网站建设资讯

NEWS

网站建设资讯

服务器ftp安全设置 ftp服务器安全风险

注重设置让FTP服务器共享更安全

为了方便员工之间相互交流和传输信息,不少单位都利用Windows服务器系统自带的FTP功能架设了FTP服务器,这样一来员工就能把自己的信息上传到FTP服务器中让其他人下载使用了。不过,不同部门的员工共享使用同一台FTP服务器,往往会存在部门信息被轻易外泄的危险;为了有效避免这种风险,让FTP服务器共享访问更安全,我们可以从设置出发,来让不同部门的员工访问FTP服务器时只能看到本部门的信息,而不能看到其他部门的信息,这样一来就能实现多部门、多用户共享使用FTP服务器的目的了!

专注于为中小企业提供成都做网站、成都网站设计服务,电脑端+手机端+微信端的三站合一,更高效的管理,为中小企业亳州免费做网站提供优质的服务。我们立足成都,凝聚了一批互联网行业人才,有力地推动了成百上千家企业的稳健成长,帮助中小企业通过网站建设实现规模扩充和转变。

架设FTP服务器

假设某单位为了便于统一管理FTP服务器,希望能让不同的部门共享使用相同的一台FTP服务器,并希望不同部门用户登录进FTP服务器后,只能访问到本部门上传发布的信息,并且仅对这些信息进行读取或修改,而不能看到其他部门的上传信息。比方说,我们假设指定“D:\aaa”文件夹作为单位FTP服务器的主目录,并在该目录下创建两个名称分别为“bbb”与“ccc”的文件夹,现在我们要让B部门的员工以“bbb”用户帐号登录FTP服务器时,只能访问和读取“bbb” 文件夹中的信息,而不能看到和访问“ccc” 文件夹中的信息,那样一来多部门共享一台FTP服务器的安全性就能得到有效保证了。要实现上面的设置目的,我们不妨按照如下步骤进行设置:

首先以超级管理员身份登录进FTP服务器所在的主机系统,并在该系统桌面中用鼠标逐一单击“开始”、“设置”、“控制面板”命令,在其后弹出的窗口中用鼠标双击“管理工具”图标,之后再双击“计算机管理”图标,打开主机系统的计算机管理窗口;在该管理窗口的左侧显示区域,用鼠标依次展开“本地用户和组”/“用户”分支选项,打开计算机用户管理窗口,在该窗口的右侧空白区域单击鼠标右键,从弹出的右键菜单中执行“用户”命令,来为B部门和C部门的员工分别创建好登录FTP服务器的用户帐号名称“bbb”和“ccc”,同时为这两个用户帐号设置好合适的密码信息。

接着打开服务器系统的资源管理器窗口,找到该主机D盘下面的“aaa”文件夹,然后用鼠标双击该文件夹图标,在其后的文件夹窗口中用鼠标右击空白区域,并依次执行快捷菜单中的“新建”/“文件夹”命令,来在“aaa”文件夹下面分别创建好“bbb”与“ccc”文件夹,这两个文件夹就作为B部门和C部门员工的信息上传目录。

下面返回到服务器系统桌面中,并依次单击“开始”/“设置”/“控制面板”命令,在其后的窗口中用鼠标依次双击“管理工具”、“Internet服务管理器”图标,打开Internet信息服务窗口,在该窗口的左侧显示区域,用鼠标右键单击服务器主机名称,从弹出的快捷菜单中依次执行“新建”/“FTP站点”命令,然后在弹出的向导窗口中依照提示(如图1所示), 设置好FTP服务器的站点名称、IP地址,以及指定好FTP站点所用的主目录路径,这样就能顺利完成FTP服务器站点的架设操作了。

小提示:当我们在Internet信息服务窗口的左侧显示区域中无法找到“FTP站点”选项时,那表明当前服务器系统还没有安装FTP文件传输协议功能,此时我们可以按照前面步骤打开系统的控制面板窗口,并在其中双击“添加/删除程序”命令,然后选择“添加/删除Windows组件”项目,打开Windows组件安装向导窗口;选中该窗口列表中的“应用程序服务器”选项,并单击“详细信息”按钮,之后选中应用程序服务器列表窗口中的“Internet信息服务(IIS)”子组件,再单击一下“详细信息”按钮,打开如图2所示的列表界面, 选中其中的“文件传输协议(FTP)服务”,最后单击“确定”按钮,那样一来服务器系统的FTP文件传输协议功能就能被正确安装成功了。

如何保证文件传输服务器FTP的安全

目前FTP 服务器面临的安全隐患主要包括:

1. 被用户跳转到了上级非授权的目录(如 /root);

2. 客户端指定文件的类型和格式,但只通过扩展名判断。

3. 无法判断文件是否为带毒。

4. 文件传输不做校验,无法保证文件的完整性

5. 多人同用一个用户时,文件下载无法追查。

友予安全FTP,在标准FTP、SFTP基础上,增加安全如下:

