注重設(shè)置讓FTP服務(wù)器共享更安全
為了方便員鎮(zhèn)歲嫌工之間相互交流和傳輸信息�����,不少單位都利用Windows服務(wù)器系統(tǒng)自帶的FTP功能架設(shè)了FTP服務(wù)器����,這樣一來員工就能把自己的信息上傳到FTP服務(wù)器中讓其他人下載使用了����。不過�,不同部門的員工共享使用同一臺FTP服務(wù)器�����,往往會存在部門信息被輕易外泄的危險(xiǎn)����;為了有效避免這種風(fēng)險(xiǎn),讓FTP服務(wù)器共享訪問更安全�,我們可以從設(shè)置出發(fā),來讓不同部門的員工訪問FTP服務(wù)器時(shí)只能看到本部門的信息�,而不能看到其他部門的信息,這樣一來就能實(shí)現(xiàn)多部門���、多用戶共享使用FTP服務(wù)器的目的了�����!
創(chuàng)新互聯(lián)公司長期為近1000家客戶提供的網(wǎng)站建設(shè)服務(wù)��,團(tuán)隊(duì)從業(yè)經(jīng)驗(yàn)10年����,關(guān)注不同地域、不同群體��,并針對不同對象提供差異化的產(chǎn)品和服務(wù)���;打造開放共贏平臺,與合作伙伴共同營造健康的互聯(lián)網(wǎng)生態(tài)環(huán)境�。為鎮(zhèn)巴企業(yè)提供專業(yè)的成都做網(wǎng)站、網(wǎng)站制作�,鎮(zhèn)巴網(wǎng)站改版等技術(shù)服務(wù)。擁有10年豐富建站經(jīng)驗(yàn)和眾多成功案例,為您定制開發(fā)����。
架設(shè)FTP服務(wù)器
假設(shè)某單位為了便于統(tǒng)一管理FTP服務(wù)器,希望能讓不同的部門共享使用相同的一臺FTP服務(wù)器��,并希望不同部門用戶登錄進(jìn)FTP服務(wù)器后��,只能訪問到本部門上傳發(fā)布的信息��,并且僅對這些信息進(jìn)行讀取或修改��,而不能看到其他部門的上傳信息�����。比方說,我們假設(shè)指定“D:\aaa”文件夾作為單位FTP服務(wù)器的主目錄�����,并在該目錄下創(chuàng)建兩個(gè)名稱分別為“bbb”與“ccc”的文件夾��,現(xiàn)在我們要讓B部門的員工以“bbb”用戶帳號登錄FTP服務(wù)器時(shí)�,只能訪問和讀取“bbb” 文件夾中的信息,而不能看到和訪問“ccc” 文件夾中的信息�,那樣一來多部門共享一臺FTP服務(wù)器的安全性就能得到有效保證了。要實(shí)現(xiàn)上面的設(shè)置目的�,我們不妨按照如下步驟進(jìn)行設(shè)置:
首先以超級管理員身份登錄進(jìn)FTP服務(wù)器所在的主機(jī)系統(tǒng),并在該系統(tǒng)桌面中用鼠標(biāo)逐一單擊“開始”�、“設(shè)置”、“控制面板”命令�����,在其后彈出的窗口中用鼠標(biāo)雙擊“管理工具”圖標(biāo)��,之后再雙擊“計(jì)算機(jī)管理”圖標(biāo)��,打開主機(jī)系統(tǒng)的計(jì)算機(jī)管理窗口���;在該管理窗口的左側(cè)顯示區(qū)域��,用鼠標(biāo)依次展開“本地用戶和組”/“用戶”分支選項(xiàng)�,打開計(jì)算機(jī)用戶管理窗口,在該窗口的右側(cè)空白區(qū)域單御手擊鼠標(biāo)右鍵����,從彈出的右鍵菜單中執(zhí)行“用戶”命令,來為B部門和C部門的員工分別創(chuàng)建好登錄FTP服務(wù)器的用戶帳號名稱“bbb”和“ccc”�����,同時(shí)為這兩個(gè)用戶帳號設(shè)置好合適的密碼信息��。
接著打開服務(wù)器系統(tǒng)的資源管理器窗口��,找到該主機(jī)D盤下雀芹面的“aaa”文件夾�,然后用鼠標(biāo)雙擊該文件夾圖標(biāo)��,在其后的文件夾窗口中用鼠標(biāo)右擊空白區(qū)域���,并依次執(zhí)行快捷菜單中的“新建”/“文件夾”命令�,來在“aaa”文件夾下面分別創(chuàng)建好“bbb”與“ccc”文件夾��,這兩個(gè)文件夾就作為B部門和C部門員工的信息上傳目錄�。
