ftp主要的安全問題是破壞程序能夠在服務器端運行。
成都創(chuàng)新互聯(lián)公司專注于湘橋網(wǎng)站建設服務及定制,我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗。 熱誠為您提供湘橋營銷型網(wǎng)站建設,湘橋網(wǎng)站制作、湘橋網(wǎng)頁設計、湘橋網(wǎng)站官網(wǎng)定制、小程序設計服務,打造湘橋網(wǎng)絡公司原創(chuàng)品牌,更為您提供湘橋網(wǎng)站排名全網(wǎng)營銷落地服務。
ftp文件傳輸協(xié)議是用于在網(wǎng)絡上進行文件傳輸?shù)囊惶讟藴蕝f(xié)議,它工作在OSI模型的第七層,TCP模型的第四層,即應用層州培銷,使用TCP傳輸中察而不是UDP??蛻粼诤头掌鹘⑦B接前要經(jīng)過一個“三次握手”的過程,保證客戶與服務器之間的連接是可靠的,而且是面向連接,為數(shù)據(jù)傳輸提供可靠保證。FTP允許用戶以文件操作的方式與另一主機相互通信。然而用戶并不真正登錄到自己想要存取的計算機上面而成為完全用戶,可用FTP程序訪問遠程資源,實現(xiàn)用戶往返傳輸文件、目錄管理以及訪問電子郵件等等,即使雙方計算機可能配有不同的操作系統(tǒng)和文件存儲方式。
更多關(guān)于什么是ftp主要的安全問題,進入:冊游查看更多內(nèi)容
一、操作系統(tǒng)的選擇
FTP服務器首先是基于操作系統(tǒng)而運作的,因而操作系統(tǒng)本身的安全性就決定了FTP服務器安全性的級別。雖然Windows 98/Me一樣可以架設FTP服務器,但由于其本身的安全性就不強,易受攻擊,因而不要采用。Windows NT就像雞肋,不用也罷。采用Windows 2000及以上版本,并記住及時打上補丁。至于Unix、Linux,則不在討論之列。
二、使用防火墻
端口是計算機和外部網(wǎng)絡相連的邏輯接口,也是計算機的第一道屏障,端口配置正確與否直接影響到主機的安全,一般來說,僅打開你需要使用的端口,將其他不需要使用的端口屏蔽掉會比較安全。限制端口的方法比較多,可以使用第三方的個人防火墻,如天網(wǎng)個人防火墻等,這里只介紹Windows自帶的防火墻設置方法。
1。利用TCP/IP篩選功能
在消運Windows 2000和Windows XP中,系統(tǒng)都帶有TCP/IP篩選功能,利用它可以簡單地進行端口設置。以Windows XP為例,打開“本地連接”的屬性,在“常規(guī)”選項中找到“Internet協(xié)議(TCP/IP)”,雙擊它打開該協(xié)議的屬性設置窗口。點擊右下方的“高級”卜橋廳按鈕,進入“高級TCP/IP設置”。在“選項”中選中“TCP/IP篩選”并雙擊進入其屬性設置。這里我們可以設置系統(tǒng)只允許開放的端口,假如架設的FTP服務器端口為21,先選中“啟用TCP/IP篩選(所有適配器)”,再在TCP端口選項中選擇“只允許”,點“添加”,輸入端口號21,確定即可。這樣,系統(tǒng)就只允許打開21端口。要開放其他端口,繼續(xù)添加即可。這可以有效防止最常見的139端口入侵。缺點是功能過于簡單,只能設置允許開放的端口,不能自定義要關(guān)閉的端口。如果你有大量端口要開放,就得一個個地去手工添加,比較麻煩。
2。打開Internet連接防火墻
對于Windows XP系統(tǒng),自型隱帶了“Internet連接防火墻”功能,與TCP/IP篩選功能相比,設置更方便,功能更強大。除了自帶防火墻端口開放規(guī)則外,還可以自行增刪。在控制面板中打開“網(wǎng)絡連接”,右擊撥號連接,進入“高級”選項卡,選中“通過限制或阻止來自Internet的對此計算機的訪問來保護我的計算機和網(wǎng)絡”,啟用它。系統(tǒng)默認狀態(tài)下是關(guān)閉了FTP端口的,因而還要設置防火墻,打開所使用的FTP端口。點擊右下角的“設置”按鈕進入“高級設置”,選中“FTP服務器”,我它。由于FTP服務默認端口是21,因而除了IP地址一欄外,其余均不可更改。在IP地址一欄中填入服務器公網(wǎng)IP,確定后退出即可即時生效。如果架設的FTP服務器端口為其他端口,比如22,則可以在“服務”選項卡下方點“添加”,輸入服務器名稱和公網(wǎng)IP后,將外部端口號和內(nèi)部端口號均填入22即可。
