FTP服務器安全一、操作系統(tǒng)的選擇

成都創(chuàng)新互聯(lián)公司專注為客戶提供全方位的互聯(lián)網(wǎng)綜合服務，包含不限于成都做網(wǎng)站、成都網(wǎng)站設(shè)計、尖扎網(wǎng)絡推廣、小程序制作、尖扎網(wǎng)絡營銷、尖扎企業(yè)策劃、尖扎品牌公關(guān)、搜索引擎seo、人物專訪、企業(yè)宣傳片、企業(yè)代運營等，從售前售中售后，我們都將竭誠為您服務，您的肯定，是我們大的嘉獎；成都創(chuàng)新互聯(lián)公司為所有大學生創(chuàng)業(yè)者提供尖扎建站搭建服務，24小時服務熱線：13518219792，官方網(wǎng)址：aaarwkj.com

FTP服務器首先是基于操作系統(tǒng)而運作的，因而操作系統(tǒng)本身的安全性就決定了FTP服務器安全性的級別。雖然Windows 98/Me一樣可以架設(shè)FTP服務器，但由于其本身的安全性就不強，易受攻擊，因而最好不要采用。Windows NT就像雞肋，不用也罷。最好采用Windows 2000及以上版本，并記住及時打上補丁。至于Unix、Linux，則不在討論之列。

二、使用防火墻

端口是計算機和外部網(wǎng)絡相連的邏輯接口，也是計算機的第一道屏障，端口配置正確與否直接影響到主機的安全，一般來說，僅打開你需要使用的端口，將其他不需要使用的端口屏蔽掉會比較安全。限制端口的方法比較多，可以使用第三方的個人防火墻，如天網(wǎng)個人防火墻等，這里只介紹Windows自帶的防火墻設(shè)置方法。

1。利用TCP/IP篩選功能

在Windows 2000和Windows XP中，系統(tǒng)都帶有TCP/IP篩選功能，利用它可以簡單地進行端口設(shè)置。以Windows XP為例，打開“本地連接”的屬性，在“常規(guī)”選項中找到“Internet協(xié)議(TCP/IP)”，雙擊它打開該協(xié)議的屬性設(shè)置窗口。點擊右下方的“高級”按鈕，進入“高級TCP/IP設(shè)置”。在“選項”中選中“TCP/IP篩選”并雙擊進入其屬性設(shè)置。這里我們可以設(shè)置系統(tǒng)只允許開放的端口，假如架設(shè)的FTP服務器端口為21，先選中“啟用TCP/IP篩選(所有適配器)”，再在TCP端口選項中選擇“只允許”，點“添加”，輸入端口號21，確定即可。這樣，系統(tǒng)就只允許打開21端口。要開放其他端口，繼續(xù)添加即可。這可以有效防止最常見的139端口入侵。缺點是功能過于簡單，只能設(shè)置允許開放的端口，不能自定義要關(guān)閉的端口。如果你有大量端口要開放，就得一個個地去手工添加，比較麻煩。

2。打開Internet連接防火墻

對于Windows XP系統(tǒng)，自帶了“Internet連接防火墻”功能，與TCP/IP篩選功能相比，設(shè)置更方便，功能更強大。除了自帶防火墻端口開放規(guī)則外，還可以自行增刪。在控制面板中打開“網(wǎng)絡連接”，右擊撥號連接，進入“高級”選項卡，選中“通過限制或阻止來自Internet的對此計算機的訪問來保護我的計算機和網(wǎng)絡”，啟用它。系統(tǒng)默認狀態(tài)下是關(guān)閉了FTP端口的，因而還要設(shè)置防火墻，打開所使用的FTP端口。點擊右下角的“設(shè)置”按鈕進入“高級設(shè)置”，選中“FTP服務器”，編輯它。由于FTP服務默認端口是21，因而除了IP地址一欄外，其余均不可更改。在IP地址一欄中填入服務器公網(wǎng)IP，確定后退出即可即時生效。如果架設(shè)的FTP服務器端口為其他端口，比如22，則可以在“服務”選項卡下方點“添加”，輸入服務器名稱和公網(wǎng)IP后，將外部端口號和內(nèi)部端口號均填入22即可。

三、對IIS、Serv-U等服務器軟件進行設(shè)置

除了依靠系統(tǒng)提供的安全措施外，就需要利用FTP服務器端軟件本身的設(shè)置來提高整個服務器的安全了。

1。IIS的安全性設(shè)置

1)及時安裝新補丁

對于IIS的安全性漏洞，可以說是“有口皆碑”了，平均每兩三個月就要出一兩個漏洞。所幸的是，微軟會根據(jù)新發(fā)現(xiàn)的漏洞提供相應的補丁，這就需要你不斷更新，安裝最新補丁。

2)將安裝目錄設(shè)置到非系統(tǒng)盤，關(guān)閉不需要的服務

一些惡意用戶可以通過IIS的溢出漏洞獲得對系統(tǒng)的訪問權(quán)。把IIS安放在系統(tǒng)分區(qū)上，會使系統(tǒng)文件與IIS同樣面臨非法訪問，容易使非法用戶侵入系統(tǒng)分區(qū)。另外，由于IIS是一個綜合性服務組件，每開設(shè)一個服務都將會降低整個服務的安全性，因而，對不需要的服務盡量不要安裝或啟動。

