⑴ ftp許可權設置
伺服器FTP許可權設置問題.
在桌面上右擊「我的電腦」,執行「管理」命令,在「計算機管理」窗口的左窗格中依次展開「系統工具」→「本地用戶和組」目錄,單擊選中「用戶」選項。在右側窗格中單擊右鍵,執行「新用戶」命令。在打開的「新用戶」對話框中填寫用戶名(如hanjiang),並設定密碼。然後取消「用戶下次登錄時需更改密碼」復選框,並勾選「用戶不能更改密碼」和「密碼永不過期」復選框,單擊「創建」按鈕完成該用戶的添加。重復這一過程添加其他用戶,最後單擊「關閉」按鈕即可。
為方便對這些用戶的管理,最好將他們放入一個專門的組中。例如我們可以創建一個「FTPUsers」組:在「計算機管理」窗口的目錄樹中單擊選中「組」選項,然後在右側窗格中單擊右鍵,執行「新建組」命令,並將該組命名為「FTPUsers」。接著依次單擊「添加」→「高級」→「立即查找」按鈕,將剛才創建的用戶全部添加進來,最後依次單擊「創建」→「結束」按鈕。
然而事情並沒有完,因為上述創建的用戶默認隸屬於「Users」組,也就是說他們擁有對大部分資源的瀏覽許可權。為了實現對特定資源的有效管理,需要將這些用戶從「Users」組中刪除。在「計算機管理」窗口的右側窗格中雙擊「Users」選項,用滑鼠拖選所有剛添加的用戶並單擊「刪除」按鈕即可。
設置獨立許可權
這里的許可權設置需要分兩部分來進行,即對FTP伺服器主目錄的許可權設置和對各個用戶文件夾的許可權設置。假設FTP伺服器的主目錄路徑為「G:/FTPServer」,我們先來取消「FTPUsers」組的用戶對「FTPServer」文件夾的「寫入 」許可權。右擊「FTPServer」文件夾,執行「屬性」命令。在打開的「FTPServer 屬性」對話框中切換至「安全」選項卡下,然後依次單擊「添加」→「高級」→「立即查找」按鈕,單擊選中「FTPUsers」組並依次單擊「確定」按鈕回到「FTPServer 屬性」對話框。接著在「FTPUsers的許可權」列表框中勾選「拒絕寫入」復選框。為了使「拒絕寫入」許可權僅對「FTPServer」文件夾有效,還需要單擊「高級」按鈕,在「FTPServer的高級安全設置」對話框中雙擊「許可權列表」中的「拒絕FTPUsers寫入」選項,打開「FTPServer的許可權設置」對話框。在「應用到」下拉列表中選中「只有該文件夾」選項,連續單擊「確定」按鈕完成設置(如圖1)。
接著我們為每個用戶創建獨立的文件夾(以用戶名命名),並針對每個文件夾賦予相應用戶適當的許可權。以文件夾「hanjiang」為例,在「hanjiang 屬性」對話框的「安全」選項卡下將用戶「hanjiang」添加進來,並賦予其讀取和寫入的許可權。同理,對於其他文件夾,也只賦予相應用戶讀取和寫入的許可權。
小提示:需要受到許可權保護的文件夾必須在NTFS分區中創建,FAT32分區內的資源無法設置許可權。
至此,設置工作就全部結束了。在任意一台機器上以用戶「hanjiang」的身份登錄FTP伺服器,你會發現該用戶只能在「hanjiang」文件夾中任意讀寫,而無法看到主目錄和其他用戶目錄的內容。
⑵ 如何進行全面提高FTP伺服器的安全性能呢
Windows2000系統提供了FTP服務功能,由於簡單易用,伺服器託管與Windows系統本身結合緊密,深受廣大用戶的喜愛。但使用IIS5.0 架設的FTP伺服器真的安全嗎?它的默認設置其實存在很多安全隱患,很容易成為黑客們的攻擊目標。伺服器託管如何讓FTP伺服器更加安全,只要稍加改造,就能做到。
一 取消匿名訪問功能