三、對IIS、Serv-U等服務器軟件進行設置
除了依靠系統(tǒng)提供的安全措施外,就需要利用FTP服務器端軟件本身的設置來提高整個服務器的安全了。
1。IIS的安全性設置
1)及時安裝新補丁
對于IIS的安全性漏洞,可以說是“有口皆碑”了,平均每兩三個月就要出一兩個漏洞。所幸的是,微軟會根據(jù)新發(fā)現(xiàn)的漏洞提供相應的補丁,這就需要你不斷更新,安裝最新補丁。
2)將安裝目錄設置到非系統(tǒng)盤,關(guān)閉不需要的服務
一些惡意用戶可以通過IIS的溢出漏洞獲得對系統(tǒng)的訪問權(quán)。把IIS安放在系統(tǒng)分區(qū)上,會使系統(tǒng)文件與IIS同樣面臨非法訪問,容易使非法用戶侵入系統(tǒng)分區(qū)。另外,由于IIS是一個綜合性服務組件,每開設一個服務都將會降低整個服務的安全性,因而,對不需要的服務盡量不要安裝或啟動。
3)只允許匿名連接
FTP的安全漏洞在于其默認傳輸密碼的過程是明文傳送,很容易被人嗅探到。而IIS又是基于Windows用戶賬戶進行管理的,因而很容易泄漏系統(tǒng)賬戶名及密碼,如果該賬戶擁有一定管理權(quán)限,則更會影響到整個系統(tǒng)的安全。設置為“只允許匿名連接”,可以免卻傳輸過程中泄密的危險。進入“默認FTP站點”,在屬性的“安全賬戶”選項卡中,將此選項選中。
4)謹慎設置主目錄及其權(quán)限
IIS可以將FTP站點主目錄設為局域網(wǎng)中另一臺計算機的共享目錄,但在局域網(wǎng)中,共享目錄很容易招致其他計算機感染的病毒攻擊,嚴重時甚至會造成整個局域網(wǎng)癱瘓,不到萬不得已,使用本地目錄并將主目錄設為NTFS格式的非系統(tǒng)分區(qū)中。這樣,在對目錄的權(quán)限設置時,可以對每個目錄按不同組或用戶來設置相應的權(quán)限。右擊要設置的目錄,進入“共享和安全→安全”中設置,如非必要,不要授予“寫入”權(quán)限。
5)盡量不要使用默認端口號21
啟用日志記錄,以備出現(xiàn)異常情況時查詢原因。
2。Serv-U的安全性設置
與IIS的FTP服務相比,Serv-U在安全性方面做得比較好。
1)對“本地服務器”進行設置
首先,選中“攔截FTP_bounce攻擊和FXP”。什么是FXP呢?通常,當使用FTP協(xié)議進行文件傳輸時,客戶端首先向FTP服務器發(fā)出一個“PORT”命令,該命令中包含此用戶的IP地址和將被用來進行數(shù)據(jù)傳輸?shù)亩丝谔?,服務器收到后,利用命令所提供的用戶地址信息建立與用戶的連接。大多數(shù)情況下,上述過程不會出現(xiàn)任何問題,但當客戶端是一名惡意用戶時,可能會通過在PORT命令中加入特定的地址信息,使FTP服務器與其它非客戶端的機器建立連接。雖然這名惡意用戶可能本身無權(quán)直接訪問某一特定機器,但是如果FTP服務器有權(quán)訪問該機器的話,那么惡意用戶就可以通過FTP服務器作為中介,仍然能夠最終實現(xiàn)與目標服務器的連接。這就是FXP,也稱跨服務器攻擊。選中后就可以防止發(fā)生此種情況。
其次,在“高級”選項卡中,檢查“加密密碼”和“啟用安全”是否被選中,如果沒有,選擇它們?!凹用苊艽a”使用單向hash函數(shù)(MD5)加密用戶口令,加密后的口令保存在ServUDaemon。ini或是注冊表中。如果不選擇此項,用戶口令將以明文形式保存在文件中:“啟用安全”將啟動Serv-U服務器的安全成功。
