FTP服務器(qì)安全一、操作(zuò)系統的選擇

FTP服務器(qì)首先是基于操作(zuò)系統而運作(zuò)的，因而操作(zuò)系統本身的安全性就決定了FTP服務器(qì)安全性的級别。雖然Windows 98/Me一樣可(kě)以架設FTP服務器(qì)，但(dàn)由于其本身的安全性就不強，易受攻擊，因而最好不要采用。Windows NT就像雞肋，不用也罷。最好采用Windows 2000及以上(shàng)版本，并記住及時(shí)打上(shàng)補丁。至于Unix、Linux，則不在討(tǎo)論之列。

二、使用防火(huǒ)牆

端口是計(jì)算(suàn)機和(hé)外部網絡相連的邏輯接口，也是計(jì)算(suàn)機的第一道(dào)屏障，端口配置正确與否直接影(yǐng)響到主機的安全，一般來(lái)說，僅打開(kāi)你(nǐ)需要使用的端口，将其他不需要使用的端口屏蔽掉會(huì)比較安全。限制(zhì)端口的方法比較多(duō)，可(kě)以使用第三方的個(gè)人(rén)防火(huǒ)牆，如天網個(gè)人(rén)防火(huǒ)牆等，這裏隻介紹Windows自帶的防火(huǒ)牆設置方法。

1。利用TCP/IP篩選功能

在Windows 2000和(hé)Windows XP中，系統都帶有(yǒu)TCP/IP篩選功能，利用它可(kě)以簡單地進行(xíng)端口設置。以Windows XP為(wèi)例，打開(kāi)“本地連接”的屬性，在“常規”選項中找到“Internet協議(TCP/IP)”，雙擊它打開(kāi)該協議的屬性設置窗口。點擊右下方的“高(gāo)級”按鈕，進入“高(gāo)級TCP/IP設置”。在“選項”中選中“TCP/IP篩選”并雙擊進入其屬性設置。這裏我們可(kě)以設置系統隻允許開(kāi)放的端口，假如架設的FTP服務器(qì)端口為(wèi)21，先選中“啓用TCP/IP篩選(所有(yǒu)适配器(qì))”，再在TCP端口選項中選擇“隻允許”，點“添加”，輸入端口号21，确定即可(kě)。這樣，系統就隻允許打開(kāi)21端口。要開(kāi)放其他端口，繼續添加即可(kě)。這可(kě)以有(yǒu)效防止最常見的139端口入侵。缺點是功能過于簡單，隻能設置允許開(kāi)放的端口，不能自定義要關閉的端口。如果你(nǐ)有(yǒu)大(dà)量端口要開(kāi)放，就得(de)一個(gè)個(gè)地去手工添加，比較麻煩。

2。打開(kāi)Internet連接防火(huǒ)牆

對于Windows XP系統，自帶了“Internet連接防火(huǒ)牆”功能，與TCP/IP篩選功能相比，設置更方便，功能更強大(dà)。除了自帶防火(huǒ)牆端口開(kāi)放規則外，還(hái)可(kě)以自行(xíng)增删。在控制(zhì)面闆中打開(kāi)“網絡連接”，右擊撥号連接，進入“高(gāo)級”選項卡，選中“通(tōng)過限制(zhì)或阻止來(lái)自Internet的對此計(jì)算(suàn)機的訪問來(lái)保護我的計(jì)算(suàn)機和(hé)網絡”，啓用它。系統默認狀态下是關閉了FTP端口的，因而還(hái)要設置防火(huǒ)牆，打開(kāi)所使用的FTP端口。點擊右下角的“設置”按鈕進入“高(gāo)級設置”，選中“FTP服務器(qì)”，編輯它。由于FTP服務默認端口是21，因而除了IP地址一欄外，其餘均不可(kě)更改。在IP地址一欄中填入服務器(qì)公網IP，确定後退出即可(kě)即時(shí)生(shēng)效。如果架設的FTP服務器(qì)端口為(wèi)其他端口，比如22，則可(kě)以在“服務”選項卡下方點“添加”，輸入服務器(qì)名稱和(hé)公網IP後，将外部端口号和(hé)內(nèi)部端口号均填入22即可(kě)。

三、對IIS、Serv-U等服務器(qì)軟件進行(xíng)設置

除了依靠系統提供的安全措施外，就需要利用FTP服務器(qì)端軟件本身的設置來(lái)提高(gāo)整個(gè)服務器(qì)的安全了。

1。IIS的安全性設置

1)及時(shí)安裝新補丁

對于IIS的安全性漏洞，可(kě)以說是“有(yǒu)口皆碑”了，平均每兩三個(gè)月就要出一兩個(gè)漏洞。所幸的是，微軟會(huì)根據新發現的漏洞提供相應的補丁，這就需要你(nǐ)不斷更新，安裝最新補丁。

2)将安裝目錄設置到非系統盤，關閉不需要的服務

一些(xiē)惡意用戶可(kě)以通(tōng)過IIS的溢出漏洞獲得(de)對系統的訪問權。把IIS安放在系統分區(qū)上(shàng)，會(huì)使系統文件與IIS同樣面臨非法訪問，容易使非法用戶侵入系統分區(qū)。另外，由于IIS是一個(gè)綜合性服務組件，每開(kāi)設一個(gè)服務都将會(huì)降低(dī)整個(gè)服務的安全性，因而，對不需要的服務盡量不要安裝或啓動。

