如何打造安全穩(wěn)定的FTP服務(wù)器?
一��、操作系統(tǒng)的選擇
站在用戶的角度思考問題��,與客戶深入溝通����,找到河南網(wǎng)站設(shè)計與河南網(wǎng)站推廣的解決方案��,憑借多年的經(jīng)驗��,讓設(shè)計與互聯(lián)網(wǎng)技術(shù)結(jié)合���,創(chuàng)造個性化�����、用戶體驗好的作品��,建站類型包括:網(wǎng)站設(shè)計制作���、成都網(wǎng)站設(shè)計����、企業(yè)官網(wǎng)��、英文網(wǎng)站�、手機端網(wǎng)站、網(wǎng)站推廣����、域名申請、虛擬主機���、企業(yè)郵箱�。業(yè)務(wù)覆蓋河南地區(qū)�����。
FTP服務(wù)器首先是基于操作系統(tǒng)而運作的,因而操作系統(tǒng)本身的安全性就決定了FTP服務(wù)器安全性的級別�����。雖然Windows 98/Me一樣可以架設(shè)FTP服務(wù)器�����,但由于其本身的安全性就不強����,易受攻擊�����,因而最好不要采用��。Windows NT就像雞肋�,不用也罷。最好采用Windows 2000及以上版本��,并記住及時打上補丁���。至于Unix��、Linux���,則不在討論之列�。
二�、使用防火墻
端口是計算機和外部網(wǎng)絡(luò)相連的邏輯接口,也是計算機的第一道屏障��,端口配置正確與否直接影響到主機的安全��,一般來說����,僅打開你需要使用的端口,將其他不需要使用的端口屏蔽掉會比較安全��。限制端口的方法比較多�����,可以使用第三方的個人防火墻����,如天網(wǎng)個人防火墻等���,這里只介紹Windows自帶的防火墻設(shè)置方法。
1.利用TCP/IP篩選功能
在Windows ?2000和Windows XP中�����,系統(tǒng)都帶有TCP/IP篩選功能����,利用它可以簡單地進行端口設(shè)置。以Windows XP為例��,打開“本地連接”的屬性��,在“常規(guī)”選項中找到“Internet協(xié)議(TCP/IP)”����,雙擊它打開該協(xié)議的屬性設(shè)置窗口��。點擊右下方的“高級”按鈕�����,進入“高級TCP/IP設(shè)置”。在“選項”中選中“TCP/IP篩選”并雙擊進入其屬性設(shè)置�。這里我們可以設(shè)置系統(tǒng)只允許開放的端口,假如架設(shè)的FTP服務(wù)器端口為21����,先選中“啟用TCP/IP篩選(所有適配器)”,再在TCP端口選項中選擇“只允許”����,點“添加”,輸入端口號21�,確定即可。這樣��,系統(tǒng)就只允許打開21端口����。要開放其他端口,繼續(xù)添加即可�����。這可以有效防止最常見的139端口入侵�。缺點是功能過于簡單,只能設(shè)置允許開放的端口����,不能自定義要關(guān)閉的端口�����。如果你有大量端口要開放���,就得一個個地去手工添加,比較麻煩�。
2.打開Internet連接防火墻
對于Windows XP系統(tǒng),自帶了“Internet連接防火墻”功能����,與TCP/IP篩選功能相比,設(shè)置更方便����,功能更強大�。除了自帶防火墻端口開放規(guī)則外,還可以自行增刪���。在控制面板中打開“網(wǎng)絡(luò)連接”����,右擊撥號連接,進入“高級”選項卡����,選中“通過限制或阻止來自Internet的對此計算機的訪問來保護我的計算機和網(wǎng)絡(luò)”,啟用它��。系統(tǒng)默認狀態(tài)下是關(guān)閉了FTP端口的��,因而還要設(shè)置防火墻�����,打開所使用的FTP端口����。