2)對域中的服務器進行設置
前面說過,F(xiàn)TP默認為明文傳送密碼,
容易被人嗅探,對于只擁有一般權(quán)限的賬戶,危險并不大,但如果該賬戶擁有遠程管理尤其是系統(tǒng)管理員權(quán)限,則整個服務器都會被別人遠程控制。Serv-U對每個賬戶的密碼都提供了以下三種安全類型:規(guī)則密碼、OTP S/KEY MD4和OTP S/KEY MD5。不同的類型對傳輸?shù)募用芊绞揭膊煌?,以?guī)則密碼安全性最低。進入擁有一定管理權(quán)限的賬戶的設置中,在“常規(guī)”選項卡的下方找到“密碼類型”下拉列表框,選中第二或第三種類型,保存即可。注意,當用戶憑此賬戶登錄服務器時,需要FTP客戶端軟件支持此密碼類型,如CuteFTP Pro等,輸入密碼時選擇相應的密碼類型方可通過服務器驗證。
與IIS一樣,還要謹慎設置主目錄及其權(quán)限,凡是沒必要賦予寫入等能修改服務器文件或目錄權(quán)限的,盡量不要賦予。最后,進入“設置”,在“日志”選項卡中將“啟用記錄到文件”選中,并設置好日志文件名及保存路徑、記錄參數(shù)等,以方便隨時查詢服務器異常原因。
由于FTP服務器常被用來做文件上傳與下載的工具,所以,其安全的重要性就不同一般。因為若其被不法攻擊者攻破的話,不但FTP服務器上的文件可能被破壞或者竊??;更重要的是,若它們在這些文件上下病毒、木馬,則會給全部的FTP用戶帶來潛在的威脅。所以,保護FTP服務器的安全已經(jīng)迫在眉睫。
而要保護FTP服務器,就要從保護其口令的安全做起。這里就談談常見的FTP服務器具有的一些口令安全策略,幫助大家一起來提高FTP服務器閉戚亂的安全性。
策略一:口令的期限
有時候,F(xiàn)TP服務器不僅會給員工用,而且還會臨時給一個賬號給外部的合作伙伴使用。如銷售部門經(jīng)常會因為一些文件比較大,無法通過電子郵件發(fā)送,需要通過FTP 服務器把文件傳遞給客戶。所以,在客戶或者供應商需要一些大文件的時候,就得給他仔碼們一個FTP服務器的臨時帳號與密碼。
現(xiàn)在的做法就是,在FTP服務器設置一個賬號,但是,其口令則是當天有效,第二天就自動失效。如此的話,當客戶或者供應商需要使用FTP服務器的話,只需要更改一些密碼即可。而不需要每次使用的時候,去創(chuàng)建一個用戶;用完后再把它刪除。同時,也可以避免因為沒有及時注銷臨時帳戶而給服務器帶來安全上的隱患,因為口令會自動失效。
大多數(shù)FTP服務器,如微軟操作系統(tǒng)自帶的FTP服務器軟件,都具有口令期限管理的功能。一般來說,對于臨時的帳戶,就可以跟帳戶與口令的期限管理一起,來提高臨時帳戶的安全性。而對于內(nèi)部用戶來說,也可以通過期限管理,來督促員工提高密碼更改的頻率。
策略二:口令必須符合復雜性規(guī)則
現(xiàn)在由不少銀行,為了用戶帳戶的安全,進行了一些密碼的復雜性認證。如諸如888888等形式的密碼,已經(jīng)不在被接受。從密碼學上來說,這種形式的密碼是非常危險的。因為他們可以通過一些密碼破解工具,如密碼電子字典等等,非常輕松的進行破解。
故為了提高口令本身的安全性,最簡單的就是提高密碼的復雜程度。在FTP服務器中,可以通過口令復雜性規(guī)則,強制用戶采用一些安全級別比較高的口令。具體的來說,可以進行如下的復雜性規(guī)則設定。
1、不能以純數(shù)字或者純字符作為密碼
若黑客想破解一個FTP服務器的帳號,其所用的時間直接跟密碼的組成相關(guān)。如現(xiàn)在由一個八位數(shù)字的密碼,一個是純數(shù)字組成的,另外一個是數(shù)字與字符的結(jié)合。如分別為82372182與32dwl98s.這兩個密碼看起來差不多,可是對與密碼破解工具來說,就相差很大。前面這個純數(shù)字的密碼,通過一些先進的密碼破解工具,可能只需要24個小時就可以破解;可是,對于后面這個字母與數(shù)字結(jié)合的密碼,則其破解就需要2400個小時,甚至更多。其破解難度比原先那個起碼增加了100倍。
