FTP服務器安全

　　一操作系統的選擇

　　ＦＴＰ服務器首先是基於操作系統而運作的因而操作系統本身的安全性就決定了ＦＴＰ服務器安全性的級別雖然Ｗｉｎｄｏｗｓ ９８／Ｍｅ一樣可以架設ＦＴＰ服務器但由於其本身的安全性就不強易受攻擊因而最好不要采用Ｗｉｎｄｏｗｓ ＮＴ就像雞肋不用也罷最好采用Ｗｉｎｄｏｗｓ ２０００及以上版本並記住及時打上補丁至於ＵｎｉｘＬｉｎｕｘ則不在討論之列

　　二使用防火牆

　　端口是計算機和外部網絡相連的邏輯接口也是計算機的第一道屏障端口配置正確與否直接影響到主機的安全一般來說僅打開你需要使用的端口將其他不需要使用的端口屏蔽掉會比較安全限制端口的方法比較多可以使用第三方的個人防火牆如天網個人防火牆等這裡只介紹Ｗｉｎｄｏｗｓ自帶的防火牆設置方法

　　１利用ＴＣＰ／ＩＰ篩選功能

　　在Ｗｉｎｄｏｗｓ ２０００和Ｗｉｎｄｏｗｓ ＸＰ中系統都帶有ＴＣＰ／ＩＰ篩選功能利用它可以簡單地進行端口設置以Ｗｉｎｄｏｗｓ ＸＰ為例打開本地連接的屬性在常規選項中找到Ｉｎｔｅｒｎｅｔ協議（ＴＣＰ／ＩＰ）雙擊它打開該協議的屬性設置窗口點擊右下方的高級按鈕進入高級ＴＣＰ／ＩＰ設置在選項中選中ＴＣＰ／ＩＰ篩選並雙擊進入其屬性設置這裡我們可以設置系統只允許開放的端口假如架設的ＦＴＰ服務器端口為２１先選中啟用ＴＣＰ／ＩＰ篩選（所有適配器）再在ＴＣＰ端口選項中選擇只允許點添加輸入端口號２１確定即可這樣系統就只允許打開２１端口要開放其他端口繼續添加即可這可以有效防止最常見的１３９端口入侵缺點是功能過於簡單只能設置允許開放的端口不能自定義要關閉的端口如果你有大量端口要開放就得一個個地去手工添加比較麻煩

　　２打開Ｉｎｔｅｒｎｅｔ連接防火牆

　　對於Ｗｉｎｄｏｗｓ ＸＰ系統自帶了Ｉｎｔｅｒｎｅｔ連接防火牆功能與ＴＣＰ／ＩＰ篩選功能相比設置更方便功能更強大除了自帶防火牆端口開放規則外還可以自行增刪在控制面板中打開網絡連接右擊撥號連接進入高級選項卡選中通過限制或阻止來自Ｉｎｔｅｒｎｅｔ的對此計算機的訪問來保護我的計算機和網絡啟用它系統默認狀態下是關閉了ＦＴＰ端口的因而還要設置防火牆打開所使用的ＦＴＰ端口點擊右下角的設置按鈕進入高級設置選中ＦＴＰ服務器編輯它由於ＦＴＰ服務默認端口是２１因而除了ＩＰ地址一欄外其余均不可更改在ＩＰ地址一欄中填入服務器公網ＩＰ確定後退出即可即時生效如果架設的ＦＴＰ服務器端口為其他端口比如２２則可以在服務選項卡下方點添加輸入服務器名稱和公網ＩＰ後將外部端口號和內部端口號均填入２２即可

　　三對ＩＩＳＳｅｒｖ－Ｕ等服務器軟件進行設置

　　除了依靠系統提供的安全措施外就需要利用ＦＴＰ服務器端軟件本身的設置來提高整個服務器的安全了

　　１ＩＩＳ的安全性設置

　　１）及時安裝新補丁

　　對於ＩＩＳ的安全性漏洞可以說是有口皆碑了平均每兩三個月就要出一兩個漏洞所幸的是微軟會根據新發現的漏洞提供相應的補丁這就需要你不斷更新安裝最新補丁

　　２）將安裝目錄設置到非系統盤關閉不需要的服務

　　一些惡意用戶可以通過ＩＩＳ的溢出漏洞獲得對系統的訪問權把ＩＩＳ安放在系統分區上會使系統文件與ＩＩＳ同樣面臨非法訪問容易使非法用戶侵入系統分區另外由於ＩＩＳ是一個綜合性服務組件每開設一個服務都將會降低整個服務的安全性因而對不需要的服務盡量不要安裝或啟動