點擊右下角的“設(shè)置”按鈕進入“高級設(shè)置”,選中“FTP服務(wù)器”����,編輯它。由于FTP服務(wù)默認端口是21�,因而除了IP地址一欄外,其余均不可更改�����。在IP地址一欄中填入服務(wù)器公網(wǎng)IP,確定后退出即可即時生效�。如果架設(shè)的FTP服務(wù)器端口為其他端口,比如22����,則可以在“服務(wù)”選項卡下方點“添加”,輸入服務(wù)器名稱和公網(wǎng)IP后�,將外部端口號和內(nèi)部端口號均填入22即可。
三�、對IIS、Serv-u等服務(wù)器軟件進行設(shè)置
除了依靠系統(tǒng)提供的安全措施外��,就需要利用FTP服務(wù)器端軟件本身的設(shè)置來提高整個服務(wù)器的安全了����。
1.IIS的安全性設(shè)置
1)及時安裝新補丁
對于IIS的安全性漏洞,可以說是“有口皆碑”了�,平均每兩三個月就要出一兩個漏洞。所幸的是���,微軟會根據(jù)新發(fā)現(xiàn)的漏洞提供相應(yīng)的補丁��,這就需要你不斷更新,安裝最新補丁�。
2)將安裝目錄設(shè)置到非系統(tǒng)盤�,關(guān)閉不需要的服務(wù)
一些惡意用戶可以通過IIS的溢出漏洞獲得對系統(tǒng)的訪問權(quán)����。把IIS安放在系統(tǒng)分區(qū)上,會使系統(tǒng)文件與IIS同樣面臨非法訪問�,容易使非法用戶侵入系統(tǒng)分區(qū)。另外�����,由于IIS是一個綜合性服務(wù)組件����,每開設(shè)一個服務(wù)都將會降低整個服務(wù)的安全性,因而����,對不需要的服務(wù)盡量不要安裝或啟動。
3)只允許匿名連接
FTP最大的安全漏洞在于其默認傳輸密碼的過程是明文傳送����,很容易被人嗅探到。而IIS又是基于Windows用戶賬戶進行管理的�����,因而很容易泄漏系統(tǒng)賬戶名及密碼,如果該賬戶擁有一定管理權(quán)限����,則更會影響到整個系統(tǒng)的安全。設(shè)置為“只允許匿名連接”�����,可以免卻傳輸過程中泄密的危險�。進入“默認FTP站點”,在屬性的“安全賬戶”選項卡中��,將此選項選中�����。
4)謹慎設(shè)置主目錄及其權(quán)限
IIS可以將FTP站點主目錄設(shè)為局域網(wǎng)中另一臺計算機的共享目錄�,但在局域網(wǎng)中,共享目錄很容易招致其他計算機感染的病毒攻擊��,嚴重時甚至?xí)斐烧麄€局域網(wǎng)癱瘓��,不到萬不得已�����,最好使用本地目錄并將主目錄設(shè)為NTFS格式的非系統(tǒng)分區(qū)中�����。這樣����,在對目錄的權(quán)限設(shè)置時,可以對每個目錄按不同組或用戶來設(shè)置相應(yīng)的權(quán)限�����。右擊要設(shè)置的目錄�����,進入“共享和安全→安全”中設(shè)置��,如非必要����,不要授予“寫入”權(quán)限。
5)盡量不要使用默認端口號21
啟用日志記錄��,以備出現(xiàn)異常情況時查詢原因����。
2.Serv-u的安全性設(shè)置
與IIS的FTP服務(wù)相比����,Serv-u在安全性方面做得比較好���。
1)對“本地服務(wù)器”進行設(shè)置
