阿里云服务器怎么配置ftp阿里云服务器怎么配置安全组

阿里云的服务器ecs如何配置FTP？

首先配置可视化php环境界面，需要配置第三方一键php包。好在网上有这方面的面板，可以免费使用。匹配后就可以找到添加ftp账号的设置，一点也不麻烦。点几下鼠标就行了。

无论使用winserver还是linuxserver，都可以在三方面板的帮助下，一键成功配置可视化操作界面，部署网站环境。因为这方面的内容很多，这里也没有那么多可写的，所以大家可以在这里留言或者从我们这里寻找相关内容。劳伟写了很多教程，非常详细，可以帮助你入门。

如何用阿里云服务器搭建外网FTP？

我也只是装了SFTP，首先你需要有一个阿里云的ECS服务器并且开通了公网宽带（话说也不贵，开来玩玩还是可以的，第一次买会比较便宜，第二次买1M的宽带两天是九毛多吧~）开通了宽带之后，ECS服务器就可以上网了如果嫌弃阿里云的连接管理终端太卡不好用的话可以在本地电脑cmd控制台运行mstscexe启动远程桌面连接

先说关键的部分，你在内网的机子上先架设一个FTP服务器，再在这个机子上运行花生壳，最后在你的宽带路由器或者网关服务器上做端口映射，如果是宽带路由器的话，做一个转发就可以了。把21端口转发到你的FTP的IP的21端口。

现在就可以外网访问了。

Serv-U 是目前众多的FTP 服务器软件之一。通过使用Serv-U，用户能够将任何一台PC 设置成一个FTP 服务器，这样，用户或其他使用者就能够使用FTP 协议，通过在同一网络上的任何一台PC与FTP 服务器连接，进行文件或目录的复制，移动，创建，和删除等。这里提到的FTP 协议是专门被用来规定计算机之间进行文件传输的标准和规则，正是因为有了象FTP 这样的专门协议，才使得人们能够通过不同类型的计算机，使用不同类型的操作系统，对不同类型的文件进行相互传递。

虽然目前FTP 服务器端的软件种类繁多，相互之间各有优势，但是Serv-U 凭借其独特的功能得以展露头脚。具体来说，Serv-U 能够提供以下功能：

符合windows 标准的用户界面友好亲切，易于掌握。

支持实时的多用户连接，支持匿名用户的访问；通过限制同一时间最大的用户访问人数确保PC 的正常运转。

安全性能出众。在目录和文件层次都可以设置安全防范措施。能够为不同用户提供不同设置，支持分组管理数量众多的用户。可以基于IP 对用户授予或拒绝访问权限。

支持文件上传和下载过程中的断点续传。

支持拥有多个IP 地址的多宿主站点。

能够设置上传和下载的比率，硬盘空间配额，网络使用带宽等，从而能够保证用户有限的资源不被大量的FTP 访问用户所消耗。

可作为系统服务后台运行。

可自用设置在用户登录或退出时的显示信息，支持具有UNIX 风格的外部链接。

上面列出的只是Serv-U 众多功能中的一部分，具体的使用将在下文中进行详细的介绍，这里要说明的 时，Serv-U 在保持功能全面，强大的基础上，提供的完全易于使用的操作界面，可以说一切尽在掌握。

使用说明

用户在使用Serv-U 的过程中可能会碰到的所有设置问题都可以通过Serv-U 窗口中的菜单选项实现。如果用户在安装Serv-U 之后，启动Serv-U 时，屏幕上没有显示出Serv-U 的控制窗口的话，可以用鼠标右键点击位于任务条系统托盘中的Serv-U 图标（一个大写的字母“U”），然后选择弹出菜单中的第一项“Show Window”，这样屏幕上就会显示出Serv-U 的控制窗口。

设置FTP服务器

位于Serv-U 控制窗口中的“SETUP”菜单中的第一项“FTP-SERVER”用来对FTP 服务器进行总体上的设置。在选择之后出现的窗口中的第一项“FTP PORT NUMBER”用来设置FTP服务器使用的端口号，FTP服务器将会通过该端口收听所有来访用户的信息。一般情况下，FTP 服务器的默认端口号为21，但是用户可以根据自己的情况自由的进行更改，只要能够保证所采用的端口号与其它网络应用不冲突即可。这里需要说明的一点是，使用用户自己选择的服务器端口可以起到很好的安全防范作用，这时，只有用户自己和其他知道该端口号的用户才能够成功的实现与服务器的连接。因此，建议用户在设置F TP 服务器的时候使用自己选定的端口，而不要只是简单的使用默认值。

随后用户需要设置服务器所能提供的最大速度。一般情况下，用户可以将这项空出，那么服务器将会利用所有可能的带宽为客户提供服务。能够为用户提供最大的访问速度当然很好，但是过多的F TP 用户可能会蚕食掉一切可能的带宽，从而使其它的网络应用几乎不可能实现。因此，合理的控制FTP 服务器所能够占用的最大带宽还是很重要的。