默認情況下伺服器託管,Windows2000系統的FTP伺服器是允許匿名訪問的,雖然匿名訪問為用戶上傳、下載文件提供方便,但卻存在極大的安全隱患。用戶不需要申請合法的賬號,就能訪問FTP伺服器,甚至還可以上傳、下載文件,特別對於一些存儲重要資料的FTP伺服器,伺服器託管很容易出現泄密的情況,因此建議用戶取消匿名訪問功能。
在Windows2000系統中,點擊「開始→程序→管理工具→Internet服務管理器」,彈出管理控制台窗口。然後展開窗口左側的本地計算機選項,就能看到IIS5.0自帶的FTP伺服器,下面筆者以默認FTP站點為例,介紹如何取消匿名訪問功能。
右鍵點擊「默認FTP站點」項,在右鍵菜單中選擇「屬性」,伺服器託管接著彈出默認FTP站點屬性對話框,切換到「安全賬號」標簽頁,取消「允許匿名連接」前的勾選,最後點擊「確定」按鈕,這樣用戶就不能使用匿名賬號訪問FTP伺服器了,必須擁有合法賬號。
二 啟用日誌記錄
Windows日誌記錄著系統運行的一切信息,但很多管理員對日誌記錄功能不夠重視,為了節省伺服器資源,禁用了FTP伺服器日誌記錄功能,伺服器託管這是萬萬要不得的。FTP伺服器日誌記錄著所有用戶的訪問信息,如訪問時間、客戶機IP地址、使用的登錄賬號等,這些信息對於FTP伺服器的穩定運行具有很重要的意義,一旦伺服器出現問題,就可以查看FTP日誌,找到故障所在,及時排除。因此一定要啟用FTP日誌記錄。
在默認FTP站點屬性對話框中,切換到「FTP站點」標簽頁,一定要確保「啟用日誌記錄」選項被選中,這樣就可以在「事件查看器」中查看FTP日誌記錄了。
三 正確設置用戶訪問許可權
每個FTP用戶賬號都具有一定的訪問許可權,但對用戶許可權的不合理設置,也能導致FTP伺服器出現安全隱患。如伺服器中的CCE文件夾,只允許 CCEUSER賬號對它有讀、寫、修改、列表的許可權,禁止其他用戶訪問,但系統默認設置,還是允許其他用戶對CCE文件夾有讀和列表的許可權,伺服器託管因此必須重新設置該文件夾的用戶訪問許可權。
右鍵點擊CCE文件夾,在彈出菜單中選擇「屬性」,然後切換到「安全」標簽頁,首先刪除Everyone用戶賬號,接著點擊「添加」按鈕,伺服器託管將 CCEUSER賬號添加到名稱列表框中,然後在「許可權」列表框中選中修改、讀取及運行、列出文件夾目錄、讀取和寫入選項,最後點擊「確定」按鈕。這樣一來,CCE文件夾只有CCEUSER用戶才能訪問。
四 啟用磁碟配額
FTP伺服器磁碟空間資源是寶貴的,無限制的讓用戶使用,勢必造成巨大的浪費,因此要對每位FTP用戶使用的磁碟空間進行限制。下面筆者以CCEUSER用戶為例,將其限制為只能使用100M磁碟空間。
在資源管理器窗口中,右鍵點擊CCE文件夾所在的硬碟盤符,在彈出的菜單中選擇「屬性」,接著切換到「配額」標簽頁,選中伺服器託管「啟用配額管理」復選框,激活「配額」標簽頁中的所有配額設置選項,為了不讓某些FTP用戶佔用過多的伺服器磁碟空間,一定要選中「拒絕將磁碟空間給超過配額限制的用戶」復選框。
然後在「為該卷上的新用戶選擇默認配額限制」框中選擇「將磁碟空間限制為」單選項,接著在後面的欄中輸入100,磁碟容量單位選擇為「MB」,然後進行警告等級設置,在「將警告等級設置為」欄中輸入「96」,容量單位也選擇為「MB」,這樣就完成了默認配額設置。伺服器託管此外,還要選中「用戶超出配額限制時記錄事件」和「用戶超過警告等級時記錄事件」復選框,以便將配額告警事件記錄到Windows日誌中。
點擊配額標簽頁下方的「配額項」按鈕,打開磁碟配額項目對話框,接著點擊「配額→新建配額項」,彈出選擇用戶對話框,選中CCEUSER用戶後,點擊「確定」按鈕,接著在「添加新配額項」對話框中為CCEUSER用戶設置配額參數,伺服器託管選擇「將磁碟空間限制為」單選項,在後面的欄中輸入 「100」,接著在「將警告等級設置為」欄中輸入「96」,它們的磁碟容量單位為「MB」,最後點擊「確定」按鈕,完成磁碟配額設置,這樣CCEUSER 用戶就只能使用100MB磁碟空間,超過96MB就會發出警告。
