注重設(shè)置讓FTP服務(wù)器共享更安全

為了方便員鎮(zhèn)歲嫌工之間相互交流和傳輸信息，不少單位都利用Windows服務(wù)器系統(tǒng)自帶的FTP功能架設(shè)了FTP服務(wù)器，這樣一來員工就能把自己的信息上傳到FTP服務(wù)器中讓其他人下載使用了。不過，不同部門的員工共享使用同一臺FTP服務(wù)器，往往會存在部門信息被輕易外泄的危險；為了有效避免這種風險，讓FTP服務(wù)器共享訪問更安全，我們可以從設(shè)置出發(fā)，來讓不同部門的員工訪問FTP服務(wù)器時只能看到本部門的信息，而不能看到其他部門的信息，這樣一來就能實現(xiàn)多部門、多用戶共享使用FTP服務(wù)器的目的了！

創(chuàng)新互聯(lián)公司長期為近1000家客戶提供的網(wǎng)站建設(shè)服務(wù)，團隊從業(yè)經(jīng)驗10年，關(guān)注不同地域、不同群體，并針對不同對象提供差異化的產(chǎn)品和服務(wù)；打造開放共贏平臺，與合作伙伴共同營造健康的互聯(lián)網(wǎng)生態(tài)環(huán)境。為鎮(zhèn)巴企業(yè)提供專業(yè)的成都做網(wǎng)站、網(wǎng)站制作，鎮(zhèn)巴網(wǎng)站改版等技術(shù)服務(wù)。擁有10年豐富建站經(jīng)驗和眾多成功案例,為您定制開發(fā)。

架設(shè)FTP服務(wù)器

假設(shè)某單位為了便于統(tǒng)一管理FTP服務(wù)器，希望能讓不同的部門共享使用相同的一臺FTP服務(wù)器，并希望不同部門用戶登錄進FTP服務(wù)器后，只能訪問到本部門上傳發(fā)布的信息，并且僅對這些信息進行讀取或修改，而不能看到其他部門的上傳信息。比方說，我們假設(shè)指定“D:\aaa”文件夾作為單位FTP服務(wù)器的主目錄，并在該目錄下創(chuàng)建兩個名稱分別為“bbb”與“ccc”的文件夾，現(xiàn)在我們要讓B部門的員工以“bbb”用戶帳號登錄FTP服務(wù)器時，只能訪問和讀取“bbb” 文件夾中的信息，而不能看到和訪問“ccc” 文件夾中的信息，那樣一來多部門共享一臺FTP服務(wù)器的安全性就能得到有效保證了。要實現(xiàn)上面的設(shè)置目的，我們不妨按照如下步驟進行設(shè)置：

首先以超級管理員身份登錄進FTP服務(wù)器所在的主機系統(tǒng)，并在該系統(tǒng)桌面中用鼠標逐一單擊“開始”、“設(shè)置”、“控制面板”命令，在其后彈出的窗口中用鼠標雙擊“管理工具”圖標，之后再雙擊“計算機管理”圖標，打開主機系統(tǒng)的計算機管理窗口；在該管理窗口的左側(cè)顯示區(qū)域，用鼠標依次展開“本地用戶和組”/“用戶”分支選項，打開計算機用戶管理窗口，在該窗口的右側(cè)空白區(qū)域單御手擊鼠標右鍵，從彈出的右鍵菜單中執(zhí)行“用戶”命令，來為B部門和C部門的員工分別創(chuàng)建好登錄FTP服務(wù)器的用戶帳號名稱“bbb”和“ccc”，同時為這兩個用戶帳號設(shè)置好合適的密碼信息。

接著打開服務(wù)器系統(tǒng)的資源管理器窗口，找到該主機D盤下雀芹面的“aaa”文件夾，然后用鼠標雙擊該文件夾圖標，在其后的文件夾窗口中用鼠標右擊空白區(qū)域，并依次執(zhí)行快捷菜單中的“新建”/“文件夾”命令，來在“aaa”文件夾下面分別創(chuàng)建好“bbb”與“ccc”文件夾，這兩個文件夾就作為B部門和C部門員工的信息上傳目錄。