下一项是设置服务器允许的最大用户访问量。在此，用户可以限制同一时间内访问FTP 服务器的最大人数。如果把该项设为0，那么FTP 服务器将会拒绝任何用户访问要求；如果将该项空出，那么Serv-U 将不会对访问人数进行控制，直到耗尽所有的系统资源。如果用户希望自己的FTP 服务器能够保持正常运转的话，那么最好对来访的用户数量进行合理的限制。一般情况下，即使老式的486 机器，在使用Serv-U之后，也能够在同一时间内为20多名用户提供访问支持。

在此之后的一系列复选项中的第一项为“启动安全功能”。如果用户没有选择该项，那么任何人通过网络都可以直接进入FTP 服务器，对服务器中的任何文件进行随意地复制，改动，甚至删除。除了那些拥有小范围内的个人网络，不希望每次登录都重复输入用户名、密码等烦杂手续的人之外，用户一定要确保已经选中了该选项，即启动了服务器的安全防范功能。

下一项“ENCRYPT PASSWORDS”在默认情况下也被自动选中。这样，Serv-U 将会使用与UNIX 操作系统相同的加密机制加密并保存用户的密码。如果用户不选择对密码进行加密，那么所有用户输入的口令将会以明文的方式保存在位于S erv-U 安装目录下的Serv-Uini 文件中。

随后一项用来设定是否需要匿名访问用户输入密码。默认情况下，该项为空白，这样那些使用匿名帐号访问FTP 服务器的用户将不被要求输入口令。需要注意的是这里对匿名用户密码的检测非常简单，只要匿名用户输入符合邮件地址格式的任意字符串即可，S erv-U 不会进一步的判断用户输入的邮件地址是否真正存在。

下一项为预防反超时措施。如果用户选择了该选项，Serv-U 将会采用新的记时方式，那些希望通过定期向服务器发送命令来防止出现超时操作的用户将不再得逞。

随后的选项被用来设定是否删除没有完整上传的文件，如果用户不使用该删除功能，那么当有用户在向FTP 服务器上传文件的过程中出现错误而没有实现文件的完整上传时，Serv-U 将会在硬盘上保留已上传的内容，从而实现上传文件的断点续传。

下面我们要讨论的是跨FTP 攻击。通常状况下，当使用FTP 协议进行文件的传输时，客户端首先向FTP 服务器发出一个“PORT”命令，该命令中包含该用户的IP地址和将被用来进行数据传输的端口号。服务器在收到该命令后，利用命令所提供的用户地址信息建立与用户的连接。大多数情况下，上述过程不会出现任何问题，但是，当客户端是一名恶意用户时，可能会通过在P ORT 命令中加入特定的地址信息，使FTP 服务器与其它非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一特定机器，但是如果FTP 服务器有权访问该机器的话，那么恶意用户通过FTP 服务器作为中介，仍然能够最终实现与目标服务器的连接。这就是我们所提到的跨服务器攻击。为了防止上述情况的发生，用户可以选择“防止跨F TP 服务器攻击”的选项，这样Serv-U在与任何来访用户建立连接之前，首先要核实该用户提供的地址信息是否为其真实地址。任何事情都是两方面的。我们已经知道通过使用S erv-U 可以防止发生跨FTP服务器的攻击，但是，同时我们也放弃了在FTP服务器和FTP 服务器之间实现数据传输的功能。这是因为Serv-U 只会与那些所提供的地址与地址提供者的实际地址相符的用户建立连接，用户将不能远程控制在两台不同的FTP 服务器之间进行文件传输。

最后的两个选项用来限制用户在FTP 服务器上的最大停留时间，以及规定服务器中文件和目录名的大小写。

该窗口中的其它相关选项我们将会在稍后进行详细介绍。

用户帐号管理

用户使用FTP 服务器的一个最基本的任务就是添加和管理用户信息。通过选择“SETUP”菜单中的“USERS”打开Serv-U 的用户管理窗口。该窗口可以分为左右两大部分。其中左边的窗口用来显示目前所有已经注册的FTP服务器的用户。任意选中其中一个用户，其详细的配置信息将会相应的显示在窗口的右边。如果是首次启动S erv-U，那么仅会显示一个名为“DEFAULT”的系统默认帐号。

下面详细介绍一下建立新用户帐号的全过程．

首先单击窗口最右边的“NEW”按钮，在随后的弹出窗口中输入需要建立的用户名。这时，输入的用户名就会出现在窗口右边的用户名一栏中。用户还可以在该栏中对所建立的帐号名称进行修改。

随后用户可以输入该帐号将要归属的用户组的组名或建立一个新的组。所谓组是人们为了便于管理数量庞大的用户群而推出的概念。我们可以把众多的单个用户划分到不同的组里进行统一的管理。因为属于同一个组的用户都具有一些共同的属性，例如用户密码，根目录等，所以用户只需要对个别具有特殊属性的帐号进行个别设置即可，这样就极大的简化了对用户帐号的管理和维护工作。需要注意的一点是，“A nonymous”这个特殊的用户帐号不属于任何一个用户组。