下面返回到服務(wù)器系統(tǒng)桌面中����,并依次單擊“開始”/“設(shè)置”/“控制面板”命令�����,在其后的窗口中用鼠標(biāo)依次雙擊“管理工具”���、“Internet服務(wù)管理器”圖標(biāo)�,打開Internet信息服務(wù)窗口���,在該窗口的左側(cè)顯示區(qū)域���,用鼠標(biāo)右鍵單擊服務(wù)器主機(jī)名稱,從彈出的快捷菜單中依次執(zhí)行“新建”/“FTP站點(diǎn)”命令��,然后在彈出的向?qū)Т翱谥幸勒仗崾荆ㄈ鐖D1所示)���, 設(shè)置好FTP服務(wù)器的站點(diǎn)名稱�、IP地址�,以及指定好FTP站點(diǎn)所用的主目錄路徑,這樣就能順利完成FTP服務(wù)器站點(diǎn)的架設(shè)操作了。
小提示:當(dāng)我們在Internet信息服務(wù)窗口的左側(cè)顯示區(qū)域中無法找到“FTP站點(diǎn)”選項(xiàng)時(shí)���,那表明當(dāng)前服務(wù)器系統(tǒng)還沒有安裝FTP文件傳輸協(xié)議功能�,此時(shí)我們可以按照前面步驟打開系統(tǒng)的控制面板窗口�����,并在其中雙擊“添加/刪除程序”命令��,然后選擇“添加/刪除Windows組件”項(xiàng)目�����,打開Windows組件安裝向?qū)Т翱?����;選中該窗口列表中的“應(yīng)用程序服務(wù)器”選項(xiàng)�,并單擊“詳細(xì)信息”按鈕���,之后選中應(yīng)用程序服務(wù)器列表窗口中的“Internet信息服務(wù)(IIS)”子組件���,再單擊一下“詳細(xì)信息”按鈕,打開如圖2所示的列表界面�����, 選中其中的“文件傳輸協(xié)議(FTP)服務(wù)”,最后單擊“確定”按鈕���,那樣一來服務(wù)器系統(tǒng)的FTP文件傳輸協(xié)議功能就能被正確安裝成功了���。
請問如何保證FTP服務(wù)器的安全
其安全性主要包括以下幾個(gè)方面:
一、 未經(jīng)授權(quán)的用戶禁止在服務(wù)器上進(jìn)行FTP操作��。
二���、 FTP用戶不能讀取未經(jīng)系統(tǒng)所有者允許的文件或目錄����。
三�、 未經(jīng)允許,F(xiàn)TP用戶不能在服務(wù)器上建立文件或目錄�。
四、 FTP用戶不能刪除服務(wù)器上的文件或目錄�。
FTP服務(wù)器采取了一些驗(yàn)明用戶身份的辦法來解決上述第一個(gè)問題,主要包括以下幾個(gè)罩物措施:
FTP主目錄:將這個(gè)目錄的所有者設(shè)為"FTP"���,并且將屬性設(shè)為所有的用戶都不可寫����,防止不懷好意的用戶刪改文件。
FTP/bin目錄:該目錄主要放置一些系統(tǒng)文件��,應(yīng)將這個(gè)目錄的所有者設(shè)為"root"(即超級用戶)���,并且將屬性設(shè)為所有的用戶都不可寫����。為保證合法用戶可顯示文件�����,應(yīng)將目錄中的ls文件屬性設(shè)為可執(zhí)行�����。
FTP/etc目錄:將這個(gè)目錄的所有者設(shè)為"root"��,并且將屬性設(shè)為所有的用戶都不可寫��。將目錄下的group文件和passwd文件的屬性設(shè)為所有用戶只讀屬性����,并用編輯器將passwd文件中用戶加過密的口令刪掉。
###NextPage### FTP/pub目錄:將這個(gè)目錄的所有者置為"FTP"��,并且將它的屬性設(shè)為所有用戶均可讀��、寫��、執(zhí)行�����。
這樣經(jīng)過設(shè)置�����,既保證了系統(tǒng)文件不被刪改��,又保證了FTP合法用戶的正常訪問�。
