(huì)受到影響。當(dāng)其退出當(dāng)前會(huì)話，下次再進(jìn)行連接的時(shí)候，就不允許其登陸FTP服務(wù)器了。所以，若要及時(shí)的把該賬戶禁用掉的話，就需要在設(shè)置好黑名單后，手工的關(guān)掉當(dāng)前的會(huì)話。

對(duì)于一些以后不再需要使用的帳戶時(shí)，管理員不需要把他加入黑名單，而是直接刪除用戶為好。同時(shí)，在刪除用戶的時(shí)候，要記得把用戶對(duì)應(yīng)的主目錄也一并刪除。不然主目錄越來越多，會(huì)增加管理員管理的工作量。在黑名單中，只保留那些將來可能利用的賬戶或者不是用作FTP服務(wù)器登陸的賬戶。這不但可以減少服務(wù)器管理的工作量，而且，還可以提高FTP服務(wù)器的安全性。

在系統(tǒng)默認(rèn)配置下，匿名類型的用戶只可以下載文件，而不能夠上傳文件。雖然這不是我們推薦的配置，但是，有時(shí)候出于一些特殊的需要，確實(shí)要開啟這個(gè)功能。如筆者以前在企業(yè)中，利用這個(gè)功能實(shí)現(xiàn)了對(duì)用戶終端文件進(jìn)行備份的功能。為了設(shè)置的方便，就在FTP服務(wù)器上開啟了匿名訪問，并且允許匿名訪問賬戶網(wǎng)某個(gè)特定的文件夾中上傳某個(gè)文件。

筆者再次重申一遍，一般情況下，是不建議用戶開啟匿名賬戶的文件上傳功能。因?yàn)楹茈y保證匿名賬戶上傳的文件中，不含有一些破壞性的程序，如病毒或者木馬等等。有時(shí)候，雖然開啟了這個(gè)功能，但是往往會(huì)在IP上進(jìn)行限制。如只允許企業(yè)內(nèi)部IP可以進(jìn)行匿名訪問并上傳文件，其他賬戶則不行。如此的話，可以防止外部用戶未經(jīng)授權(quán)匿名訪問企業(yè)的FTP服務(wù)器。若用戶具有合法的賬戶，就可以在外網(wǎng)中登陸到FTP服務(wù)器上。

總之，在FTP服務(wù)器安全管理上，主要關(guān)注三個(gè)方面的問題。一是未經(jīng)授權(quán)的用戶不能往FTP空間上上傳文件；二是用戶不得訪問未經(jīng)授權(quán)的目錄，以及對(duì)這些目錄的文件進(jìn)行更改，包括刪除與上傳；三是FTP服務(wù)器本身的穩(wěn)定性。以上三個(gè)問題中的前兩部分內(nèi)容，都可以通過上面的三個(gè)方法有效的解決。