首先����,選中“攔截FTP_bounce攻擊和XP”����。什么是FXP呢?通常�,當(dāng)使用FTP協(xié)議進行文件傳輸時,客戶端首先向FTP服務(wù)器發(fā)出一個“PORT”命令��,該命令中包含此用戶的IP地址和將被用來進行數(shù)據(jù)傳輸?shù)亩丝谔?,服?wù)器收到后,利用命令所提供的用戶地址信息建立與用戶的連接��。大多數(shù)情況下����,上述過程不會出現(xiàn)任何問題����,但當(dāng)客戶端是一名惡意用戶時�,可能會通過在PORT命令中加入特定的地址信息����,使FTP服務(wù)器與其它非客戶端的機器建立連接。雖然這名惡意用戶可能本身無權(quán)直接訪問某一特定機器���,但是如果FTP服務(wù)器有權(quán)訪問該機器的話����,那么惡意用戶就可以通過FTP服務(wù)器作為中介��,仍然能夠最終實現(xiàn)與目標服務(wù)器的連接�。這就是FXP,也稱跨服務(wù)器攻擊�。選中后就可以防止發(fā)生此種情況。
其次�����,在“高級”選項卡中,檢查“加密密碼”和“啟用安全”是否被選中���,如果沒有�����,選擇它們����?��!凹用苊艽a”使用單向Hash函數(shù)(MD5)加密用戶口令�����,加密后的口令保存在ServUDaemon����。ini或是注冊表中�����。如果不選擇此項����,用戶口令將以明文形式保存在文件中:“啟用安全”將啟動Serv-u服務(wù)器的安全成功�。
2)對域中的服務(wù)器進行設(shè)置
前面說過���,F(xiàn)TP默認為明文傳送密碼��,容易被人嗅探�,對于只擁有一般權(quán)限的賬戶����,危險并不大�����,但如果該賬戶擁有遠程管理尤其是系統(tǒng)管理員權(quán)限��,則整個服務(wù)器都會被別人遠程控制����。Serv-u對每個賬戶的密碼都提供了以下三種安全類型:規(guī)則密碼、OTP S/KEY MD4和OTP S/KEY MD5���。不同的類型對傳輸?shù)募用芊绞揭膊煌?�,以?guī)則密碼安全性最低�。進入擁有一定管理權(quán)限的賬戶的設(shè)置中,在“常規(guī)”選項卡的下方找到“密碼類型”下拉列表框�,選中第二或第三種類型,保存即可�。注意,當(dāng)用戶憑此賬戶登錄服務(wù)器時���,需要FTP客戶端軟件支持此密碼類型��,如CuteFTP Pro等�,輸入密碼時選擇相應(yīng)的密碼類型方可通過服務(wù)器驗證��。
與IIS一樣��,還要謹慎設(shè)置主目錄及其權(quán)限����,凡是沒必要賦予寫入等能修改服務(wù)器文件或目錄權(quán)限的,盡量不要賦予��。最后�,進入“設(shè)置”,在“日志”選項卡中將“啟用記錄到文件”選中����,并設(shè)置好日志文件名及保存路徑��、記錄參數(shù)等�����,以方便隨時查詢服務(wù)器異常原因�����。
如何讓FTP服務(wù)器更保險
我理解的更保險是被安全的訪問�,不易被攻破��。有以下方向可以入手:
提供FTP服務(wù)的服務(wù)器做好安全加固��,消除安全隱患����。比如關(guān)閉無關(guān)服務(wù)�����,過濾非必要端口訪問��,帳戶密碼等等;
使用一款安全的FTP服務(wù)端軟件�����,并且要及時更新補丁
FTP訪問權(quán)限的管理�。以低權(quán)限運行FTP服務(wù)、修改默認端口�����、設(shè)置用戶權(quán)限��、來源IP限制�,流量連接數(shù)限制等等
FTP資源目錄的管理。將FTP放在一個獨立的分區(qū)或磁盤��,并設(shè)置低文件權(quán)限(如Linux����,可以設(shè)定某個分區(qū)不可運行可執(zhí)行文件,只讀等)��?����?杀苊獯疟P爆滿服務(wù)器掛了,也可避免一些上傳并可執(zhí)行文件的隱患
由于FTP是明文傳輸����,數(shù)據(jù)存在被截獲的可能,所以可以使用sftp替代
如果內(nèi)部使用的FTP�,甚至可以套一層VPN。FTP服務(wù)只對內(nèi)網(wǎng)開放�����,只能通過VPN接入內(nèi)網(wǎng)�����,就可以嚴格限定使用對象了
