FTP服務器架設(shè)考慮三方面的安全因素
架設(shè)FTP服務器,一向是把安全放在首位,特別是利用IIS之類工具建立起來的FTP服務器更是如此。如果設(shè)置不當遭受到惡意攻擊,那造成整個服務器系統(tǒng)崩潰也絕不是危言聳聽的! 因此,采取合理、周全的安全管理是很有必要的。
我們就從IIS的安全說起。
IIS,從NT系統(tǒng)內(nèi)核開始成為自帶的重要信息發(fā)布載體,但其不可避免的漏洞也在不少的資料里提及。IIS用作FTP服務器架設(shè),主要是其簡單易懂的設(shè)置贏得不少人青睞;因此,要用好IIS,我們得從下面這些方面來考慮其安全問題:
1.安裝系統(tǒng)補丁。微軟網(wǎng)站經(jīng)常在其官方網(wǎng)發(fā)布最新的系統(tǒng)安全補丁,大家可以用系統(tǒng)自帶的windows update程序隨時更新。
2.FTP目錄的設(shè)定。比較常見的就是將主目錄指定到邏輯盤,再對每個細目錄按不同的用戶設(shè)置不同的訪問權(quán)限,并關(guān)閉一些不需要的服務,這可以對不良人士利用IIS溢出漏洞訪問到系統(tǒng)盤作個第一級防護。
3.盡量不要使用21這個默認端口號,并啟用日志,以便FTP服務出現(xiàn)異常時檢查。
另一款FTP架設(shè)軟件Serv_U。
軟件界面如下圖所示。感覺此款軟件在安全性方面做得比較好,其設(shè)置也不易出錯,筆者用過一段時間感覺其速度也比IIS要快得多。即使這樣,同樣也應注意其正確的配置:
1.有關(guān)域中服務器密碼設(shè)定。
Serv_U提供了三種安全密碼類型:規(guī)則密碼、OTPS/KEY MD4和OTPS/KEY MD5,不言而喻,規(guī)則密碼的安全性是最低的。一般我們設(shè)置好了有管理權(quán)限的賬戶后,再在“常規(guī)”選項卡下打開“密碼類型”下拉框,從中選擇后兩種類型相對要安全得多。
2.選中“攔截FTP_bounce攻擊和FXP”。FXP也稱跨服務器攻擊,簡單的說:
當惡意用戶通過在PORT命令中加入特定的地址信息,會使FTP服務器與其它非客戶端的機器建立連接,而如果FTP服務器有權(quán)訪問那些非客戶端的電腦時,那就可以通過FTP服務器這個“中介機構(gòu)”,實現(xiàn)與目標服務器的連接!
3.跟IIS一樣,最好也將主目錄移到其它分區(qū),同時在為用戶設(shè)置權(quán)限時最好先設(shè)低點,等需要時再設(shè)定寫入、修改等權(quán)限;并將服務日志以文件形式保存,以便日后查閱。
說了架設(shè)軟件,再來說操作系統(tǒng)本身。
考慮到FTP服務器的安全性,所以最好是采用Win2000服務器版、winxp或是Windows2003企業(yè)版,并注意隨時下載安全補丁升級。
1.可以用系統(tǒng)自帶的“Internet連接防火墻”功能進行安全設(shè)置。打開“本地連接”屬性對話框,進入“高級”選項卡,將“通過限制或阻止來自Internet的對此計算機的訪問來保護我的計算機和網(wǎng)絡”打勾;然后點右下角的“設(shè)置”按鈕進入“高級設(shè)置”,選中“FTP服務器”再點編輯,如圖所示,除了IP地址一欄外,其余選項都不能更改。如果你預先設(shè)置的FTP服務器端口不是其默認的21,請返回上一步在“服務”選項卡下方點“添加”,輸入服務器名稱和IP地址,并將外部內(nèi)部端口號填入你的預設(shè)值即可。
2.“TCP/IP篩選”功能。依次進入“本地連接”---“常規(guī)”---“Internet協(xié)議(TCP/IP)”,然后雙擊打開,再點“高級”按鈕,切換到“選項”即可開始設(shè)置。如下圖所示,這里我們可以設(shè)置系統(tǒng)只允許開放的端口,這種篩選設(shè)置可以有效防止最常見的如139端口的入侵,但該方法缺點同樣明顯:功能過于簡單,只能設(shè)置允許開放的端口,不能自定義要關(guān)閉的端口,如需開放多個端口還要一一手工添加,比較麻煩。
服務器安全是個永遠也說不完的話題,關(guān)鍵還是要大家在實際管理中多多總結(jié)經(jīng)驗,不斷累積。通過以上的基本管理設(shè)置后,你的FTP應該具備了一定的安全保障,可以放心的投入使用了!
關(guān)鍵詞:FTP,服務器
閱讀本文后您有什么感想? 已有 人給出評價!
- 0
- 0
- 0
- 0
- 0
- 0