作為Internet上的FTP服務(wù)器,系統(tǒng)的手悶雀安全性是非常重要的��,這是建立FTP服務(wù)器者所考慮的第一個(gè)問題����。其安全性主要包括以下幾個(gè)方面:
一��、 未經(jīng)授權(quán)的用戶禁止在服務(wù)器上進(jìn)行FTP操作�����。
二��、 FTP用戶不能讀取未經(jīng)系統(tǒng)所有者允許的文件或目錄�。
三��、 未經(jīng)允許����,F(xiàn)TP用戶不能在服務(wù)器上建立文件或目錄。
四����、 FTP用戶不能刪除服務(wù)器上的文件或目錄。
FTP服務(wù)器采取了一些驗(yàn)明用戶身份的辦法來解決上述第一個(gè)問題���,主要包括以下幾個(gè)措施:
FTP主目錄:將這個(gè)目錄的所有者設(shè)為"FTP"�,并且將屬性設(shè)為所有的用戶都不可寫����,防止不懷好意的用戶刪改文件。
FTP/bin目錄:該目錄主要放置一些系統(tǒng)文件���,應(yīng)將這個(gè)目錄的所有者設(shè)為"root"(即超級用戶)����,并且將屬性設(shè)為所有的用戶都不可寫��。為保證合法用戶可顯示文件���,應(yīng)將目錄中的ls文件屬性設(shè)為可執(zhí)行����。
FTP/etc目錄:將這個(gè)目錄的所有者設(shè)為"root"����,并且將屬性設(shè)為所有的用戶都不可寫。將目錄下的group文件和passwd文件的屬性設(shè)為所有用戶只讀屬性��,并用編輯器將passwd文件中用戶加過密的口令刪掉�。
FTP/pub目錄:將這個(gè)目錄的所有者置為"FTP",并且將它的屬性設(shè)為所有用戶均可讀�、寫、執(zhí)行�。
這樣經(jīng)過設(shè)置����,既保證了系統(tǒng)文件不被刪改���,又保畢早證了FTP合法用戶的正常訪問�。
微機(jī)知識:保護(hù)FTP服務(wù)器口令安全策略
由于FTP服務(wù)器常被用來做文件上傳與下載的工具�����,所以�,其安全的重要性就不同一般。因?yàn)槿羝浔徊环┰绻粽吖テ频脑?����,不但FTP服務(wù)器上的文件可能被破壞或者竊?���。桓匾氖?����,若它們在這些文件上下病毒�����、木馬��,則會給全部的FTP用戶帶來潛在的威脅�。所以,保護(hù)FTP服務(wù)器的安全已經(jīng)迫在眉睫����。
而要保護(hù)FTP服務(wù)器,就要從保護(hù)其口令的安全做起��??荚?大在這里就談?wù)劤R姷腇TP服務(wù)器具有的一些口令安全策略,幫助大家一起來提高FTP服務(wù)器的安全性���。
策略一:口令的期限
有時(shí)候����,F(xiàn)TP服務(wù)器不僅會給員工用�����,而且還會臨時(shí)給一個(gè)賬號給外部的合作伙伴使用�。如考試,大在FTP服務(wù)器管理的時(shí)候�,銷售部門經(jīng)常會因?yàn)橐恍┪募容^大���,無法通過電子郵件發(fā)送,需要通過FTP 服務(wù)器把文件傳遞給客戶�����。所以���,在客戶或者供應(yīng)商需要一些大文件的時(shí)候,考試,大就得給他們一個(gè)FTP服務(wù)器的臨時(shí)帳號與密碼���。
現(xiàn)在的做法就是�,在FTP服務(wù)器設(shè)置一個(gè)賬號�,但是,其口令則是當(dāng)天有效,第二天就自動(dòng)失效�����。如此的話��,當(dāng)客戶或者供應(yīng)商需要使用FTP服務(wù)器的話�,我只需要更改一些密碼即可。而不需要每次使用的時(shí)候,去創(chuàng)建一個(gè)用戶�;用完后再把它刪除。同時(shí)�,也可以避免因?yàn)闆]有及時(shí)注銷臨時(shí)帳戶而給服務(wù)器帶來安全上的隱患,因?yàn)榭诹顣詣?dòng)失效。