五 TCP/IP訪問限制
為了保證FTP伺服器的安全,還可以拒絕某些IP地址的訪問。在默認FTP站點屬性對話框中,切換到「目錄安全性」標簽頁,選中「授權訪問」單選項,然後在「以下所列除外」框中點擊「添加」按鈕,彈出「拒絕以下訪問」對話框,這里可以拒絕單個IP地址或一組IP地址訪問,伺服器託管以單個IP地址為例,選中「單機」選項,然後在「IP地址」欄中輸入該機器的IP地址,最後點擊「確定」按鈕。這樣添加到列表中的IP地址都不能訪問FTP伺服器了。
六 合理設置組策略
通過對組策略項目的修改,也可以增強FTP伺服器的安全性。在Windows2000系統中,進入到「控制面板→管理工具」,運行本地安全策略工具。
1. 審核賬戶登錄事件
在本地安全設置窗口中,伺服器託管依次展開「安全設置→本地策略→審核策略」,然後在右側的框體中找到「審核賬戶登錄事件」項目,雙擊打開該項目,在設置對話框中選中「成功」和「失敗」這兩項,最後點擊「確定」按鈕。該策略生效後,FTP用戶的每次登錄都會被記錄到日誌中。
2. 增強賬號密碼的復雜性
一些FTP賬號的密碼設置的過於簡單,就有可能被「不法之徒」所破解。為了提高FTP伺服器的安全性,必須強制用戶設置復雜的賬號密碼。
在本地安全設置窗口中,伺服器託管依次展開「安全設置→賬戶策略→密碼策略」,在右側框體中找到「密碼必須符合復雜性要求」項,雙擊打開後,選中「已啟用」單選項,最後點擊「確定」按鈕。
然後,打開「密碼長度最小值」項,為FTP賬號密碼設置最短字元限制。這樣以來,密碼的安全性就大大增強了。
3. 賬號登錄限制
有些非法用戶使用黑客工具,反復登錄FTP伺服器,來猜測賬號密碼。這是非常危險的,因此建議大家對賬號登錄次數進行限制。
依次展開「安全設置→賬戶策略→賬戶鎖定策略」,伺服器託管在右側框體中找到「賬戶鎖定閾值」項,雙擊打開後,設置賬號登錄的最大次數,如果超過此數值,賬號會被自動鎖定。接著打開「賬戶鎖定時間」項,設置FTP賬號被鎖定的時間,賬號一旦被鎖定,超過這個時間值,才能重新使用。
通過伺服器託管以上幾步設置後,用戶的FTP伺服器就會更加安全,再也不用怕被非法入侵了。
⑶ 如何保證文件傳輸伺服器FTP的安全
,系統的安全性是非常重要的,這是建立
FTP伺服器
者所考慮的
第一個問題
。其安全性主要包括以下幾個方面:一、
未經授權的用戶禁止在伺服器上進行FTP操作。
二、
FTP用戶不能讀取未經系統所有者允許的文件或目錄。
三、
未經允許,FTP用戶不能在伺服器上建立文件或目錄。
四、
FTP用戶不能刪除伺服器上的文件或目錄。
只有在伺服器的/etc/passwd文件中存在名為"FTP"的用戶時,伺服器才可以接受
匿名FTP
連接,匿名FTP用戶可以使用"
anonymous
"或"FTP"作為用戶名,自己的Internet
電子郵件地址
作為保密字。為了解決上述安全性的另外三個問題,應該對FTP主目錄下的
文件屬性
進行管理,建議對每個目錄及其文件採取以下一些措施:FTP主目錄:將這個目錄的所有者設為"FTP",並且將屬性設為所有的用戶都不可寫,防止不懷好意的用戶刪改文件。
FTP/bin目錄:該目錄主要放置一些
系統文件
,應將這個目錄的所有者設為"root"(即
超級用戶
),並且將屬性設為所有的用戶都不可寫。為保證合法用戶可顯示文件,應將目錄中的ls文件屬性設為可執行。
FTP/etc目錄:將這個目錄的所有者設為"root",並且將屬性設為所有的用戶都不可寫。將目錄下的group文件和passwd文件的屬性設為所有用戶只讀屬性,並用編輯器將passwd文件中用戶加過密的口令刪掉。