下面返回到服務(wù)器系統(tǒng)桌面中，并依次單擊“開始”/“設(shè)置”/“控制面板”命令，在其后的窗口中用鼠標依次雙擊“管理工具”、“Internet服務(wù)管理器”圖標，打開Internet信息服務(wù)窗口，在該窗口的左側(cè)顯示區(qū)域，用鼠標右鍵單擊服務(wù)器主機名稱，從彈出的快捷菜單中依次執(zhí)行“新建”/“FTP站點”命令，然后在彈出的向?qū)Т翱谥幸勒仗崾荆ㄈ鐖D1所示）， 設(shè)置好FTP服務(wù)器的站點名稱、IP地址，以及指定好FTP站點所用的主目錄路徑，這樣就能順利完成FTP服務(wù)器站點的架設(shè)操作了。

小提示：當我們在Internet信息服務(wù)窗口的左側(cè)顯示區(qū)域中無法找到“FTP站點”選項時，那表明當前服務(wù)器系統(tǒng)還沒有安裝FTP文件傳輸協(xié)議功能，此時我們可以按照前面步驟打開系統(tǒng)的控制面板窗口，并在其中雙擊“添加/刪除程序”命令，然后選擇“添加/刪除Windows組件”項目，打開Windows組件安裝向?qū)Т翱冢贿x中該窗口列表中的“應用程序服務(wù)器”選項，并單擊“詳細信息”按鈕，之后選中應用程序服務(wù)器列表窗口中的“Internet信息服務(wù)（IIS）”子組件，再單擊一下“詳細信息”按鈕，打開如圖2所示的列表界面， 選中其中的“文件傳輸協(xié)議（FTP）服務(wù)”，最后單擊“確定”按鈕，那樣一來服務(wù)器系統(tǒng)的FTP文件傳輸協(xié)議功能就能被正確安裝成功了。

請問如何保證FTP服務(wù)器的安全

其安全性主要包括以下幾個方面：

一、 未經(jīng)授權(quán)的用戶禁止在服務(wù)器上進行FTP操作。

二、 FTP用戶不能讀取未經(jīng)系統(tǒng)所有者允許的文件或目錄。

三、 未經(jīng)允許，F(xiàn)TP用戶不能在服務(wù)器上建立文件或目錄。

四、 FTP用戶不能刪除服務(wù)器上的文件或目錄。

FTP服務(wù)器采取了一些驗明用戶身份的辦法來解決上述第一個問題，主要包括以下幾個罩物措施：

FTP主目錄：將這個目錄的所有者設(shè)為"FTP"，并且將屬性設(shè)為所有的用戶都不可寫，防止不懷好意的用戶刪改文件。

FTP/bin目錄：該目錄主要放置一些系統(tǒng)文件，應將這個目錄的所有者設(shè)為"root"（即超級用戶），并且將屬性設(shè)為所有的用戶都不可寫。為保證合法用戶可顯示文件，應將目錄中的ls文件屬性設(shè)為可執(zhí)行。

FTP/etc目錄：將這個目錄的所有者設(shè)為"root"，并且將屬性設(shè)為所有的用戶都不可寫。將目錄下的group文件和passwd文件的屬性設(shè)為所有用戶只讀屬性，并用編輯器將passwd文件中用戶加過密的口令刪掉。

###NextPage### FTP/pub目錄：將這個目錄的所有者置為"FTP"，并且將它的屬性設(shè)為所有用戶均可讀、寫、執(zhí)行。

這樣經(jīng)過設(shè)置，既保證了系統(tǒng)文件不被刪改，又保證了FTP合法用戶的正常訪問。

作為Internet上的FTP服務(wù)器，系統(tǒng)的手悶雀安全性是非常重要的，這是建立FTP服務(wù)器者所考慮的第一個問題。其安全性主要包括以下幾個方面：