暫時想到這些����,希望對你有用。
如何提高FTP服務(wù)器安全性
FTP是一種文件傳輸協(xié)議���。有時我們把他形象的叫做文件交流集中地。FTP文件服務(wù)器的主要用途就是提供文件存儲的空間��,讓用戶可以上傳或者下載所需要的文件���。在企業(yè)中�����,往往會給客戶提供一個特定的FTP空間����,以方便跟可以進行一些大型文件的交流,如大到幾百兆的設(shè)計圖紙等等���。同時��,F(xiàn)TP還可以作為企業(yè)文件的備份服務(wù)器�����,如把數(shù)據(jù)庫等關(guān)鍵應(yīng)用在FTP服務(wù)器上實現(xiàn)異地備份等等����。
可見���,F(xiàn)TP服務(wù)器在企業(yè)中的應(yīng)用是非常廣泛的���。真是因為其功能如此的強大�,所以�,很多黑客、病毒也開始關(guān)注他了�����。他們企圖通過FTP服務(wù)器為跳板���,作為他們傳播木馬����、病毒的源頭����。同時,由于FTP服務(wù)器上存儲著企業(yè)不少有價值的內(nèi)容�。在經(jīng)濟利益的誘惑下,F(xiàn)TP服務(wù)器也就成為了別人攻擊的對象�����。
在考慮FTP服務(wù)器安全性工作的時候�����,第一步要考慮的就是誰可以訪問FTP服務(wù)器�。在Vsftpd服務(wù)器軟件中,默認提供了三類用戶�����。不同的用戶對應(yīng)著不同的權(quán)限與操作方式�����。
一類是Real帳戶�。這類用戶是指在FTP服務(wù)上擁有帳號。當(dāng)這類用戶登錄FTP服務(wù)器的時候�����,其默認的主目錄就是其帳號命名的目錄����。但是,其還可以變更到其他目錄中去�。如系統(tǒng)的主目錄等等。
第二類帳戶實Guest用戶��。在FTP服務(wù)器中,我們往往會給不同的部門或者某個特定的用戶設(shè)置一個帳戶�。但是,這個賬戶有個特點�,就是其只能夠訪問自己的主目錄。服務(wù)器通過這種方式來保障FTP服務(wù)上其他文件的安全性����。這類帳戶,在Vsftpd軟件中就叫做Guest用戶����。擁有這類用戶的帳戶,只能夠訪問其主目錄下的目錄�,而不得訪問主目錄以外的文件。
在組建FTP服務(wù)器的時候�,我們就需要根據(jù)用戶的類型,對用戶進行歸類���。默認情況下���,Vsftpd服務(wù)器會把建立的所有帳戶都歸屬為Real用戶。但是�,這往往不符合企業(yè)安全的需要。因為這類用戶不僅可以訪問自己的主目錄�����,而且,還可以訪問其他用戶的目錄���。這就給其他用戶所在的空間 帶來一定的安全隱患。所以����,企業(yè)要根據(jù)實際情況,修改用戶雖在的類別�。
修改方法:第一步:修改/etc/Vsftpd/vsftpd.conf文件。
默認情況下�,只啟用了Real與Anonymous兩類用戶。若我們需要啟用Guest類用戶的時候��,就需要把這個選項啟用���。修改/etc/Vsftpd/vsftpd.conf文件����,把其中的chroot_list_enable=YES這項前面的注釋符號去掉�����。去掉之后,系統(tǒng)就會自動啟用Real類型的帳戶����。
第二步:修改/etc/vsftpd.conf文件。
若要把某個FTP服務(wù)器的帳戶歸屬為Guest帳戶���,則就需要在這個文件中添加用戶��。通常情況下����,F(xiàn)TP服務(wù)器上沒有這個文件�,需要用戶手工的創(chuàng)建。利用VI命令創(chuàng)建這個文件之后����,就可以把已經(jīng)建立的FTP帳戶加入到這個文件中。如此的話�,某個帳戶就屬于Real類型的用戶了。他們登錄到FTP服務(wù)器后���,只能夠訪問自己的主目錄���,而不能夠更改主目錄��。
