FTP管理妙招三招提高FTP服务器安全性
FTP是一种文件传输协议。有时我们把他形象的叫做“文件交流集中地”。FTP文件服务器的主要用途就是提供文件存储的空间,让用户可以上传或者下载所需要的文件。在企业中,往往会给客户提供一个特定的FTP空间,以方便跟可以进行一些大型文件的交流,如大到几百兆的设计图纸等等。同时,FTP还可以作为企业文件的备份服务器,如把数据库等关键应用在FTP服务器上实现异地备份等等。
可见,FTP服务器在企业中的应用是非常广泛的。真是因为其功能如此的强大,所以,很多黑客、病毒也开始“关注”他了。他们企图通过FTP服务器为跳板,作为他们传播木马、病毒的源头。同时,由于FTP服务器上存储着企业不少有价值的内容。在经济利益的诱惑下,FTP服务器也就成为了别人攻击的对象。
所以,FTP服务器的安全性工作也逐渐显得重要。笔者采用的FTP服务器是基于Linxu操作系统平台上的Vsftpd软件。笔者今天就以这个软件为例,谈谈如何若照FTP服务器的安全设计。
一、谁可以访问FTP服务器?
在考虑FTP服务器安全性工作的时候,第一步要考虑的就是谁可以访问FTP服务器。在Vsftpd服务器软件中,默认提供了三类用户。不同的用户对应着不同的权限与操作方式。
一类是Real帐户。这类用户是指在FTP服务上拥有帐号。当这类用户登录FTP服务器的时候,其默认的主目录就是其帐号命名的目录。但是,其还可以变更到其他目录中去。如系统的主目录等等。
第二类帐户实Guest用户。在FTP服务器中,我们往往会给不同的部门或者某个特定的用户设置一个帐户。但是,这个账户有个特点,就是其只能够访问自己的主目录。服务器通过这种方式来保障FTP服务上其他文件的安全性。这类帐户,在Vsftpd软件中就叫做Guest用户。拥有这类用户的帐户,只能够访问其主目录下的目录,而不得访问主目录以外的文件。
第三类帐户是Anonymous(匿名)用户,这也是我们通常所说的匿名访问。这类用户是指在FTP服务器中没有指定帐户,但是其仍然可以进行匿名访问某些公开的资源。
在组建FTP服务器的时候,我们就需要根据用户的类型,对用户进行归类。默认情况下,Vsftpd服务器会把建立的所有帐户都归属为Real用户。但是,这往往不符合企业安全的需要。因为这类用户不仅可以访问自己的主目录,而且,还可以访问其他用户的目录。这就给其他用户所在的空间 带来一定的安全隐患。所以,企业要根据实际情况,修改用户虽在的类别。
修改方法:
第一步:修改/etc/Vsftpd/vsftpdconf文件。
默认情况下,只启用了Real与Anonymous两类用户。若我们需要启用Guest类用户的时候,就需要把这个选项启用。修改/etc/Vsftpd/vsftpdconf文件,把其中的“chroot_list_enable=YES”这项前面的注释符号去掉。去掉之后,系统就会自动启用Real类型的帐户。
第二步:修改/etc/vsftpdconf文件。
若要把某个FTP服务器的帐户归属为Guest帐户,则就需要在这个文件中添加用户。通常情况下,FTP服务器上没有这个文件,需要用户手工的创建。利用VI命令创建这个文件之后,就可以把已经建立的FTP帐户加入到这个文件中。如此的话,某个帐户就属于Real类型的用户了。他们登录到FTP服务器后,只能够访问自己的主目录,而不能够更改主目录。
第三步:重新启动FTP服务器。
按照上述步骤配置完成后,需要重新启动FTP服务器,其配置才能够生效。我们可以重新启动服务器,也可以直接利用Restart命令来重新启动FTP服务。
在对用户尽心分类的时候,笔者有几个善意的提醒。
一是尽量采用Guest类型的用户,而减少Real类行的用户。一般我们在建立FTP帐户的时候,用户只需要访问自己的主目录下的文件即可。当给某个用户的权限过大时,会对其他用户文件的安全产生威胁。
二是尽量不要采用匿名类型的帐户。因为他们在没有授权的情况下,就可以访问FTP服务器。虽然其访问的资源受到一定的限制,但是,仍然具有危险性。故在没有特殊需要的情况下,把匿名类型帐户禁用掉。
二、哪些帐号不可以访问FTP服务器?