一、 未經(jīng)授權(quán)的用戶禁止在服務(wù)器上進行FTP操作。

二、 FTP用戶不能讀取未經(jīng)系統(tǒng)所有者允許的文件或目錄。

三、 未經(jīng)允許，F(xiàn)TP用戶不能在服務(wù)器上建立文件或目錄。

四、 FTP用戶不能刪除服務(wù)器上的文件或目錄。

FTP服務(wù)器采取了一些驗明用戶身份的辦法來解決上述第一個問題，主要包括以下幾個措施：

FTP主目錄：將這個目錄的所有者設(shè)為"FTP"，并且將屬性設(shè)為所有的用戶都不可寫，防止不懷好意的用戶刪改文件。

FTP/bin目錄：該目錄主要放置一些系統(tǒng)文件，應將這個目錄的所有者設(shè)為"root"（即超級用戶），并且將屬性設(shè)為所有的用戶都不可寫。為保證合法用戶可顯示文件，應將目錄中的ls文件屬性設(shè)為可執(zhí)行。

FTP/etc目錄：將這個目錄的所有者設(shè)為"root"，并且將屬性設(shè)為所有的用戶都不可寫。將目錄下的group文件和passwd文件的屬性設(shè)為所有用戶只讀屬性，并用編輯器將passwd文件中用戶加過密的口令刪掉。

FTP/pub目錄：將這個目錄的所有者置為"FTP"，并且將它的屬性設(shè)為所有用戶均可讀、寫、執(zhí)行。

這樣經(jīng)過設(shè)置，既保證了系統(tǒng)文件不被刪改，又保畢早證了FTP合法用戶的正常訪問。

微機知識:保護FTP服務(wù)器口令安全策略

由于FTP服務(wù)器常被用來做文件上傳與下載的工具，所以，其安全的重要性就不同一般。因為若其被不法漏早攻擊者攻破的話，不但FTP服務(wù)器上的文件可能被破壞或者竊取；更重要的是，若它們在這些文件上下病毒、木馬，則會給全部的FTP用戶帶來潛在的威脅。所以，保護FTP服務(wù)器的安全已經(jīng)迫在眉睫。

而要保護FTP服務(wù)器，就要從保護其口令的安全做起。考試,大在這里就談?wù)劤Ｒ姷腇TP服務(wù)器具有的一些口令安全策略，幫助大家一起來提高FTP服務(wù)器的安全性。

策略一：口令的期限

有時候，F(xiàn)TP服務(wù)器不僅會給員工用，而且還會臨時給一個賬號給外部的合作伙伴使用。如考試,大在FTP服務(wù)器管理的時候，銷售部門經(jīng)常會因為一些文件比較大，無法通過電子郵件發(fā)送,需要通過FTP 服務(wù)器把文件傳遞給客戶。所以，在客戶或者供應商需要一些大文件的時候，考試,大就得給他們一個FTP服務(wù)器的臨時帳號與密碼。

現(xiàn)在的做法就是，在FTP服務(wù)器設(shè)置一個賬號，但是，其口令則是當天有效,第二天就自動失效。如此的話，當客戶或者供應商需要使用FTP服務(wù)器的話，我只需要更改一些密碼即可。而不需要每次使用的時候，去創(chuàng)建一個用戶；用完后再把它刪除。同時，也可以避免因為沒有及時注銷臨時帳戶而給服務(wù)器帶來安全上的隱患,因為口令會自動失效。

大多數(shù)FTP服務(wù)器，如微軟操作系統(tǒng)自帶的FTP服務(wù)器軟件，都具有口令期限管理的功能。一般來說，對于臨時的帳戶，就可以跟帳戶與口令的期限管理一起，來提高臨時帳戶的安全性。而對于內(nèi)部用戶來說，也可以通過期限管理，來督促員工提高密碼更改的頻率。