第三步:重新啟動FTP服務(wù)器�����。
按照上述步驟配置完成后�����,需要重新啟動FTP服務(wù)器,其配置才能夠生效����。我們可以重新啟動服務(wù)器,也可以直接利用Restart命令來重新啟動FTP服務(wù)�。
在對用戶盡心分類的時候,筆者有幾個善意的提醒�。
一是盡量采用Guest類型的用戶,而減少Real類行的用戶�����。一般我們在建立FTP帳戶的時候�����,用戶只需要訪問自己的主目錄下的文件即可。當(dāng)給某個用戶的權(quán)限過大時��,會對其他用戶文件的安全產(chǎn)生威脅���。
在以下幾種情況下�����,我們要禁止這些賬戶訪問FTP服務(wù)器��,以提高服務(wù)器的安全�。
一是某些系統(tǒng)帳戶����。如ROOT帳戶。這個賬戶默認情況下是Linxu系統(tǒng)的管理員帳戶�����,其對系統(tǒng)具有最高的操作與管理權(quán)限���。若允許用戶以這個賬戶為賬戶名進行登陸的話���,則用戶不但可以訪問Linux系統(tǒng)的所有資源�����,而且��,還好可以進行系統(tǒng)配置���。這對于FTP服務(wù)器來說,顯然危害很大��。所以����,往往不允許用戶以這個Root等系統(tǒng)帳戶身份登陸到FTP服務(wù)器上來��。
第二類是一些臨時賬戶�����。有時候我們出于臨時需要����,為開一些臨時賬戶。如需要跟某個客戶進行圖紙上的交流����,而圖紙本身又比較大時����,F(xiàn)TP服務(wù)器就是一個很好的圖紙中轉(zhuǎn)工具��。在這種情況下���,就需要為客戶設(shè)立一個臨時賬戶�。這些賬戶用完之后���,一般就加入到了黑名單�����。等到下次需要再次用到的時候��,再啟用他����。
在vstftpd服務(wù)器中��,要把某些用戶加入到黑名單,也非常的簡單���。在Vsftpd軟件中��,有一個/etc/vsftpd.user_lise配置文件���。這個文件就是用來指定哪些賬戶不能夠登陸到這個服務(wù)器。我們利用vi命令查看這個文件�����,通常情況下���,一些系統(tǒng)賬戶已經(jīng)加入到了這個黑名單中�����。FTP服務(wù)器管理員要及時的把一些臨時的或者不再使用的帳戶加入到這個黑名單中。從而才可以保證未經(jīng)授權(quán)的賬戶訪問FTP服務(wù)器�����。在配置后�����,往往不需要重新啟動FTP服務(wù),配置就會生效�。
不過,一般情況下���,不會影響當(dāng)前會話�����。也就是說�����,管理員在管理FTP服務(wù)器的時候��,發(fā)現(xiàn)有一個非法賬戶登陸到了FTP服務(wù)器�����。此時�,管理員馬上把這個賬戶拉入黑名單�����。但是,因為這個賬戶已經(jīng)連接到FTP服務(wù)器上�����,所以�,其當(dāng)前的會話不會受到影響。當(dāng)其退出當(dāng)前會話����,下次再進行連接的時候,就不允許其登陸FTP服務(wù)器了�����。所以�����,若要及時的把該賬戶禁用掉的話���,就需要在設(shè)置好黑名單后,手工的關(guān)掉當(dāng)前的會話��。
對于一些以后不再需要使用的帳戶時���,管理員不需要把他加入黑名單�,而是直接刪除用戶為好。同時����,在刪除用戶的時候,要記得把用戶對應(yīng)的主目錄也一并刪除�。不然主目錄越來越多,會增加管理員管理的工作量��。在黑名單中���,只保留那些將來可能利用的賬戶或者不是用作FTP服務(wù)器登陸的賬戶�。這不但可以減少服務(wù)器管理的工作量�����,而且���,還可以提高FTP服務(wù)器的安全性��。