3)只允許匿名連接

FTP大的安全漏洞在于其默認傳輸密碼的過程是明文傳送，很容易被人嗅探到。而IIS又是基于Windows用戶賬戶進行管理的，因而很容易泄漏系統(tǒng)賬戶名及密碼，如果該賬戶擁有一定管理權(quán)限，則更會影響到整個系統(tǒng)的安全。設(shè)置為“只允許匿名連接”，可以免卻傳輸過程中泄密的危險。進入“默認FTP站點”，在屬性的“安全賬戶”選項卡中，將此選項選中。

4)謹慎設(shè)置主目錄及其權(quán)限

IIS可以將FTP站點主目錄設(shè)為局域網(wǎng)中另一臺計算機的共享目錄，但在局域網(wǎng)中，共享目錄很容易招致其他計算機感染的病毒攻擊，嚴重時甚至會造成整個局域網(wǎng)癱瘓，不到萬不得已，最好使用本地目錄并將主目錄設(shè)為NTFS格式的非系統(tǒng)分區(qū)中。這樣，在對目錄的權(quán)限設(shè)置時，可以對每個目錄按不同組或用戶來設(shè)置相應的權(quán)限。右擊要設(shè)置的目錄，進入“共享和安全→安全”中設(shè)置，如非必要，不要授予“寫入”權(quán)限。

5)盡量不要使用默認端口號21

啟用日志記錄，以備出現(xiàn)異常情況時查詢原因。

2。Serv-U的安全性設(shè)置

與IIS的FTP服務相比，Serv-U在安全性方面做得比較好。

1)對“本地服務器”進行設(shè)置

首先，選中“攔截FTP_bounce攻擊和FXP”。什么是FXP呢?通常，當使用FTP協(xié)議進行文件傳輸時，客戶端首先向FTP服務器發(fā)出一個“PORT”命令，該命令中包含此用戶的IP地址和將被用來進行數(shù)據(jù)傳輸?shù)亩丝谔?，服務器收到后，利用命令所提供的用戶地址信息建立與用戶的連接。大多數(shù)情況下，上述過程不會出現(xiàn)任何問題，但當客戶端是一名惡意用戶時，可能會通過在PORT命令中加入特定的地址信息，使FTP服務器與其它非客戶端的機器建立連接。雖然這名惡意用戶可能本身無權(quán)直接訪問某一特定機器，但是如果FTP服務器有權(quán)訪問該機器的話，那么惡意用戶就可以通過FTP服務器作為中介，仍然能夠最終實現(xiàn)與目標服務器的連接。這就是FXP，也稱跨服務器攻擊。選中后就可以防止發(fā)生此種情況。

其次，在“高級”選項卡中，檢查“加密密碼”和“啟用安全”是否被選中，如果沒有，選擇它們。“加密密碼”使用單向hash函數(shù)(MD5)加密用戶口令，加密后的口令保存在ServUDaemon。ini或是注冊表中。如果不選擇此項，用戶口令將以明文形式保存在文件中：“啟用安全”將啟動Serv-U服務器的安全成功。

2)對域中的服務器進行設(shè)置

前面說過，F(xiàn)TP默認為明文傳送密碼，

容易被人嗅探，對于只擁有一般權(quán)限的賬戶，危險并不大，但如果該賬戶擁有遠程管理尤其是系統(tǒng)管理員權(quán)限，則整個服務器都會被別人遠程控制。Serv-U對每個賬戶的密碼都提供了以下三種安全類型：規(guī)則密碼、OTP S/KEY MD4和OTP S/KEY MD5。不同的類型對傳輸?shù)募用芊绞揭膊煌?，以?guī)則密碼安全性最低。進入擁有一定管理權(quán)限的賬戶的設(shè)置中，在“常規(guī)”選項卡的下方找到“密碼類型”下拉列表框，選中第二或第三種類型，保存即可。注意，當用戶憑此賬戶登錄服務器時，需要FTP客戶端軟件支持此密碼類型，如CuteFTP Pro等，輸入密碼時選擇相應的密碼類型方可通過服務器驗證。

與IIS一樣，還要謹慎設(shè)置主目錄及其權(quán)限，凡是沒必要賦予寫入等能修改服務器文件或目錄權(quán)限的，盡量不要賦予。最后，進入“設(shè)置”，在“日志”選項卡中將“啟用記錄到文件”選中，并設(shè)置好日志文件名及保存路徑、記錄參數(shù)等，以方便隨時查詢服務器異常原因。

創(chuàng)新互聯(lián)提供成都網(wǎng)站建設(shè)，網(wǎng)站制作，小程序開發(fā)，APP開發(fā)，微信小程序包括拼團，分銷，入駐，外賣等全功能。創(chuàng)新互聯(lián)有十年以上開發(fā)運營經(jīng)驗，打造互聯(lián)網(wǎng)行業(yè)品牌網(wǎng)絡公司

名稱欄目：FTP服務器安全
本文網(wǎng)址：http://aaarwkj.com/article44/diehe.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站內(nèi)鏈、網(wǎng)站營銷、虛擬主機、全網(wǎng)營銷推廣、關(guān)鍵詞優(yōu)化、網(wǎng)站策劃

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)