如何加強(qiáng)ftp的安全性

為Internet上的FTP服務(wù)器，系統(tǒng)的安全性是非常重要的，這是建立FTP服務(wù)器者所考慮的第一個(gè)問題。其安全性主要包括以下幾個(gè)方面： 一、 未經(jīng)授權(quán)的用戶禁止在服務(wù)器上進(jìn)行FTP操作。 二、 FTP用戶不能讀取未經(jīng)系統(tǒng)所有者允許的文件或目錄。 三、 未經(jīng)允許，F(xiàn)TP用戶不能在服務(wù)器上建立文件或目錄。 四、 FTP用戶不能刪除服務(wù)器上的文件或目錄。 FTP服務(wù)器采取了一些驗(yàn)明用戶身份的辦法來解決上述第一個(gè)問題，主要包括以下幾個(gè)措施： FTP用戶所使用的用戶帳號(hào)必須在／etc/passwd文件中有所記載（匿名FTP用戶除外），并且他的口令不能為空。在沒有正確輸入用戶帳號(hào)和口令的情況下，服務(wù)器拒絕訪問。 FTP守護(hù)進(jìn)程FTPd還使用一個(gè)/etc/FTPusers文件，凡在這個(gè)文件中出現(xiàn)的用戶都將被服務(wù)器拒絕提供FTP服務(wù)。服務(wù)器管理可以建立"不受歡迎"的用戶目錄，拒絕這些用戶訪問. 只有在服務(wù)器的／etc/passwd文件中存在名為"FTP"的用戶時(shí)，服務(wù)器才可以接受匿名FTP連接，匿名FTP用戶可用"anonymous"或"FTP"作為用戶名，自己的Internet電子郵件地址作為保密字。為了解決上述安全性的另外三個(gè)問題，應(yīng)該對(duì)FTP主目錄下的文件屬性進(jìn)行管理，建議對(duì)每個(gè)目錄及其文件采取以下一些措施： FTP主目錄：將這個(gè)目錄的所有者設(shè)為"FTP"，并且將屬性設(shè)為所有的用戶都不可寫，防止不懷好意的用戶刪改文件。 FTP/bin目錄：該目錄主要放置一些系統(tǒng)文件，應(yīng)將這個(gè)目錄的所有者設(shè)為"root"（即超級(jí)用戶），并且將屬性設(shè)為所有的用戶都不可寫。為保證合法用戶可顯示文件，應(yīng)將目錄中的ls文件屬性設(shè)為可執(zhí)行。 FTP/etc目錄：將這個(gè)目錄的所有者設(shè)為"root"，并且將屬性設(shè)為所有的用戶都不可寫。將目錄下的group文件和passwd文件的屬性設(shè)為所有用戶只讀屬性，并用編輯器將passwd文件中用戶加過密的口令刪掉。 FTP/pub目錄：將這個(gè)目錄的所有者置為"FTP"，并且將它的屬性設(shè)為所有用戶均可讀、寫、執(zhí)行。 這樣經(jīng)過設(shè)置，既保證了系統(tǒng)文件不被刪改，又保證了FTP合法用戶的正常訪問. 作為Internet上的FTP服務(wù)器，系統(tǒng)的安全性是非常重要的，這是建立FTP服務(wù)器者所考慮的第一個(gè)問題。其安全性主要包括以下幾個(gè)方面： 一、 未經(jīng)授權(quán)的用戶禁止在服務(wù)器上進(jìn)行FTP操作。 二、 FTP用戶不能讀取未經(jīng)系統(tǒng)所有者允許的文件或目錄。 三、 未經(jīng)允許，F(xiàn)TP用戶不能在服務(wù)器上建立文件或目錄. 四、 FTP用戶不能刪除服務(wù)器上的文件或目錄。 FTP服務(wù)器采取了一些驗(yàn)明用戶身份的辦法來解決上述第一個(gè)問題，主要包括以下幾個(gè)措施： FTP用戶所使用的用戶帳號(hào)必須在／etc/passwd文件中有所記載（匿名FTP用戶除外），并且他的口令不能為空。在沒有正確輸入用戶帳號(hào)和口令的情況下，服務(wù)器拒絕訪問。 FTP守護(hù)進(jìn)程FTPd還使用一個(gè)/etc/FTPusers文件，凡在這個(gè)文件中出現(xiàn)的用戶都將被服務(wù)器拒絕提供FTP服務(wù)。服務(wù)器管理可以建立"不受歡迎"的用戶目錄，拒絕這些用戶訪問。 只有在服務(wù)器的／etc/passwd文件中存在名為"FTP"的用戶時(shí)，服務(wù)器才可以接受匿名FTP連接，匿名FTP用戶可以用"anonymous"或"FTP"作為用戶名，自己的Internet電子郵件地址作為保密字。為了解決上述安全性的另外三個(gè)問題，應(yīng)該對(duì)FTP主目錄下的文件屬性進(jìn)行管理，建議對(duì)每個(gè)目錄及其文件采取以下一些措施： FTP主目錄：將這個(gè)目錄的所有者設(shè)為"FTP"，并且將屬性設(shè)為所有的用戶都不可寫，防止不懷好意的用戶刪改文件。 FTP/bin目錄：該目錄主要放置一些系統(tǒng)文件，應(yīng)將這個(gè)目錄的所有者設(shè)為"root"（即超級(jí)用戶），并且將屬性設(shè)為所有的用戶都不可寫。為保證合法用戶可顯示文件，應(yīng)將目錄中的ls文件屬性設(shè)為可執(zhí)行。 FTP/etc目錄：將這個(gè)目錄的所有者設(shè)為"root"，并且將屬性設(shè)為所有的用戶都不可寫。將目錄下的group文件和passwd文件的屬性設(shè)為所有用戶只讀屬性，并用編輯器將passwd文件中用戶加過密的口令刪掉。 FTP/pub目錄：將這個(gè)目錄的所有者置為"FTP"，并且將它的屬性設(shè)為所有用戶均可讀、寫、執(zhí)行。 這樣經(jīng)過設(shè)置，既保證了系統(tǒng)文件不被刪改，又保證了FTP合法用戶的正常訪問。

參考資料：協(xié)議分析網(wǎng)

如何保證文件傳輸服務(wù)器FTP的安全

目前FTP 服務(wù)器面臨的安全隱患主要包括：

1. 被用戶跳轉(zhuǎn)到了上級(jí)非授權(quán)的目錄（如 /root）；

2. 客戶端指定文件的類型和格式，但只通過擴(kuò)展名判斷。

3. 無法判斷文件是否為帶毒。

4. 文件傳輸不做校驗(yàn)，無法保證文件的完整性

5. 多人同用一個(gè)用戶時(shí)，文件下載無法追查。

友予安全FTP，在標(biāo)準(zhǔn)FTP、SFTP基礎(chǔ)上，增加安全如下：

1. 服務(wù)端目錄限定：只允許用戶訪問設(shè)定的目錄，如不能訪問C:、/root、FTP服務(wù)軟件本身的目錄，當(dāng)管理端添加用戶指定的目錄超出了限定，用戶無法訪問該目錄。

2. 深度文件類型識(shí)別：服務(wù)端設(shè)定的可上傳的類型，用友予Ftp客戶端，在客戶端中就會(huì)深度識(shí)別文件類型、修改擴(kuò)展名無效，標(biāo)準(zhǔn)Ftp上傳時(shí)，服務(wù)端做深度判斷。

3. 文件病毒查殺：服務(wù)端支持卡巴斯基、比特凡德、GDATA、NOD32殺毒軟件，每個(gè)上傳的文件都調(diào)用殺毒軟件命令查殺，返回查殺結(jié)果。友予Ftp客戶端可顯示錯(cuò)誤原因，標(biāo)準(zhǔn)FTP刪除文件，創(chuàng)建同名文件加錯(cuò)誤原因。

4. MD5校驗(yàn)：友予Ftp客戶端上傳、下載的文件與服務(wù)端生成的MD5對(duì)比，同時(shí)對(duì)比文件的字節(jié)數(shù)，當(dāng)都相同時(shí)才認(rèn)定文件傳輸成功。

5. 下載文件限定：限定用戶可下載文件的類型，如重要的設(shè)計(jì)圖、代碼、視頻都可限定，限定的文件用戶查看不到。

6. 下載文件備份：重要的資料外流，但不可查，通過平臺(tái)，下載的文件會(huì)自動(dòng)備份到指定的目錄，并有用戶、IP、時(shí)間、文件等信息記錄到日志中，結(jié)合備份文件可查外傳人員。