###NextPage###FTP/pub目錄:將這個目錄的所有者置為"FTP",並且將它的屬性設為所有用戶均可讀、寫、執行。
這樣經過設置,既保證了系統文件不被刪改,又保證了FTP合法用戶的正常訪問。
作為Internet上的FTP伺服器,系統的安全性是非常重要的,這是建立FTP伺服器者所考慮的第一個問題。其安全性主要包括以下幾個方面:一、
未經授權的用戶禁止在伺服器上進行FTP操作。
二、
FTP用戶不能讀取未經系統所有者允許的文件或目錄。
三、
未經允許,FTP用戶不能在伺服器上建立文件或目錄。
四、
FTP用戶不能刪除伺服器上的文件或目錄。
只有在伺服器的/etc/passwd文件中存在名為"FTP"的用戶時,伺服器才可以接受匿名FTP連接,匿名FTP用戶可以使用"anonymous"或"FTP"作為用戶名,自己的Internet電子郵件地址作為保密字。為了解決上述安全性的另外三個問題,應該對FTP主目錄下的文件屬性進行管理,建議對每個目錄及其文件採取以下一些措施:FTP主目錄:將這個目錄的所有者設為"FTP",並且將屬性設為所有的用戶都不可寫,防止不懷好意的用戶刪改文件。
FTP/bin目錄:該目錄主要放置一些系統文件,應將這個目錄的所有者設為"root"(即超級用戶),並且將屬性設為所有的用戶都不可寫。為保證合法用戶可顯示文件,應將目錄中的ls文件屬性設為可執行。
FTP/etc目錄:將這個目錄的所有者設為"root",並且將屬性設為所有的用戶都不可寫。將目錄下的group文件和passwd文件的屬性設為所有用戶只讀屬性,並用編輯器將passwd文件中用戶加過密的口令刪掉。
FTP/pub目錄:將這個目錄的所有者置為"FTP",並且將它的屬性設為所有用戶均可讀、寫、執行。
這樣經過設置,既保證了系統文件不被刪改,又保證了FTP合法用戶的正常訪問。
⑷ 如何提高FTP伺服器安全性
FTP是一種文件傳輸協議。有時我們把他形象的叫做文件交流集中地。FTP文件伺服器的主要用途就是提供文件存儲的空間,讓用戶可以上傳或者下載所需要的文件。在企業中,往往會給客戶提供一個特定的FTP空間,以方便跟可以進行一些大型文件的交流,如大到幾百兆的設計圖紙等等。同時,FTP還可以作為企業文件的備份伺服器,如把資料庫等關鍵應用在FTP伺服器上實現異地備份等等。
可見,FTP伺服器在企業中的應用是非常廣泛的。真是因為其功能如此的強大,所以,很多黑客、病毒也開始關注他了。他們企圖通過FTP伺服器為跳板,作為他們傳播木馬、病毒的源頭。同時,由於FTP伺服器上存儲著企業不少有價值的內容。在經濟利益的誘惑下,FTP伺服器也就成為了別人攻擊的對象。
在考慮FTP伺服器安全性工作的時候,第一步要考慮的就是誰可以訪問FTP伺服器。在Vsftpd伺服器軟體中,默認提供了三類用戶。不同的用戶對應著不同的許可權與操作方式。
一類是Real帳戶。這類用戶是指在FTP服務上擁有帳號。當這類用戶登錄FTP伺服器的時候,其默認的主目錄就是其帳號命名的目錄。但是,其還可以變更到其他目錄中去。如系統的主目錄等等。
第二類帳戶實Guest用戶。在FTP伺服器中,我們往往會給不同的部門或者某個特定的用戶設置一個帳戶。但是,這個賬戶有個特點,就是其只能夠訪問自己的主目錄。伺服器通過這種方式來保障FTP服務上其他文件的安全性。這類帳戶,在Vsftpd軟體中就叫做Guest用戶。擁有這類用戶的帳戶,只能夠訪問其主目錄下的目錄,而不得訪問主目錄以外的文件。
