FTP服务器安全问题浅谈之二

访客4年前黑客文章806

既然是公网FTP服务器,就难免会遭遇一些恶意攻击,轻则丢失文件,重则造成FTP服务器甚至整个系统崩溃。怎样才能更大限度地保证它的安全性呢?在这里给大家提供一些经验,希望能帮到各位站长,上回谈到操作系统的选择和防火墙的问题,这次要说的是对IIS、Serv-U等服务器软件进行设置

对IIS、Serv-U等服务器软件进行设置

除了依靠系统提供的安全措施外,就需要利用FTP服务器端软件本身的设置来提高整个服务器的安全了。

1、IIS的安全性设置

及时安装新补丁:对于IIS的安全性漏洞,可以说是“有口皆碑”了,平均每两三个月就要出一两个漏洞。所幸的是,微软会根据新发现的漏洞提供相应的补丁,这就需要你不断更新,安装最新补丁。

将安装目录设置到非系统盘,关闭不需要的服务:一些恶意用户可以通过IIS的溢出漏洞获得对系统的访问权。把IIS安放在系统分区上,会使系统文件与IIS同样面临非法访问,容易使非法用户侵入系统分区。另外,由于IIS是一个综合 *** 组件,每开设一个服务都将会降低整个服务的安全性,因而,对不需要的服务尽量不要安装或启动。

只允许匿名连接:FTP更大的安全漏洞在于其默认传输密码的过程是明文传送,很容易被人嗅探到。而IIS又是基于Windows用户账户进行管理的,因而很容易泄漏系统账户名及密码,如果该账户拥有一定管理权限,则更会影响到整个系统的安全。设置为“只允许匿名连接”,可以免却传输过程中泄密的危险。进入“默认FTP站点”,在属性的“安全账户”选项卡中,将此选项选中。

谨慎设置主目录及其权限:IIS可以将FTP站点主目录设为局域网中另一台计算机的共享目录,但在局域网中,共享目录很容易招致其他计算机感染的病毒攻击,严重时甚至会造成整个局域网瘫痪,不到万不得已,更好使用本地目录并将主目录设为NTFS格式的非系统分区中。这样,在对目录的权限设置时,可以对每个目录按不同组或用户来设置相应的权限。右击要设置的目录,进入“共享和安全→安全”中设置,如非必要,不要授予“写入”权限。

尽量不要使用默认端口号21:启用日志记录,以备出现异常情况时查询原因。

2、Serv-U的安全性设置

与IIS的FTP服务相比,Serv-U在安全性方面做得比较好。

1)对“本地服务器”进行设置

首先,选中“拦截FTP_bounce攻击和FXP”。什么是FXP呢?通常,当使用FTP协议进行文件传输时,客户端首先向FTP服务器发出一个“PORT”命令,该命令中包含此用户的IP地址和将被用来进行数据传输的端口号,服务器收到后,利用命令所提供的用户地址信息建立与用户的连接。大多数情况下,上述过程不会出现任何问题,但当客户端是一名恶意用户时,可能会通过在PORT命令中加入特定的地址信息,使FTP服务器与其它非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一特定机器,但是如果FTP服务器有权访问该机器的话,那么恶意用户就可以通过FTP服务器作为中介,仍然能够最终实现与目标服务器的连接。这就是FXP,也称跨服务器攻击。选中后就可以防止发生此种情况。

其次,在“高级”选项卡中,检查“加密密码”和“启用安全”是否被选中,如果没有,选择它们。“加密密码”使用单向hash函数(MD5)加密用户口令,加密后的口令保存在Serv-UDaemon.ini或是注册表中。如果不选择此项,用户口令将以明文形式保存在文件中;“启用安全”将启动Serv-U服务器的安全成功。

2)对域中的服务器进行设置

前面说过,FTP默认为明文传送密码,容易被人嗅探,对于只拥有一般权限的账户,危险并不大,但如果该账户拥有远程管理尤其是系统管理员权限,则整个服务器都会被别人远程控制。Serv-U对每个账户的密码都提供了以下三种安全类型:规则密码、OTPS/KEYMD4和OTPS/KEYMD5。不同的类型对传输的加密方式也不同,以规则密码安全性更低。进入拥有一定管理权限的账户的设置中,在“常规”选项卡的下方找到“密码类型”下拉列表框,选中第二或第三种类型,保存即可。注意,当用户凭此账户登录服务器时,需要FTP客户端软件支持此密码类型,如CuteFTPPro等,输入密码时选择相应的密码类型方可通过服务器验证。

与IIS一样,还要谨慎设置主目录及其权限,凡是没必要赋予写入等能修改服务器文件或目录权限的,尽量不要赋予。最后,进入“设置”,在“日志”选项卡中将“启用记录到文件”选中,并设置好日志文件名及保存路径、记录参数等,以方便随时查询服务器异常原因。

好了,谈到这里,关于FTP服务器架设的安全知识,已经谈完了,希望对大家有所帮助。

相关文章

瑜伽馆利用3招,迅速成交700名客户,背后商业模式值得借鉴

瑜伽馆近年来的持续火热证实了它依然大有商机存在。人们来瑜伽馆无论是健身、减肥还是修身养性,都能在瑜伽馆满足自身的需要。而且,瑜伽馆具有一定的不可替代性,且主要分布在私教项目上。意思就是说你可以在网上学...

在线查开的房记录查询(老公出轨怎样查酒店记录)

在线查开的房记录查询(老公出轨怎样查酒店记录) 为积极践行“最多跑一次”改革,实现让数据多跑路,方便个人查档办事,杭州住保房管局在原有窗口查档、自助机查档、电脑PC端查档服务的基础上,充分利用“互联...

怎么花钱雇黑客(怎么花钱请黑客)

一、怎么花钱雇黑客(怎么花钱请黑客)方法总结 1、花钱请黑客高手来说号与联系方式吧. 2、找一个黑客帮忙要多少钱你好技术员最好的方法而且价格不高挺合理请黑客入侵个人PC大约需要多少钱看破解难度和内有...

找黑客改学信网-ipad被黑客入侵的症状(ipad会不会被黑客入侵)

找黑客改学信网-ipad被黑客入侵的症状(ipad会不会被黑客入侵)

找黑客改学信网相关问题 黑客可以解散群吗相关问题 黑客灭蚊器怎么使用 手机装个窃听多少钱(手机窃听) 黑客基础要...

冰箱冷藏室结冰的原因(冰箱冷藏室结冰原因及解决方法)

  冰箱冷藏室的关键功效是冷藏和冷冻,假如产生冰箱冷藏室结冻或冰箱冷藏室有冰该怎么办?这类状况在电冰箱的日常应用中是很普遍的状况,下边就随我看一下冰箱冷藏室结冻缘故及解决方案,以供大伙儿参照。   电...

如何接收老婆的微信聊天记录

. 越来越发现离开校园身边的人越来越少尤其有伴的伙伴更是联系甚少真是孤独只狗原想自由地追寻世界可是无奈总有牵绊真是落寞只狗还不如一直工作伴熊孩子们在一起成长最起码会有伴不会是只孤单狗真是……下面友谊...