策略二：口令必須符合復雜性規(guī)則

現(xiàn)在由不少銀行，為了用戶帳戶的安全，進行了一些密碼的復雜性認證。如諸如888888等形式的密碼，已經(jīng)不在被接受。從密碼學上來說，這種形式的密碼是非常危險的。因為他們可以通過一些密碼破解工具，如密碼電子字典等等，非常輕松的進行破解。

故為了提高口令本身的安全性，最簡單的就是提高密碼的復雜程度。在FTP服務(wù)器中，可以通過口令復雜性規(guī)則，強制用戶采用一些安全級別比較高的口令。具體的來說，可以進行如下的復雜性規(guī)則設(shè)定。

1、不能以純數(shù)字或者純字符作為密碼

若黑客想破解一個FTP服務(wù)器的帳號，其所用的時間直接跟密碼的組成相關(guān)。如現(xiàn)在由一個八位數(shù)字的密碼，一個是純數(shù)字組成的，另外一個是數(shù)字與字符的結(jié)合。如分別為82372182與32dwl98s。這兩個密碼看起來差不多，可是對與密碼破解工具來說，就相差很大。前面這個純數(shù)字的密碼，通過一些先進的密碼破解工具，可能只需要24個小時就可以破解；可是，對于后面這個字母與數(shù)字州喚結(jié)合的密碼，則其破解就需要2400個小時，甚至更多。其破解難度比原先那個起碼增加了100倍。

可見，字符與數(shù)字結(jié)合的口令，其安全程度是相當高的。為此，我們可以在FTP服務(wù)器上進行設(shè)置，讓其不接受純數(shù)字或者純字符的口令設(shè)置。

2、口令不能與用戶名相同

其實，我們都知道，很多時候服務(wù)器被攻破都是因為管理不當所造成的。而用戶名與口令相同，則是FTP服務(wù)器最不安全的因素之一。

很多用戶，包括網(wǎng)絡(luò)管理員，為了容易記憶與管理，他們喜歡把密碼跟用戶名設(shè)置為一樣。這雖然方便了使用，但是，很明顯這是一個非常不安全的操作。根據(jù)密碼攻擊字典的設(shè)計思路，其首先會檢查FTP服務(wù)器其帳戶的密碼是否為空；若不為空，則其會嘗試利用用戶名相同的口令來進行破解。若以上兩個再不行的話，則其再嘗試其他可能的密碼構(gòu)成。

所以，在黑客眼中，若口令跟用戶名相同，則相當于沒有設(shè)置口令。為此，在FTP服務(wù)器的口令安全策略中，也要把禁止口冊搜凱令與密碼一致這個原則強制的進行實現(xiàn)。

3、密碼長度的要求

雖然說口令的安全跟密碼的長度不成正比，但是，一般來說，口令長總比短好。如對于隨機密碼來說，破解7位的口令要比破解5位的口令難度增加幾十倍，雖然說，其口令長度只是增加了兩位。所以，在FTP服務(wù)器的口令策略中，強制用戶的口令必須達到六位。若用戶設(shè)置的口令低于六位的話，則服務(wù)器會拒絕用戶密碼更改的申請。

如何來提高FTP服務(wù)器的安全性？

從兩個方向去做:

一、禁止系統(tǒng)級別用戶來登錄FTP服務(wù)器。

為了提高FTP服務(wù)器的安全，系統(tǒng)管理員最好能夠為員工設(shè)置單獨的FTP帳號，而不要把系統(tǒng)級別的用戶給普通用戶來使用，這會帶來很大的安全隱患。在VSFTP服務(wù)器中，可以通過配置文件vsftpd.ftpusers來管理登陸帳戶。不過這個帳戶是一個黑名單，列入這個帳戶的人員將無法利用其帳戶來登錄FTP服務(wù)器。部署好VSFTP服務(wù)器后，我們可以利用vi命令來查看這個配置文件，發(fā)現(xiàn)其已經(jīng)有了許多默認的帳戶。其中，系統(tǒng)的超級用戶root也在其中。可見出于安全的考慮，VSFTP服務(wù)器默認情況下就是禁止root帳戶登陸FTP服務(wù)器的。如果系統(tǒng)管理員想讓root等系統(tǒng)帳戶登陸到FTP服務(wù)器，則知需要在這個配置文件中將root等相關(guān)的用戶名刪除即可。不過允許系統(tǒng)帳戶登錄FTP服務(wù)器，會對其安全造成負面的影響，為此我不建議系統(tǒng)管理員這么做。對于這個文件中相關(guān)的系統(tǒng)帳戶管理員最好一個都不要改，保留這些帳號的設(shè)置。