可見,字符與數(shù)字結(jié)合的口令,其安全程度是相當高的。為此,我們可以在FTP服務器上進行設置,讓其不接受純數(shù)字或者純字符的口令設置。
2、口令不能與用戶名相同
其實,我轎檔們都知道,很多時候服務器被攻破都是因為管理不當所造成的。而用戶名與口令相同,則是FTP服務器最不安全的因素之一。
很多用戶,包括網(wǎng)絡管理員,為了容易記憶與管理,他們喜歡把密碼跟用戶名設置為一樣。這雖然方便了使用,但是,很明顯這是一個非常不安全的操作。根據(jù)密碼攻擊字典的設計思路,其首先會檢查FTP服務器其帳戶的密碼是否為空;若不為空,則其會嘗試利用用戶名相同的口令來進行破解。若以上兩個再不行的話,則其再嘗試其他可能的密碼構(gòu)成。
所以,在黑客眼中,若口令跟用戶名相同,則相當于沒有設置口令。為此,在FTP服務器的口令安全策略中,也要把禁止口令與密碼一致這個原則強制的進行實現(xiàn)。
3、密碼長度的要求
雖然說口令的安全跟密碼的長度不成正比,但是,一般來說,口令長總比短好。如對于隨機密碼來說,破解7位的口令要比破解5位的口令難度增加幾十倍,雖然說,其口令長度只是增加了兩位。
策略三:口令歷史紀錄
為了提高FTP服務器的安全,則為用戶指定一個不能重復口令的時間間隔,這也是非常必要的。如FTP服務器中有一個文件夾,是專門用來存放客戶的訂單信息,這方便相關(guān)人員在出差的時候,可以及時的看到這方面的內(nèi)容。這個文件夾中的資料是屬于高度機密的。若這些內(nèi)容泄露出去的話,則企業(yè)可能會失去大量的訂單,從而給企業(yè)帶來致命的影響。
所以,對于存放了這么敏感資料的FTP服務器,在安全性方面是不敢小視。為此,就啟用了口令歷史紀錄功能。根據(jù)這個策略,用戶必須每隔一個星期更改一次FTP服務器密碼。同時,用戶在60天之內(nèi),不能夠重復使用這個密碼。也就是說,啟用了口令歷史紀錄功能之后,F(xiàn)TP服務器會紀錄用戶兩個月內(nèi)使用過的密碼。若用戶新設置的密碼在兩個月內(nèi)用過的話,則服務器就會拒絕用戶的密碼更改申請。
可見,口令歷史紀錄功能可以在一定程度上提高FTP服務器口令的安全性。
策略四:賬戶鎖定策略
從理論上來說,再復雜的密碼,也有被電子字典攻破的可能。為此,我們除了要采用以上這些策略外,還需要啟用“帳戶鎖定策略”。這個策略可以有效的避免不法之徒的密碼攻擊。
帳戶鎖定策略是指當一個用戶超過了指定的失敗登陸次數(shù)時,服務器就會自動的鎖定這個帳號,并向管理員發(fā)出警告。通過這個策略,當不法人士試圖嘗試不同的口令登陸FTP服務器時,由于其最多只能夠嘗試三次(假如管理員設置失敗的登陸次數(shù)最多為3),則這個帳號就會被鎖定。這就會讓他們的密碼攻擊無效。
在采用帳戶鎖定策略時,需要注意幾個方面的內(nèi)容。
一是采用手工解禁還是自動解禁。若采用手工解禁的話,則被鎖住的賬戶必須有管理員手工解禁。而若設置為自動解禁的話,則當帳戶鎖住滿一定期限的時候,服務器會自動幫這個帳號進行解鎖。若對于服務器的安全性要求比較高的話,則建議采用手工解禁的方式比較好。
二是錯誤登陸的次數(shù)設置。若這個次數(shù)設置的太多,不能夠起到保護的作用。若設置的太少的話,則用戶可能因為疏忽密碼輸入錯誤,而觸發(fā)帳戶鎖定,從而給服務器管理員憑空增加不少的工作量。為此,一般可以把這個次數(shù)設置為三到五次。這既可以保證安全性的需要,而且也給用戶密碼輸入錯誤提供了一定的機會。
三是遇到帳戶鎖定情況時,要能夠自動向服務器管理員發(fā)出警報。因為作為FTP服務器來說,其不能夠辨別這是惡意攻擊事件還是一個偶然事件。這需要服務器管理員根據(jù)經(jīng)驗來進行判斷。FTP服務器只能夠提供暫時的保護作用。所以,當出現(xiàn)帳戶鎖定的情況時,服務器要能夠向管理員發(fā)出警報,讓其判斷是否存在惡意攻擊。若存在的話,則就需采取相應的措施來避免這種情況的再次發(fā)生。
