FTP服務器安全_電腦知識網
熱點推薦:
您现在的位置: 電腦知識網 >> 操作系統 >> Windows服務器 >> 正文

FTP服務器安全

2013-11-11 22:14:09  來源: Windows服務器 

  操作系統的選擇

  FTP服務器首先是基於操作系統而運作的因而操作系統本身的安全性就決定了FTP服務器安全性的級別雖然Windows 98/Me一樣可以架設FTP服務器但由於其本身的安全性就不強易受攻擊因而最好不要采用Windows NT就像雞肋不用也罷最好采用Windows 2000及以上版本並記住及時打上補丁至於UnixLinux則不在討論之列

  使用防火牆

  端口是計算機和外部網絡相連的邏輯接口也是計算機的第一道屏障端口配置正確與否直接影響到主機的安全一般來說僅打開你需要使用的端口將其他不需要使用的端口屏蔽掉會比較安全限制端口的方法比較多可以使用第三方的個人防火牆如天網個人防火牆等這裡只介紹Windows自帶的防火牆設置方法

  1利用TCP/IP篩選功能

  在Windows 2000和Windows XP中系統都帶有TCP/IP篩選功能利用它可以簡單地進行端口設置以Windows XP為例打開本地連接的屬性常規選項中找到Internet協議(TCP/IP)雙擊它打開該協議的屬性設置窗口點擊右下方的高級按鈕進入高級TCP/IP設置選項中選中TCP/IP篩選並雙擊進入其屬性設置這裡我們可以設置系統只允許開放的端口假如架設的FTP服務器端口為21先選中啟用TCP/IP篩選(所有適配器)再在TCP端口選項中選擇只允許添加輸入端口號21確定即可這樣系統就只允許打開21端口要開放其他端口繼續添加即可這可以有效防止最常見的139端口入侵缺點是功能過於簡單只能設置允許開放的端口不能自定義要關閉的端口如果你有大量端口要開放就得一個個地去手工添加比較麻煩

  2打開Internet連接防火牆

  對於Windows XP系統自帶了Internet連接防火牆功能與TCP/IP篩選功能相比設置更方便功能更強大除了自帶防火牆端口開放規則外還可以自行增刪在控制面板中打開網絡連接右擊撥號連接進入高級選項卡選中通過限制或阻止來自Internet的對此計算機的訪問來保護我的計算機和網絡啟用它系統默認狀態下是關閉了FTP端口的因而還要設置防火牆打開所使用的FTP端口點擊右下角的設置按鈕進入高級設置選中FTP服務器編輯它由於FTP服務默認端口是21因而除了IP地址一欄外其余均不可更改在IP地址一欄中填入服務器公網IP確定後退出即可即時生效如果架設的FTP服務器端口為其他端口比如22則可以在服務選項卡下方點添加輸入服務器名稱和公網IP後將外部端口號和內部端口號均填入22即可

  對IISServ-U等服務器軟件進行設置

  除了依靠系統提供的安全措施外就需要利用FTP服務器端軟件本身的設置來提高整個服務器的安全了

  1IIS的安全性設置

  1)及時安裝新補丁

  對於IIS的安全性漏洞可以說是有口皆碑平均每兩三個月就要出一兩個漏洞所幸的是微軟會根據新發現的漏洞提供相應的補丁這就需要你不斷更新安裝最新補丁

  2)將安裝目錄設置到非系統盤關閉不需要的服務

  一些惡意用戶可以通過IIS的溢出漏洞獲得對系統的訪問權把IIS安放在系統分區上會使系統文件與IIS同樣面臨非法訪問容易使非法用戶侵入系統分區另外由於IIS是一個綜合性服務組件每開設一個服務都將會降低整個服務的安全性因而對不需要的服務盡量不要安裝或啟動

  3)只允許匿名連接

  FTP最大的安全漏洞在於其默認傳輸密碼的過程是明文傳送很容易被人嗅探到而IIS又是基於Windows用戶賬戶進行管理的因而很容易洩漏系統賬戶名及密碼如果該賬戶擁有一定管理權限則更會影響到整個系統的安全設置為只允許匿名連接可以免卻傳輸過程中洩密的危險進入默認FTP站點在屬性的安全賬戶選項卡中將此選項選中

  4)謹慎設置主目錄及其權限

  IIS可以將FTP站點主目錄設為局域網中另一台計算機的共享目錄但在局域網中共享目錄很容易招致其他計算機感染的病毒攻擊嚴重時甚至會造成整個局域網癱瘓不到萬不得已最好使用本地目錄並將主目錄設為NTFS格式的非系統分區中這樣在對目錄的權限設置時可以對每個目錄按不同組或用戶來設置相應的權限右擊要設置的目錄進入共享和安全→安全中設置如非必要不要授予寫入權限

  5)盡量不要使用默認端口號21

  啟用日志記錄以備出現異常情況時查詢原因

  2Serv-U的安全性設置

  與IIS的FTP服務相比Serv-U在安全性方面做得比較好

  1)對本地服務器進行設置

  首先選中攔截FTP_bounce攻擊和FXP什麼是FXP呢?通常當使用FTP協議進行文件傳輸時客戶端首先向FTP服務器發出一個PORT命令該命令中包含此用戶的IP地址和將被用來進行數據傳輸的端口號服務器收到後利用命令所提供的用戶地址信息建立與用戶的連接大多數情況下上述過程不會出現任何問題但當客戶端是一名惡意用戶時可能會通過在PORT命令中加入特定的地址信息使FTP服務器與其它非客戶端的機器建立連接雖然這名惡意用戶可能本身無權直接訪問某一特定機器但是如果FTP服務器有權訪問該機器的話那麼惡意用戶就可以通過FTP服務器作為中介仍然能夠最終實現與目標服務器的連接這就是FXP也稱跨服務器攻擊選中後就可以防止發生此種情況

  其次高級選項卡中檢查加密密碼啟用安全是否被選中如果沒有選擇它們加密密碼使用單向hash函數(MD5)加密用戶口令加密後的口令保存在ServUDaemonini或是注冊表中如果不選擇此項用戶口令將以明文形式保存在文件中啟用安全將啟動Serv-U服務器的安全成功

  2)對域中的服務器進行設置

  前面說過FTP默認為明文傳送密碼

  容易被人嗅探對於只擁有一般權限的賬戶危險並不大但如果該賬戶擁有遠程管理尤其是系統管理員權限則整個服務器都會被別人遠程控制Serv-U對每個賬戶的密碼都提供了以下三種安全類型規則密碼OTP S/KEY MD4和OTP S/KEY MD5不同的類型對傳輸的加密方式也不同以規則密碼安全性最低進入擁有一定管理權限的賬戶的設置中常規選項卡的下方找到密碼類型下拉列表框選中第二或第三種類型保存即可注意當用戶憑此賬戶登錄服務器時需要FTP客戶端軟件支持此密碼類型如CuteFTP Pro等輸入密碼時選擇相應的密碼類型方可通過服務器驗證

  與IIS一樣還要謹慎設置主目錄及其權限凡是沒必要賦予寫入等能修改服務器文件或目錄權限的盡量不要賦予最後進入設置日志選項卡中將啟用記錄到文件選中並設置好日志文件名及保存路徑記錄參數等以方便隨時查詢服務器異常原因


From:http://tw.wingwit.com/Article/os/fwq/201311/10224.html
    推薦文章
    Copyright © 2005-2013 電腦知識網 Computer Knowledge   All rights reserved.