在系統(tǒng)默認配置下����,匿名類型的用戶只可以下載文件,而不能夠上傳文件���。雖然這不是我們推薦的配置�����,但是��,有時候出于一些特殊的需要�,確實要開啟這個功能����。如筆者以前在企業(yè)中,利用這個功能實現(xiàn)了對用戶終端文件進行備份的功能����。為了設(shè)置的方便,就在FTP服務(wù)器上開啟了匿名訪問���,并且允許匿名訪問賬戶網(wǎng)某個特定的文件夾中上傳某個文件��。
筆者再次重申一遍���,一般情況下,是不建議用戶開啟匿名賬戶的文件上傳功能���。因為很難保證匿名賬戶上傳的文件中�,不含有一些破壞性的程序���,如病毒或者木馬等等����。有時候����,雖然開啟了這個功能,但是往往會在IP上進行限制����。如只允許企業(yè)內(nèi)部IP可以進行匿名訪問并上傳文件,其他賬戶則不行�。如此的話,可以防止外部用戶未經(jīng)授權(quán)匿名訪問企業(yè)的FTP服務(wù)器��。若用戶具有合法的賬戶��,就可以在外網(wǎng)中登陸到FTP服務(wù)器上����。
總之�,在FTP服務(wù)器安全管理上�����,主要關(guān)注三個方面的問題�。一是未經(jīng)授權(quán)的用戶不能往FTP空間上上傳文件;二是用戶不得訪問未經(jīng)授權(quán)的目錄���,以及對這些目錄的文件進行更改��,包括刪除與上傳�����;三是FTP服務(wù)器本身的穩(wěn)定性�����。以上三個問題中的前兩部分內(nèi)容�,都可以通過上面的三個方法有效的解決�����。
如何保證文件傳輸服務(wù)器FTP的安全
目前FTP 服務(wù)器面臨的安全隱患主要包括:
1. 被用戶跳轉(zhuǎn)到了上級非授權(quán)的目錄(如 /root);
2. 客戶端指定文件的類型和格式�����,但只通過擴展名判斷����。
3. 無法判斷文件是否為帶毒��。
4. 文件傳輸不做校驗�,無法保證文件的完整性
5. 多人同用一個用戶時,文件下載無法追查��。
友予安全FTP�����,在標準FTP�、SFTP基礎(chǔ)上,增加安全如下:
1. 服務(wù)端目錄限定:只允許用戶訪問設(shè)定的目錄����,如不能訪問C:、/root�、FTP服務(wù)軟件本身的目錄�����,當(dāng)管理端添加用戶指定的目錄超出了限定���,用戶無法訪問該目錄。
2. 深度文件類型識別:服務(wù)端設(shè)定的可上傳的類型�,用友予Ftp客戶端,在客戶端中就會深度識別文件類型��、修改擴展名無效�,標準Ftp上傳時,服務(wù)端做深度判斷����。
3. 文件病毒查殺:服務(wù)端支持卡巴斯基、比特凡德�����、GDATA�����、NOD32殺毒軟件,每個上傳的文件都調(diào)用殺毒軟件命令查殺�����,返回查殺結(jié)果�����。友予Ftp客戶端可顯示錯誤原因��,標準FTP刪除文件�����,創(chuàng)建同名文件加錯誤原因��。
4. MD5校驗:友予Ftp客戶端上傳�、下載的文件與服務(wù)端生成的MD5對比����,同時對比文件的字節(jié)數(shù),當(dāng)都相同時才認定文件傳輸成功�。
5. 下載文件限定:限定用戶可下載文件的類型,如重要的設(shè)計圖�����、代碼、視頻都可限定��,限定的文件用戶查看不到���。
6. 下載文件備份:重要的資料外流���,但不可查,通過平臺�����,下載的文件會自動備份到指定的目錄����,并有用戶、IP��、時間�����、文件等信息記錄到日志中�,結(jié)合備份文件可查外傳人員��。
文章題目:如何實現(xiàn)ftp服務(wù)器的安全性的簡單介紹
網(wǎng)頁地址:
http://weahome.cn/article/doppghi.html
重慶分公司
重慶分公司