在組建FTP伺服器的時候,我們就需要根據用戶的類型,對用戶進行歸類。默認情況下,Vsftpd伺服器會把建立的所有帳戶都歸屬為Real用戶。但是,這往往不符合企業安全的需要。因為這類用戶不僅可以訪問自己的主目錄,而且,還可以訪問其他用戶的目錄。這就給其他用戶所在的空間 帶來一定的安全隱患。所以,企業要根據實際情況,修改用戶雖在的類別。
修改方法:第一步:修改/etc/Vsftpd/vsftpd.conf文件。
默認情況下,只啟用了Real與Anonymous兩類用戶。若我們需要啟用Guest類用戶的時候,就需要把這個選項啟用。修改/etc/Vsftpd/vsftpd.conf文件,把其中的chroot_list_enable=YES這項前面的注釋符號去掉。去掉之後,系統就會自動啟用Real類型的帳戶。
第二步:修改/etc/vsftpd.conf文件。
若要把某個FTP伺服器的帳戶歸屬為Guest帳戶,則就需要在這個文件中添加用戶。通常情況下,FTP伺服器上沒有這個文件,需要用戶手工的創建。利用VI命令創建這個文件之後,就可以把已經建立的FTP帳戶加入到這個文件中。如此的話,某個帳戶就屬於Real類型的用戶了。他們登錄到FTP伺服器後,只能夠訪問自己的主目錄,而不能夠更改主目錄。
第三步:重新啟動FTP伺服器。
按照上述步驟配置完成後,需要重新啟動FTP伺服器,其配置才能夠生效。我們可以重新啟動伺服器,也可以直接利用Restart命令來重新啟動FTP服務。
在對用戶盡心分類的時候,筆者有幾個善意的提醒。
一是盡量採用Guest類型的用戶,而減少Real類行的用戶。一般我們在建立FTP帳戶的時候,用戶只需要訪問自己的主目錄下的文件即可。當給某個用戶的許可權過大時,會對其他用戶文件的安全產生威脅。
在以下幾種情況下,我們要禁止這些賬戶訪問FTP伺服器,以提高伺服器的安全。
一是某些系統帳戶。如ROOT帳戶。這個賬戶默認情況下是Linxu系統的管理員帳戶,其對系統具有最高的操作與管理許可權。若允許用戶以這個賬戶為賬戶名進行登陸的話,則用戶不但可以訪問Linux系統的所有資源,而且,還好可以進行系統配置。這對於FTP伺服器來說,顯然危害很大。所以,往往不允許用戶以這個Root等系統帳戶身份登陸到FTP伺服器上來。
第二類是一些臨時賬戶。有時候我們出於臨時需要,為開一些臨時賬戶。如需要跟某個客戶進行圖紙上的交流,而圖紙本身又比較大時,FTP伺服器就是一個很好的圖紙中轉工具。在這種情況下,就需要為客戶設立一個臨時賬戶。這些賬戶用完之後,一般就加入到了黑名單。等到下次需要再次用到的時候,再啟用他。
在vstftpd伺服器中,要把某些用戶加入到黑名單,也非常的簡單。在Vsftpd軟體中,有一個/etc/vsftpd.user_lise配置文件。這個文件就是用來指定哪些賬戶不能夠登陸到這個伺服器。我們利用vi命令查看這個文件,通常情況下,一些系統賬戶已經加入到了這個黑名單中。FTP伺服器管理員要及時的把一些臨時的或者不再使用的帳戶加入到這個黑名單中。從而才可以保證未經授權的賬戶訪問FTP伺服器。在配置後,往往不需要重新啟動FTP服務,配置就會生效。
不過,一般情況下,不會影響當前會話。也就是說,管理員在管理FTP伺服器的時候,發現有一個非法賬戶登陸到了FTP伺服器。此時,管理員馬上把這個賬戶拉入黑名單。但是,因為這個賬戶已經連接到FTP伺服器上,所以,其當前的會話不會受到影響。當其退出當前會話,下次再進行連接的時候,就不允許其登陸FTP伺服器了。所以,若要及時的把該賬戶禁用掉的話,就需要在設置好黑名單後,手工的關掉當前的會話。
對於一些以後不再需要使用的帳戶時,管理員不需要把他加入黑名單,而是直接刪除用戶為好。同時,在刪除用戶的時候,要記得把用戶對應的主目錄也一並刪除。不然主目錄越來越多,會增加管理員管理的工作量。在黑名單中,只保留那些將來可能利用的賬戶或者不是用作FTP伺服器登陸的賬戶。這不但可以減少伺服器管理的工作量,而且,還可以提高FTP伺服器的安全性。