大多數(shù)FTP服務(wù)器�����,如微軟操作系統(tǒng)自帶的FTP服務(wù)器軟件���,都具有口令期限管理的功能。一般來說����,對于臨時(shí)的帳戶,就可以跟帳戶與口令的期限管理一起����,來提高臨時(shí)帳戶的安全性。而對于內(nèi)部用戶來說��,也可以通過期限管理�����,來督促員工提高密碼更改的頻率。
策略二:口令必須符合復(fù)雜性規(guī)則
現(xiàn)在由不少銀行�,為了用戶帳戶的安全,進(jìn)行了一些密碼的復(fù)雜性認(rèn)證��。如諸如888888等形式的密碼�����,已經(jīng)不在被接受�。從密碼學(xué)上來說,這種形式的密碼是非常危險(xiǎn)的����。因?yàn)樗麄兛梢酝ㄟ^一些密碼破解工具,如密碼電子字典等等����,非常輕松的進(jìn)行破解。
故為了提高口令本身的安全性����,最簡單的就是提高密碼的復(fù)雜程度。在FTP服務(wù)器中����,可以通過口令復(fù)雜性規(guī)則,強(qiáng)制用戶采用一些安全級別比較高的口令。具體的來說���,可以進(jìn)行如下的復(fù)雜性規(guī)則設(shè)定��。
1����、不能以純數(shù)字或者純字符作為密碼
若黑客想破解一個(gè)FTP服務(wù)器的帳號��,其所用的時(shí)間直接跟密碼的組成相關(guān)��。如現(xiàn)在由一個(gè)八位數(shù)字的密碼��,一個(gè)是純數(shù)字組成的���,另外一個(gè)是數(shù)字與字符的結(jié)合。如分別為82372182與32dwl98s���。這兩個(gè)密碼看起來差不多���,可是對與密碼破解工具來說,就相差很大�。前面這個(gè)純數(shù)字的密碼,通過一些先進(jìn)的密碼破解工具,可能只需要24個(gè)小時(shí)就可以破解��;可是���,對于后面這個(gè)字母與數(shù)字州喚結(jié)合的密碼�,則其破解就需要2400個(gè)小時(shí)����,甚至更多。其破解難度比原先那個(gè)起碼增加了100倍���。
可見�����,字符與數(shù)字結(jié)合的口令�,其安全程度是相當(dāng)高的��。為此�����,我們可以在FTP服務(wù)器上進(jìn)行設(shè)置�����,讓其不接受純數(shù)字或者純字符的口令設(shè)置。
2�、口令不能與用戶名相同
其實(shí),我們都知道��,很多時(shí)候服務(wù)器被攻破都是因?yàn)楣芾聿划?dāng)所造成的����。而用戶名與口令相同,則是FTP服務(wù)器最不安全的因素之一�。
很多用戶,包括網(wǎng)絡(luò)管理員�,為了容易記憶與管理,他們喜歡把密碼跟用戶名設(shè)置為一樣���。這雖然方便了使用,但是���,很明顯這是一個(gè)非常不安全的操作�。根據(jù)密碼攻擊字典的設(shè)計(jì)思路����,其首先會檢查FTP服務(wù)器其帳戶的密碼是否為空����;若不為空�����,則其會嘗試?yán)糜脩裘嗤目诹顏磉M(jìn)行破解����。若以上兩個(gè)再不行的話,則其再嘗試其他可能的密碼構(gòu)成��。
所以��,在黑客眼中��,若口令跟用戶名相同�����,則相當(dāng)于沒有設(shè)置口令���。為此��,在FTP服務(wù)器的口令安全策略中���,也要把禁止口冊搜凱令與密碼一致這個(gè)原則強(qiáng)制的進(jìn)行實(shí)現(xiàn)�。
3���、密碼長度的要求
雖然說口令的安全跟密碼的長度不成正比��,但是�,一般來說����,口令長總比短好。如對于隨機(jī)密碼來說���,破解7位的口令要比破解5位的口令難度增加幾十倍�,雖然說���,其口令長度只是增加了兩位。所以��,在FTP服務(wù)器的口令策略中�����,強(qiáng)制用戶的口令必須達(dá)到六位。若用戶設(shè)置的口令低于六位的話�����,則服務(wù)器會拒絕用戶密碼更改的申請���。
如何來提高FTP服務(wù)器的安全性����?
