既然是公網(wǎng)FTP服務器,就難免會遭遇一些惡意攻擊,輕則丟失文件�,重則造成FTP服務器甚至整個系統(tǒng)崩潰�。怎樣才能最大限度地保證它的安全性呢�����?在這里給大家提供一些經(jīng)驗��,希望能幫到各位站長,上回談到操作系統(tǒng)的選擇和防火墻的問題,這次要說的是對IIS����、Serv-U等服務器軟件進行設置
對IIS、Serv-U等服務器軟件進行設置
除了依靠系統(tǒng)提供的安全措施外�����,就需要利用FTP服務器端軟件本身的設置來提高整個服務器的安全了��。
1��、IIS的安全性設置
及時安裝新補丁:對于IIS的安全性漏洞,可以說是“有口皆碑”了�,平均每兩三個月就要出一兩個漏洞�。所幸的是��,微軟會根據(jù)新發(fā)現(xiàn)的漏洞提供相應的補丁���,這就需要你不斷更新�����,安裝最新補丁。
將安裝目錄設置到非系統(tǒng)盤�����,關閉不需要的服務:一些惡意用戶可以通過IIS的溢出漏洞獲得對系統(tǒng)的訪問權�����。把IIS安放在系統(tǒng)分區(qū)上���,會使系統(tǒng)文件與IIS同樣面臨非法訪問��,容易使非法用戶侵入系統(tǒng)分區(qū)。另外,由于IIS是一個綜合性服務組件��,每開設一個服務都將會降低整個服務的安全性�,因而�,對不需要的服務盡量不要安裝或啟動。
只允許匿名連接:FTP最大的安全漏洞在于其默認傳輸密碼的過程是明文傳送��,很容易被人嗅探到。而IIS又是基于Windows用戶賬戶進行管理的���,因而很容易泄漏系統(tǒng)賬戶名及密碼,如果該賬戶擁有一定管理權限��,則更會影響到整個系統(tǒng)的安全����。設置為“只允許匿名連接”,可以免卻傳輸過程中泄密的危險��。進入“默認FTP站點”��,在屬性的“安全賬戶”選項卡中��,將此選項選中。
謹慎設置主目錄及其權限:IIS可以將FTP站點主目錄設為局域網(wǎng)中另一臺計算機的共享目錄���,但在局域網(wǎng)中,共享目錄很容易招致其他計算機感染的病毒攻擊���,嚴重時甚至會造成整個局域網(wǎng)癱瘓,不到萬不得已�,最好使用本地目錄并將主目錄設為NTFS格式的非系統(tǒng)分區(qū)中��。這樣,在對目錄的權限設置時��,可以對每個目錄按不同組或用戶來設置相應的權限�。右擊要設置的目錄,進入“共享和安全→安全”中設置�,如非必要���,不要授予“寫入”權限。
盡量不要使用默認端口號21:啟用日志記錄���,以備出現(xiàn)異常情況時查詢原因。
2����、Serv-U的安全性設置
與IIS的FTP服務相比,Serv-U在安全性方面做得比較好�����。
1)對“本地服務器”進行設置
首先���,選中“攔截FTP_bounce攻擊和FXP”����。什么是FXP呢?通常���,當使用FTP協(xié)議進行文件傳輸時,客戶端首先向FTP服務器發(fā)出一個“PORT”命令��,該命令中包含此用戶的IP地址和將被用來進行數(shù)據(jù)傳輸?shù)亩丝谔?,服務器收到后,利用命令所提供的用戶地址信息建立與用戶的連接。大多數(shù)情況下,上述過程不會出現(xiàn)任何問題,但當客戶端是一名惡意用戶時���,可能會通過在PORT命令中加入特定的地址信息,使FTP服務器與其它非客戶端的機器建立連接。雖然這名惡意用戶可能本身無權直接訪問某一特定機器����,但是如果FTP服務器有權訪問該機器的話�����,那么惡意用戶就可以通過FTP服務器作為中介,仍然能夠最終實現(xiàn)與目標服務器的連接����。這就是FXP�����,也稱跨服務器攻擊�����。選中后就可以防止發(fā)生此種情況�。
其次���,在“高級”選項卡中,檢查“加密密碼”和“啟用安全”是否被選中,如果沒有���,選擇它們。“加密密碼”使用單向hash函數(shù)(MD5)加密用戶口令,加密后的口令保存在Serv-UDaemon.ini或是注冊表中���。如果不選擇此項,用戶口令將以明文形式保存在文件中;“啟用安全”將啟動Serv-U服務器的安全成功。
2)對域中的服務器進行設置
前面說過,F(xiàn)TP默認為明文傳送密碼����,容易被人嗅探�,對于只擁有一般權限的賬戶�,危險并不大,但如果該賬戶擁有遠程管理尤其是系統(tǒng)管理員權限,則整個服務器都會被別人遠程控制���。Serv-U對每個賬戶的密碼都提供了以下三種安全類型:規(guī)則密碼、OTPS/KEYMD4和OTPS/KEYMD5。不同的類型對傳輸?shù)募用芊绞揭膊煌?��,以?guī)則密碼安全性最低。進入擁有一定管理權限的賬戶的設置中��,在“常規(guī)”選項卡的下方找到“密碼類型”下拉列表框��,選中第二或第三種類型����,保存即可�。注意,當用戶憑此賬戶登錄服務器時,需要FTP客戶端軟件支持此密碼類型��,如CuteFTPPro等����,輸入密碼時選擇相應的密碼類型方可通過服務器驗證�����。
與IIS一樣�����,還要謹慎設置主目錄及其權限,凡是沒必要賦予寫入等能修改服務器文件或目錄權限的�����,盡量不要賦予����。最后,進入“設置”,在“日志”選項卡中將“啟用記錄到文件”選中����,并設置好日志文件名及保存路徑�����、記錄參數(shù)等,以方便隨時查詢服務器異常原因��。
好了�����,談到這里���,關于FTP服務器架設的安全知識,已經(jīng)談完了�,希望對大家有所幫助�。