在系統默認配置下,匿名類型的用戶只可以下載文件,而不能夠上傳文件。雖然這不是我們推薦的配置,但是,有時候出於一些特殊的需要,確實要開啟這個功能。如筆者以前在企業中,利用這個功能實現了對用戶終端文件進行備份的功能。為了設置的方便,就在FTP伺服器上開啟了匿名訪問,並且允許匿名訪問賬戶網某個特定的文件夾中上傳某個文件。
筆者再次重申一遍,一般情況下,是不建議用戶開啟匿名賬戶的文件上傳功能。因為很難保證匿名賬戶上傳的文件中,不含有一些破壞性的程序,如病毒或者木馬等等。有時候,雖然開啟了這個功能,但是往往會在IP上進行限制。如只允許企業內部IP可以進行匿名訪問並上傳文件,其他賬戶則不行。如此的話,可以防止外部用戶未經授權匿名訪問企業的FTP伺服器。若用戶具有合法的賬戶,就可以在外網中登陸到FTP伺服器上。
總之,在FTP伺服器安全管理上,主要關注三個方面的問題。一是未經授權的用戶不能往FTP空間上上傳文件;二是用戶不得訪問未經授權的目錄,以及對這些目錄的文件進行更改,包括刪除與上傳;三是FTP伺服器本身的穩定性。以上三個問題中的前兩部分內容,都可以通過上面的三個方法有效的解決。
⑸ 華為防為牆如何配置ftp
配置FW作為FTP伺服器
介紹配置FW作為FTP伺服器的方法。
操作步驟
執行命令system-view,進入系統視圖。
執行命令ftp server enable,啟動FTP伺服器。
創建FTP管理員。
執行命令aaa,進入AAA視圖。
執行命令manager-useruser-name,配置管理員賬號並進入管理員視圖。
執行命令password[ciphercipher-password],配置管理員賬號對應的密碼。
說明:
薦採用互動式方式創建管理員密碼,通過ciphercipher-password配置密碼時存在密碼泄露的危險。
執行命令levellevel,配置管理員的級別。
說明:
為了保證管理員能正常登錄設備,請將管理員級別配置在3級或3級以上。
執行命令service-typeftp,配置管理員擁有的服務類型為FTP。
執行命令ftp-directorydirectory,配置管理員賬號的FTP服務目錄。
執行命令access-limitmax-number,配置使用本管理員賬號同時可登錄的最大管理員數量。
執行命令quit,退回到AAA視圖。
執行命令quit,退回到系統視圖。
可選:執行命令ftp timeoutminutes,配置FTP伺服器超時斷連時間。
為了防止未授權者的非法入侵,如果在一定時間內沒有收到FTP管理員的服務請求,則系統會斷開與該FTP客戶端的連接。當FTP管理員再需要服務時,需要重新進行登錄操作。
預設情況下,系統的連接空閑時間為30分鍾。
可選:配置FTP的訪問控制列表。
通過配置FTP訪問控制列表,可提高FTP伺服器的安全性。
執行命令acl[number]acl-number[vpn-instancevpn-instance],進入ACL視圖。
說明:
FTP只支持基本訪問控制列表,因此acl-number的取值范圍是2000~2999。
執行命令rule[rule-id] {deny|permit} [logging|source{source-ip-address soucer-wildcard|any} |time-rangetime-name],配置ACL規則。
執行命令quit,退回到系統視圖。
執行命令ftp aclacl-number,配置FTP基本訪問控制列表。