在以下几种情况下,我们要禁止这些账户访问FTP服务器,以提高服务器的安全。
一是某些系统帐户。如ROOT帐户。这个账户默认情况下是Linxu系统的管理员帐户,其对系统具有的操作与管理权限。若允许用户以这个账户为账户名进行登陆的话,则用户不但可以访问Linux系统的所有资源,而且,还好可以进行系统配置。这对于FTP服务器来说,显然危害很大。所以,往往不允许用户以这个Root等系统帐户身份登陆到FTP服务器上来。
第二类是一些临时账户。有时候我们出于临时需要,为开一些临时账户。如需要跟某个客户进行图纸上的交流,而图纸本身又比较大时,FTP服务器就是一个很好的图纸中转工具。在这种情况下,就需要为客户设立一个临时账户。这些账户用完之后,一般就加入到了黑名单。等到下次需要再次用到的时候,再启用他。
在vstftpd服务器中,要把某些用户加入到黑名单,也非常的简单。在Vsftpd软件中,有一个/etc/vsftpduser_lise配置文件。这个文件就是用来指定哪些账户不能够登陆到这个服务器。我们利用vi命令查看这个文件,通常情况下,一些系统账户已经加入到了这个黑名单中。FTP服务器管理员要及时的把一些临时的或者不再使用的帐户加入到这个黑名单中。从而才可以保证未经授权的账户访问FTP服务器。在配置后,往往不需要重新启动FTP服务,配置就会生效。
不过,一般情况下,不会影响当前会话。也就是说,管理员在管理FTP服务器的时候,发现有一个非法账户登陆到了FTP服务器。此时,管理员马上把这个账户拉入黑名单。但是,因为这个账户已经连接到FTP服务器上,所以,其当前的会话不会受到影响。当其退出当前会话,下次再进行连接的时候,就不允许其登陆FTP服务器了。所以,若要及时的把该账户禁用掉的话,就需要在设置好黑名单后,手工的关掉当前的会话。
对于一些以后不再需要使用的帐户时,管理员不需要把他加入黑名单,而是直接删除用户为好。同时,在删除用户的时候,要记得把用户对应的主目录也一并删除。不然主目录越来越多,会增加管理员管理的工作量。在黑名单中,只保留那些将来可能利用的账户或者不是用作FTP服务器登陆的账户。这不但可以减少服务器管理的工作量,而且,还可以提高FTP服务器的安全性。
三、匿名账户也可以上传文件
在系统默认配置下,匿名类型的用户只可以下载文件,而不能够上传文件。虽然这不是我们推荐的配置,但是,有时候出于一些特殊的需要,确实要开启这个功能。如笔者以前在企业中,利用这个功能实现了对用户终端文件进行备份的功能。为了设置的方便,就在FTP服务器上开启了匿名访问,并且允许匿名访问账户网某个特定的文件夹中上传某个文件。
若要让匿名用户上传文件,则首先要建立一个目录,并且把这个目录指定为匿名用户具有更新的权限。以后匿名用户需要上传文件的时候,只能够王这个文件夹中传。而不能够像Real用户那样,网其他用户的文件夹中上传文件。
文件目录设置好之后,再修改/etc/vsftpd/vsftpdconf配置文件。把这个文件下的有关匿名账户的功能启用。默认情况下,跟匿名账户相关的功能,如更新、增加目录等功能都是被注释掉的。管理员需要把这个注释符号去掉,匿名账户才能够网特定的账户中上传文件。
笔者再次重申一遍,一般情况下,是不建议用户开启匿名账户的文件上传功能。因为很难保证匿名账户上传的文件中,不含有一些破坏性的程序,如病毒或者木马等等。有时候,虽然开启了这个功能,但是往往会在IP上进行限制。如只允许企业内部IP可以进行匿名访问并上传文件,其他账户则不行。如此的话,可以防止外部用户未经授权匿名访问企业的FTP服务器。若用户具有合法的账户,就可以在外网中登陆到FTP服务器上。
总之,在FTP服务器安全管理上,主要关注三个方面的问题。一是未经授权的用户不能往FTP空间上上传文件;二是用户不得访问未经授权的目录,以及对这些目录的文件进行更改,包括删除与上传;三是FTP服务器本身的稳定性。以上三个问题中的前两部分内容,都可以通过上面的三个方法有效的解决。相信管理员灵活采用如上的方法,可以在保障企业应用的前期下,提高FTP服务器的安全性。
常来网免费空间(TheCCn) - 国内最大的免费空间站 ASP动态空间 PHP静态空间 支持FTP空间 注册地址: http://webTheCCn/sysweb/RegTransaspxCodeProvider=sky521 特色介绍: 『空间无限 永久免费』 免费为您提供无限大的存储空间,足以容纳成千上万甚至上百万计的网页文件,并可永久免费使用! 『域名绑定及转发』 您可以绑定(或转发)自己的域名,还可以将域名绑定(或转发)到子目录!另外赠送xxxQyunNet的免费域名供您使用! 『WEB管理 FTP管理』 通过在线(Web)和FTP两种方式及在线解压/压解等强大功能,可以轻松完成网站发布及维护任务,使文件管理易如反掌! 『多种脚本支持』 支持HTML、ASP、ASPNET10、ASPNET20及PHP多种脚本,使您的选择更加灵活! 『数据库支持』 系统同进支持ACCESS、MSSQL、MYSQL三种数据库,使您的选更加全面,满足您的多种需要! 『组件齐全』 支持FSO、Zend、Jmail、AspJepg等多种流行组件,全面支持,并且不断完善,不断更新,体验更多建站乐趣! http://webTheCCn/sysweb/RegTransaspxCodeProvider=sky521