　　３）只允許匿名連接

　　ＦＴＰ最大的安全漏洞在於其默認傳輸密碼的過程是明文傳送很容易被人嗅探到而ＩＩＳ又是基於Ｗｉｎｄｏｗｓ用戶賬戶進行管理的因而很容易洩漏系統賬戶名及密碼如果該賬戶擁有一定管理權限則更會影響到整個系統的安全設置為只允許匿名連接可以免卻傳輸過程中洩密的危險進入默認ＦＴＰ站點在屬性的安全賬戶選項卡中將此選項選中

　　４）謹慎設置主目錄及其權限

　　ＩＩＳ可以將ＦＴＰ站點主目錄設為局域網中另一台計算機的共享目錄但在局域網中共享目錄很容易招致其他計算機感染的病毒攻擊嚴重時甚至會造成整個局域網癱瘓不到萬不得已最好使用本地目錄並將主目錄設為ＮＴＦＳ格式的非系統分區中這樣在對目錄的權限設置時可以對每個目錄按不同組或用戶來設置相應的權限右擊要設置的目錄進入共享和安全→安全中設置如非必要不要授予寫入權限

　　５）盡量不要使用默認端口號２１

　　啟用日志記錄以備出現異常情況時查詢原因

　　２Ｓｅｒｖ－Ｕ的安全性設置

　　與ＩＩＳ的ＦＴＰ服務相比Ｓｅｒｖ－Ｕ在安全性方面做得比較好

　　１）對本地服務器進行設置

　　首先選中攔截ＦＴＰ＿ｂｏｕｎｃｅ攻擊和ＦＸＰ什麼是ＦＸＰ呢？通常當使用ＦＴＰ協議進行文件傳輸時客戶端首先向ＦＴＰ服務器發出一個ＰＯＲＴ命令該命令中包含此用戶的ＩＰ地址和將被用來進行數據傳輸的端口號服務器收到後利用命令所提供的用戶地址信息建立與用戶的連接大多數情況下上述過程不會出現任何問題但當客戶端是一名惡意用戶時可能會通過在ＰＯＲＴ命令中加入特定的地址信息使ＦＴＰ服務器與其它非客戶端的機器建立連接雖然這名惡意用戶可能本身無權直接訪問某一特定機器但是如果ＦＴＰ服務器有權訪問該機器的話那麼惡意用戶就可以通過ＦＴＰ服務器作為中介仍然能夠最終實現與目標服務器的連接這就是ＦＸＰ也稱跨服務器攻擊選中後就可以防止發生此種情況

　　其次在高級選項卡中檢查加密密碼和啟用安全是否被選中如果沒有選擇它們加密密碼使用單向ｈａｓｈ函數（ＭＤ５）加密用戶口令加密後的口令保存在ＳｅｒｖＵＤａｅｍｏｎｉｎｉ或是注冊表中如果不選擇此項用戶口令將以明文形式保存在文件中啟用安全將啟動Ｓｅｒｖ－Ｕ服務器的安全成功

　　２）對域中的服務器進行設置

　　前面說過ＦＴＰ默認為明文傳送密碼

　　容易被人嗅探對於只擁有一般權限的賬戶危險並不大但如果該賬戶擁有遠程管理尤其是系統管理員權限則整個服務器都會被別人遠程控制Ｓｅｒｖ－Ｕ對每個賬戶的密碼都提供了以下三種安全類型規則密碼ＯＴＰ Ｓ／ＫＥＹ ＭＤ４和ＯＴＰ Ｓ／ＫＥＹ ＭＤ５不同的類型對傳輸的加密方式也不同以規則密碼安全性最低進入擁有一定管理權限的賬戶的設置中在常規選項卡的下方找到密碼類型下拉列表框選中第二或第三種類型保存即可注意當用戶憑此賬戶登錄服務器時需要ＦＴＰ客戶端軟件支持此密碼類型如ＣｕｔｅＦＴＰ Ｐｒｏ等輸入密碼時選擇相應的密碼類型方可通過服務器驗證

　　與ＩＩＳ一樣還要謹慎設置主目錄及其權限凡是沒必要賦予寫入等能修改服務器文件或目錄權限的盡量不要賦予最後進入設置在日志選項卡中將啟用記錄到文件選中並設置好日志文件名及保存路徑記錄參數等以方便隨時查詢服務器異常原因

From:http://tw.wingwit.com/Article/os/fwq/201311/10224.html