3)隻允許匿名連接

FTP最大(dà)的安全漏洞在于其默認傳輸密碼的過程是明(míng)文傳送，很(hěn)容易被人(rén)嗅探到。而IIS又是基于Windows用戶賬戶進行(xíng)管理(lǐ)的，因而很(hěn)容易洩漏系統賬戶名及密碼，如果該賬戶擁有(yǒu)一定管理(lǐ)權限，則更會(huì)影(yǐng)響到整個(gè)系統的安全。設置為(wèi)“隻允許匿名連接”，可(kě)以免卻傳輸過程中洩密的危險。進入“默認FTP站(zhàn)點”，在屬性的“安全賬戶”選項卡中，将此選項選中。

4)謹慎設置主目錄及其權限

IIS可(kě)以将FTP站(zhàn)點主目錄設為(wèi)局域網中另一台計(jì)算(suàn)機的共享目錄，但(dàn)在局域網中，共享目錄很(hěn)容易招緻其他計(jì)算(suàn)機感染的病毒攻擊，嚴重時(shí)甚至會(huì)造成整個(gè)局域網癱瘓，不到萬不得(de)已，最好使用本地目錄并将主目錄設為(wèi)NTFS格式的非系統分區(qū)中。這樣，在對目錄的權限設置時(shí)，可(kě)以對每個(gè)目錄按不同組或用戶來(lái)設置相應的權限。右擊要設置的目錄，進入“共享和(hé)安全→安全”中設置，如非必要，不要授予“寫入”權限。

5)盡量不要使用默認端口号21

啓用日志(zhì)記錄，以備出現異常情況時(shí)查詢原因。

2。Serv-U的安全性設置

與IIS的FTP服務相比，Serv-U在安全性方面做(zuò)得(de)比較好。

1)對“本地服務器(qì)”進行(xíng)設置

首先，選中“攔截FTP_bounce攻擊和(hé)FXP”。什麽是FXP呢?通(tōng)常，當使用FTP協議進行(xíng)文件傳輸時(shí)，客戶端首先向FTP服務器(qì)發出一個(gè)“PORT”命令，該命令中包含此用戶的IP地址和(hé)将被用來(lái)進行(xíng)數(shù)據傳輸的端口号，服務器(qì)收到後，利用命令所提供的用戶地址信息建立與用戶的連接。大(dà)多(duō)數(shù)情況下，上(shàng)述過程不會(huì)出現任何問題，但(dàn)當客戶端是一名惡意用戶時(shí)，可(kě)能會(huì)通(tōng)過在PORT命令中加入特定的地址信息，使FTP服務器(qì)與其它非客戶端的機器(qì)建立連接。雖然這名惡意用戶可(kě)能本身無權直接訪問某一特定機器(qì)，但(dàn)是如果FTP服務器(qì)有(yǒu)權訪問該機器(qì)的話(huà)，那(nà)麽惡意用戶就可(kě)以通(tōng)過FTP服務器(qì)作(zuò)為(wèi)中介，仍然能夠最終實現與目标服務器(qì)的連接。這就是FXP，也稱跨服務器(qì)攻擊。選中後就可(kě)以防止發生(shēng)此種情況。

其次，在“高(gāo)級”選項卡中，檢查“加密密碼”和(hé)“啓用安全”是否被選中，如果沒有(yǒu)，選擇它們。“加密密碼”使用單向hash函數(shù)(MD5)加密用戶口令，加密後的口令保存在ServUDaemon。ini或是注冊表中。如果不選擇此項，用戶口令将以明(míng)文形式保存在文件中：“啓用安全”将啓動Serv-U服務器(qì)的安全成功。

2)對域中的服務器(qì)進行(xíng)設置

前面說過，FTP默認為(wèi)明(míng)文傳送密碼，

容易被人(rén)嗅探，對于隻擁有(yǒu)一般權限的賬戶，危險并不大(dà)，但(dàn)如果該賬戶擁有(yǒu)遠程管理(lǐ)尤其是系統管理(lǐ)員權限，則整個(gè)服務器(qì)都會(huì)被别人(rén)遠程控制(zhì)。Serv-U對每個(gè)賬戶的密碼都提供了以下三種安全類型：規則密碼、OTP S/KEY MD4和(hé)OTP S/KEY MD5。不同的類型對傳輸的加密方式也不同，以規則密碼安全性最低(dī)。進入擁有(yǒu)一定管理(lǐ)權限的賬戶的設置中，在“常規”選項卡的下方找到“密碼類型”下拉列表框，選中第二或第三種類型，保存即可(kě)。注意，當用戶憑此賬戶登錄服務器(qì)時(shí)，需要FTP客戶端軟件支持此密碼類型，如CuteFTP Pro等，輸入密碼時(shí)選擇相應的密碼類型方可(kě)通(tōng)過服務器(qì)驗證。

與IIS一樣，還(hái)要謹慎設置主目錄及其權限，凡是沒必要賦予寫入等能修改服務器(qì)文件或目錄權限的，盡量不要賦予。最後，進入“設置”，在“日志(zhì)”選項卡中将“啓用記錄到文件”選中，并設置好日志(zhì)文件名及保存路徑、記錄參數(shù)等，以方便随時(shí)查詢服務器(qì)異常原因。