建议使用cuteFTP 我就是用这个:
CuteFTP使用方法
CuteFTP是一个非常优秀的上传、下载工具,经常上网的朋友恐怕没有几个不知道它的大名的。在目前众多的FTP软件中,CuteFTP因为其使用方便、操作简单而备受网上冲浪者的青睐(本软件在本站下载区有下载)。在uteFTP中建立了站点管理后,我们就可以添加一些常用的网站,并可以往这些网站上传和下载文件了,我们一起来看看吧。(本图解以CuteFTP5XXX为标准,20,30,425也比较常用)
1、运行CuteFTP,打开“FTP站点管理”如图1
(图1)
2、在谈出的站点管理器窗口中点“新建(N)”就会弹出一个如图2所示的对话框。填写好相应项目就可以连接了:)
◆在“站点标签”文本框中输入FTP站点的名称。
◆在“站点地址”文本框中输入站点的地址
注意:这个地址不能带有ftp://之类的字头,也不能带有文件夹的路径,而必须是站点本身的地址。
◆在“站点用户名”和“密码”文本框中分别输入登录所需要的用户名和密码
◆如果登录站点不需要密码,则在“注册类型”区域中选择“匿名”单选钮。
◆在“端口”文本框中输入FTP地址的端口,默认值是21。
(图2)
至此我们已经新建一个FTP站点。
上传和下载文件
添加了站点之后,在站点管理窗口中选择一个FTP(注意只能选择一个FTP站点),与之建立连接。连接到服务器以后,CuteFTP的窗口被分成左右两个窗格。左边的窗格显示本地硬盘的文件列表,右边的窗格显示远程硬盘上的文件列表。文件列表的显示方式和Windows的资源管理器完全一样,如图3所示
上传和下载都可以通过拖曳文件或者文件夹的图标来实现。将右侧窗格中的文件拖到左侧窗格中,就可以下载文件;将左侧窗格中的文件拖动到右侧窗格中,就可以上传文件。
上传和下载的最大不同之处在于:不是所有的服务器或服务器所有的文件夹下都可以上传文件,需要服务器赋予上传权限才可,因为上传需要占用服务器的硬盘空间,而且可能会给服务器带来垃圾或者病毒等危及服务器安全的东西。
一般地,大多数供交流的匿名FTP服务器上都有一个incoming或uploads文件夹,专门供匿名用户上传文件。而其他子目录只能下载,不能上传。在incoming或者Uploads文件夹中,因为是各种各样的匿名用户上传的文件,没有任何管理和保证,可能含有不安全的东西,所以下载这个文件夹下的内容要慎重。
使用CuteFTP下载或上传文件的具体步骤与方法:
1、进入CuteFTP,选择“站点管理”菜单,弹出“站点管理器”窗口。
2、选择站点管理器中的一个站点,单击“连接”按钮,登录到FTP服务器上。
3、在程序窗口左边的窗格中选择本地硬盘的一个文件夹或者在右边窗格中选择远程硬盘的一个文件夹。
4、然后点击工具栏中的上传或下载图标,即可达到上传和下载的目的。
5、下载完成以后,在工具栏上单击“断开连接”按钮。
快速连接和重新连接
有些临时的站点可能只需要连接一次,所以不打算将它们添加到站点列表中。此时我们可以选择“FTP>快速连接”(小闪电)菜单或按“Ctrl+F4”快捷键,在弹出的对话框中临时填写一个FTP服务器的地址,然后进行连接。
如果由于其他原因,与FTP服务器的联系被中断,则可以选择“FTP>重新连接”菜单,重新登录FTP服务器,并且进入刚才断开的文件夹。
CuteFTP还有一些宏、自定义命令方式等高级功能,本站将在BBS技术讨论区进行进一步讲解。
除了CuteFTP还有FlashFXP(我一直用它)、IglooFTP(同时登录多个FTP)、BpFTP(支持多文件夹选择文件)、LeapFTP(外观界面)、网络传神(优秀国产软件)、流星雨-猫眼(多FTP管理客户端)等软件,使用方法大同小异。
如果临时没有这些软件我们还可以用DOS下的FTP命令进行文件传输,或者使用IE进行FTP传输
FTP 是File Transfer Protocol(文件传输协议) 的英文简称,而中文简称为“文传协议”。用于Internet上的控制文件的双向传输。同时,它也是一个应用程序(Application)。用户可以通 过它把自己的PC机与世界各地所有运行FTP协议的服务器相连,访问服务器上的大量程序和信息。FTP的主要作用,就是让用户连接上一个远程计算机(这些 计算机上运行着FTP服务器程序)察看远程计算机有哪些文件,然后把文件从远程计算机上拷到本地计算机,或把本地计算机的文件送到远程计算机去。
在linux系统中常见的有一下三种:
Wu-ftpd:早期Unix系统流行的匿名自由FTP服务器软件。
Proftpd:使用类似apache配置文件格式。
Vsftpd:最安全最高效的FTP服务器。
其中vsftpd较为常见,vsFTP是一种基于GPL的在UNIX/Linux中非常安全且快速的FTP服务器,其中vs是“Very Secure”的缩写,具有安全、高速和稳定的性能。
0条评论