通過以上四種策略,基本上可以保障FTP服務器口令的安全。
從兩個方向去做:
一、禁止系統(tǒng)級別用戶來登錄FTP服務器。
為了提高FTP服務器的安全,系統(tǒng)管理員最好能夠為員工設置單獨的FTP帳號,而不要把系統(tǒng)級別的用戶給普通用戶來使用,這會帶來很大的安全隱患。在VSFTP服務器中,可以通過配置文件vsftpd.ftpusers來管理登陸帳戶。不過這個帳戶是一個黑名單,列入這個帳戶的人員將無法利用其帳戶來登錄FTP服務器。部署好VSFTP服務器后,我們可以利用vi命令來查看這個配置文件,發(fā)現(xiàn)其已經(jīng)有了許多默認的帳戶。其中,系統(tǒng)的超級用戶root也在其中??梢姵鲇诎踩目紤],VSFTP服務器默認情況下就是禁止root帳戶登陸FTP服務器的。如果系統(tǒng)管理員想讓root等系統(tǒng)帳戶登陸到FTP服務器,則知需要在這個配置文件中將root等相關(guān)的用戶名刪除即可。不過允許系統(tǒng)帳戶登錄FTP服務器,會對其安全造成負面的影響,為此我不建議系統(tǒng)管理員這么做。對于這個文件中相關(guān)的系統(tǒng)帳戶管理員最好一個都不要改,保留這些帳號的設置。
如果出于其他的原因,需要把另外一些帳戶也禁用掉,則可以把帳戶名字加入到這個文件中即可。如在服務器上可能同時部署了FTP服務器與數(shù)據(jù)庫服務器。那么為了安全起見,把數(shù)據(jù)庫管理員的帳戶列入到這個黑名單,是一個不錯的做法。
二、加強對匿名用戶的控制。
匿名用戶是指那些在FTP服務器中沒有定義相關(guān)的帳戶,而FTP系統(tǒng)管理員為了便于管理,仍然需要他們進行登陸。但纖判是他們畢竟沒有取得服務器的授權(quán),為了提高服務器的安全性,必須要對他們的權(quán)限進行限制。在VSFTP服務器上也有很多參數(shù)可以用來控制匿名用戶的權(quán)限。系統(tǒng)管理員需要根據(jù)FTP服務器的安全級別,來做好相關(guān)的配置工作。需要說明的是,匿名用戶的權(quán)限控制的越嚴格,F(xiàn)TP服務器的安全性越高,但是同時用戶訪問的便利性也會降低。故最終系統(tǒng)管理員還是帶豎褲需要在服務器安全性與便利性上取得一個均衡。
下面是我推薦的幾個針對匿名用戶的配置,大家若不清楚該如何配置的話,可以參考這些配置。這些配置兼顧了服務器的安全與用戶的使用便利。
一是參數(shù)anon_world_readable_only。這個參數(shù)主要用來控制匿名用戶是否可以從FTP服務器上下載可閱讀的文件。如果FTP服務器部署在企業(yè)內(nèi)部,主要供企業(yè)內(nèi)部員工使用的話,則最好把這個參數(shù)設置為YES。然后把一些企業(yè)常用表格等等可以公開的文件放置在上面,讓員工在匿名的情況下也可以下載這些文件。這即不會影響到FTP服務器的安全,而且也有利于其他員工操作的便利性上。
二是參數(shù)anon_upload_enable。這個參數(shù)表示匿名用戶能否在匿名訪問的情況下向FTP服務器上傳文件。通常情況下,應該把這個參數(shù)設置為No。即在匿名訪問時不允許用戶上傳文件。否則的話,隨便哪個人都可以上傳文件的話,那對方若上傳一個病毒文件,那企業(yè)不是要遭殃了。故應該禁止匿名用戶上蠢簡傳文件。但是這也有例外。如有些企業(yè)通過FTP協(xié)議來備份文件。此時如果企業(yè)網(wǎng)絡的安全性有所保障的話,可以把這個參數(shù)設置為YES,即允許操作系統(tǒng)調(diào)用FTP命令往FTP服務器上備份文件。
謝謝,這是我的回答。