如果出于其他的原因，需要把另外一些帳戶也禁用掉，則可以把帳戶名字加入到這個文件中即可。如在服務(wù)器上可能同時部署了FTP服務(wù)器與數(shù)據(jù)庫服務(wù)器。那么為了安全起見，把數(shù)據(jù)庫管理員的帳戶列入到這個黑名單，是一個不錯的做法。

二、加強對匿名用戶的控制。

匿名用戶是指那些在FTP服務(wù)器中沒有定義相關(guān)的帳戶，而FTP系統(tǒng)管理員為了便于管理，仍然需要他們進行登陸。但纖判是他們畢竟沒有取得服務(wù)器的授權(quán)，為了提高服務(wù)器的安全性，必須要對他們的權(quán)限進行限制。在VSFTP服務(wù)器上也有很多參數(shù)可以用來控制匿名用戶的權(quán)限。系統(tǒng)管理員需要根據(jù)FTP服務(wù)器的安全級別，來做好相關(guān)的配置工作。需要說明的是，匿名用戶的權(quán)限控制的越嚴格，F(xiàn)TP服務(wù)器的安全性越高，但是同時用戶訪問的便利性也會降低。故最終系統(tǒng)管理員還是帶豎褲需要在服務(wù)器安全性與便利性上取得一個均衡。

下面是我推薦的幾個針對匿名用戶的配置，大家若不清楚該如何配置的話，可以參考這些配置。這些配置兼顧了服務(wù)器的安全與用戶的使用便利。

一是參數(shù)anon_world_readable_only。這個參數(shù)主要用來控制匿名用戶是否可以從FTP服務(wù)器上下載可閱讀的文件。如果FTP服務(wù)器部署在企業(yè)內(nèi)部，主要供企業(yè)內(nèi)部員工使用的話，則最好把這個參數(shù)設(shè)置為YES。然后把一些企業(yè)常用表格等等可以公開的文件放置在上面，讓員工在匿名的情況下也可以下載這些文件。這即不會影響到FTP服務(wù)器的安全，而且也有利于其他員工操作的便利性上。

二是參數(shù)anon_upload_enable。這個參數(shù)表示匿名用戶能否在匿名訪問的情況下向FTP服務(wù)器上傳文件。通常情況下，應該把這個參數(shù)設(shè)置為No。即在匿名訪問時不允許用戶上傳文件。否則的話，隨便哪個人都可以上傳文件的話，那對方若上傳一個病毒文件，那企業(yè)不是要遭殃了。故應該禁止匿名用戶上蠢簡傳文件。但是這也有例外。如有些企業(yè)通過FTP協(xié)議來備份文件。此時如果企業(yè)網(wǎng)絡(luò)的安全性有所保障的話，可以把這個參數(shù)設(shè)置為YES，即允許操作系統(tǒng)調(diào)用FTP命令往FTP服務(wù)器上備份文件。

謝謝，這是我的回答。

分享名稱：ftp服務(wù)器基本安全設(shè)置 ftp服務(wù)器用戶權(quán)限設(shè)置
文章鏈接：http://www.chinadenli.net/article34/ddpedpe.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供品牌網(wǎng)站設(shè)計、微信小程序、品牌網(wǎng)站制作、用戶體驗、虛擬主機、建站公司

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)