1. 服务端目录限定:只允许用户访问设定的目录,如不能访问C:、/root、FTP服务软件本身的目录,当管理端添加用户指定的目录超出了限定,用户无法访问该目录。

2. 深度文件类型识别:服务端设定的可上传的类型,用友予Ftp客户端,在客户端中就会深度识别文件类型、修改扩展名无效,标准Ftp上传时,服务端做深度判断。

3. 文件病毒查杀:服务端支持卡巴斯基、比特凡德、GDATA、NOD32杀毒软件,每个上传的文件都调用杀毒软件命令查杀,返回查杀结果。友予Ftp客户端可显示错误原因,标准FTP删除文件,创建同名文件加错误原因。

4. MD5校验:友予Ftp客户端上传、下载的文件与服务端生成的MD5对比,同时对比文件的字节数,当都相同时才认定文件传输成功。

5. 下载文件限定:限定用户可下载文件的类型,如重要的设计图、代码、视频都可限定,限定的文件用户查看不到。

6. 下载文件备份:重要的资料外流,但不可查,通过平台,下载的文件会自动备份到指定的目录,并有用户、IP、时间、文件等信息记录到日志中,结合备份文件可查外传人员。

如何来提高FTP服务器的安全性?

从两个方向去做:

一、禁止系统级别用户来登录FTP服务器。

为了提高FTP服务器的安全,系统管理员最好能够为员工设置单独的FTP帐号,而不要把系统级别的用户给普通用户来使用,这会带来很大的安全隐患。在VSFTP服务器中,可以通过配置文件vsftpd.ftpusers来管理登陆帐户。不过这个帐户是一个黑名单,列入这个帐户的人员将无法利用其帐户来登录FTP服务器。部署好VSFTP服务器后,我们可以利用vi命令来查看这个配置文件,发现其已经有了许多默认的帐户。其中,系统的超级用户root也在其中。可见出于安全的考虑,VSFTP服务器默认情况下就是禁止root帐户登陆FTP服务器的。如果系统管理员想让root等系统帐户登陆到FTP服务器,则知需要在这个配置文件中将root等相关的用户名删除即可。不过允许系统帐户登录FTP服务器,会对其安全造成负面的影响,为此我不建议系统管理员这么做。对于这个文件中相关的系统帐户管理员最好一个都不要改,保留这些帐号的设置。

如果出于其他的原因,需要把另外一些帐户也禁用掉,则可以把帐户名字加入到这个文件中即可。如在服务器上可能同时部署了FTP服务器与数据库服务器。那么为了安全起见,把数据库管理员的帐户列入到这个黑名单,是一个不错的做法。

二、加强对匿名用户的控制。

匿名用户是指那些在FTP服务器中没有定义相关的帐户,而FTP系统管理员为了便于管理,仍然需要他们进行登陆。但是他们毕竟没有取得服务器的授权,为了提高服务器的安全性,必须要对他们的权限进行限制。在VSFTP服务器上也有很多参数可以用来控制匿名用户的权限。系统管理员需要根据FTP服务器的安全级别,来做好相关的配置工作。需要说明的是,匿名用户的权限控制的越严格,FTP服务器的安全性越高,但是同时用户访问的便利性也会降低。故最终系统管理员还是需要在服务器安全性与便利性上取得一个均衡。

下面是我推荐的几个针对匿名用户的配置,大家若不清楚该如何配置的话,可以参考这些配置。这些配置兼顾了服务器的安全与用户的使用便利。

一是参数anon_world_readable_only。这个参数主要用来控制匿名用户是否可以从FTP服务器上下载可阅读的文件。如果FTP服务器部署在企业内部,主要供企业内部员工使用的话,则最好把这个参数设置为YES。然后把一些企业常用表格等等可以公开的文件放置在上面,让员工在匿名的情况下也可以下载这些文件。这即不会影响到FTP服务器的安全,而且也有利于其他员工操作的便利性上。

二是参数anon_upload_enable。这个参数表示匿名用户能否在匿名访问的情况下向FTP服务器上传文件。通常情况下,应该把这个参数设置为No。即在匿名访问时不允许用户上传文件。否则的话,随便哪个人都可以上传文件的话,那对方若上传一个病毒文件,那企业不是要遭殃了。故应该禁止匿名用户上传文件。但是这也有例外。如有些企业通过FTP协议来备份文件。此时如果企业网络的安全性有所保障的话,可以把这个参数设置为YES,即允许操作系统调用FTP命令往FTP服务器上备份文件。

谢谢,这是我的回答。


本文题目:服务器ftp安全设置 ftp服务器安全风险
文章出自:http://cdweb.net/article/ddjhhed.html