從兩個(gè)方向去做:
一�、禁止系統(tǒng)級別用戶來登錄FTP服務(wù)器。
為了提高FTP服務(wù)器的安全�����,系統(tǒng)管理員最好能夠?yàn)閱T工設(shè)置單獨(dú)的FTP帳號�,而不要把系統(tǒng)級別的用戶給普通用戶來使用,這會帶來很大的安全隱患��。在VSFTP服務(wù)器中���,可以通過配置文件vsftpd.ftpusers來管理登陸帳戶��。不過這個(gè)帳戶是一個(gè)黑名單��,列入這個(gè)帳戶的人員將無法利用其帳戶來登錄FTP服務(wù)器���。部署好VSFTP服務(wù)器后����,我們可以利用vi命令來查看這個(gè)配置文件��,發(fā)現(xiàn)其已經(jīng)有了許多默認(rèn)的帳戶����。其中,系統(tǒng)的超級用戶root也在其中��??梢姵鲇诎踩目紤],VSFTP服務(wù)器默認(rèn)情況下就是禁止root帳戶登陸FTP服務(wù)器的���。如果系統(tǒng)管理員想讓root等系統(tǒng)帳戶登陸到FTP服務(wù)器���,則知需要在這個(gè)配置文件中將root等相關(guān)的用戶名刪除即可。不過允許系統(tǒng)帳戶登錄FTP服務(wù)器�,會對其安全造成負(fù)面的影響���,為此我不建議系統(tǒng)管理員這么做�。對于這個(gè)文件中相關(guān)的系統(tǒng)帳戶管理員最好一個(gè)都不要改,保留這些帳號的設(shè)置�。
如果出于其他的原因,需要把另外一些帳戶也禁用掉���,則可以把帳戶名字加入到這個(gè)文件中即可���。如在服務(wù)器上可能同時(shí)部署了FTP服務(wù)器與數(shù)據(jù)庫服務(wù)器。那么為了安全起見���,把數(shù)據(jù)庫管理員的帳戶列入到這個(gè)黑名單�,是一個(gè)不錯(cuò)的做法���。
二��、加強(qiáng)對匿名用戶的控制�。
匿名用戶是指那些在FTP服務(wù)器中沒有定義相關(guān)的帳戶����,而FTP系統(tǒng)管理員為了便于管理,仍然需要他們進(jìn)行登陸。但纖判是他們畢竟沒有取得服務(wù)器的授權(quán)��,為了提高服務(wù)器的安全性�����,必須要對他們的權(quán)限進(jìn)行限制�����。在VSFTP服務(wù)器上也有很多參數(shù)可以用來控制匿名用戶的權(quán)限�����。系統(tǒng)管理員需要根據(jù)FTP服務(wù)器的安全級別�,來做好相關(guān)的配置工作。需要說明的是���,匿名用戶的權(quán)限控制的越嚴(yán)格��,F(xiàn)TP服務(wù)器的安全性越高��,但是同時(shí)用戶訪問的便利性也會降低���。故最終系統(tǒng)管理員還是帶豎褲需要在服務(wù)器安全性與便利性上取得一個(gè)均衡����。
下面是我推薦的幾個(gè)針對匿名用戶的配置��,大家若不清楚該如何配置的話��,可以參考這些配置����。這些配置兼顧了服務(wù)器的安全與用戶的使用便利��。
一是參數(shù)anon_world_readable_only���。這個(gè)參數(shù)主要用來控制匿名用戶是否可以從FTP服務(wù)器上下載可閱讀的文件��。如果FTP服務(wù)器部署在企業(yè)內(nèi)部���,主要供企業(yè)內(nèi)部員工使用的話,則最好把這個(gè)參數(shù)設(shè)置為YES�。然后把一些企業(yè)常用表格等等可以公開的文件放置在上面,讓員工在匿名的情況下也可以下載這些文件��。這即不會影響到FTP服務(wù)器的安全�����,而且也有利于其他員工操作的便利性上。
二是參數(shù)anon_upload_enable�。這個(gè)參數(shù)表示匿名用戶能否在匿名訪問的情況下向FTP服務(wù)器上傳文件。通常情況下����,應(yīng)該把這個(gè)參數(shù)設(shè)置為No。即在匿名訪問時(shí)不允許用戶上傳文件�。否則的話,隨便哪個(gè)人都可以上傳文件的話����,那對方若上傳一個(gè)病毒文件,那企業(yè)不是要遭殃了����。故應(yīng)該禁止匿名用戶上蠢簡傳文件。但是這也有例外�����。如有些企業(yè)通過FTP協(xié)議來備份文件���。此時(shí)如果企業(yè)網(wǎng)絡(luò)的安全性有所保障的話��,可以把這個(gè)參數(shù)設(shè)置為YES��,即允許操作系統(tǒng)調(diào)用FTP命令往FTP服務(wù)器上備份文件�����。
謝謝���,這是我的回答。
名稱欄目:ftp服務(wù)器基本安全設(shè)置 ftp服務(wù)器用戶權(quán)限設(shè)置
當(dāng)前路徑:
http://weahome.cn/article/ddpedpe.html
重慶分公司
重慶分公司