在随后的密码栏中需要输入帐号的口令，如果用户在服务器的设置中选择了加密密码的选项（见前文），那么所输入的密码将自动以加密方式储存。关于密码很重要的一点是只有输入的前8 位字符有效，希望能够引起广大Serv-U 使用者的注意。另外，如果用户在建立新的帐号时没有输入相应的密码，那么并不意味着该用户帐号没有密码，Serv-U 将会尝试着寻找是否该用户帐号属于某一个用户组并且该用户组具有统一的密码。如果Serv-U 没有找到相应的用户组密码的话，将会拒绝该用户帐号的访问。如果用户确实希望不规定某个帐号的密码，只要在相应帐号的密码一栏中输入“$ #@60;$#@60;None$#@62;$#@62;”即可。上述情况的一个例外是Anonymous 用户帐号，该帐号没有密码，Serv-U 只要求用户输入符合邮件地址格式的任意字符串即可。

在“HOME”一栏中，设置FTP 用户的根目录，即用户在成功登录之后所自动位于的起始目录。每一个用户帐号都要有自己的根目录，否则Serv-U 将拒绝该用户帐号的访问。当然，如果该帐号属于某个组，而该用户组已经设定了共同的根目录，那么用户就不必对该用户组内的每个帐号进行重复设置。用户在输入根目录的地址时应当注意必须使用完全路径，包括盘符。

在“NOTE”一栏中，用户可以选择输入一些对帐号起辅助说明的文字以备将来参考之用。

在用户窗口右边最大的一栏用来设定帐号的访问权限，从而决定用户可以访问哪些文件，并以何种方式访问这些。Serv-U 按照文件和目录两大类别对用户的访问权限进行了划分。具体来说包括：

对文件的访问权限：

READ：允许用户下载文件；

WRITE：允许用户上传文件，但无权对文件进行更改，删除，或重命名；

APPEND：允许用户对已有的文件进行附加，拥有APPEND权限的用户自动拥有WRITE

权限；

DELETE：允许用户对文件进行改动，重命名，或删除。拥有DELETE权限的用户自动拥

有WRITE 和APPEND 权限；

EXECUTE：允许用户通过FTP 运行可执行文件。例如，用户可以远程运行DOS或Windows

程序。

对目录的访问权限：

LIST：允许用户取得目录列表；

MAKE：允许用户在根目录下建立新的子目录；

REMOVE：允许用户删除根目录下的子目录。

INHERIT：选中该选项之后，对某一目录设置的访问权限将自动被该目录下的所有子目录

继承。

在完成上述所有设置之后，点击“STORE”按钮，新建立的用户帐号将被保存在FTP 服务器中。

该窗口中的其它选项将会在稍后进行详细的介绍。

实时监控

用户在完成FTP服务器的基本配置之后，就可以向外界提供FTP文件传输服务了。我想很多用户都希望在提供FTP 服务的过程中，能够实时地对访问自己服务器的用户进行监控，从而一方面既能够对整个服务过程做到心中有数，另一方面还可以在可能出现意外问题之前，采取及时的防范和补救措施。在这一方面，相信S erv-U 能够充分满足大家的需求。

首先，让我们看一下如何利用Serv-U 实现实时的用户监控。

选择“FILE”菜单中的“USER INFO”选项。在弹出窗口中的上半部分将会显示出所有当前正在与服务器连接的用户。用鼠标点击其中的任一用户将会在窗口的下半部分出现该用户的详细信息。

在窗口的右下方有一个“SPY ON USER”按钮，点击之后出现的窗口将会显示出特定用户向FTP服务器发出以及FTP 服务器响应的所有命令。该窗口将会跟踪所选用户的所有命令，对了解特定用户在访问FTP 服务器的过程中的所有行为提供了可的依据。

在该按钮下方还有一个名为“KILL USER”的按钮，如果用户发现某个来访用户的行为可疑，可能会对FTP 服务器的正常工作带来危害的话，可以通过使用该按钮立即中断与该用户的连接，将该用户踢出FTP 服务器。

需要注意的一点是，虽然Serv-U 能够提供实时的用户监控信息，但是需要耗用很大一部分的系统资源。如果用户发现系统性能出现明显下降的话，可以通过窗口右侧的“F REEZE LIST”按钮暂时冻结窗口信息的动态显示，从而释放出宝贵的系统资源。

设置服务器端日志记录

除了能够实时的进行监控之外，Serv-U还提供了强大的日志记录功能，从而方便用户记录和总结一段时期内Serv-U的运行情况。

选择“FILE”菜单下的“LOGGING”，弹出日志设置窗口，用户可以选择对哪些事件进行记录，以及将记录信息保存到何处。

在该窗口的右侧，用户可以选择对不同的事件进行记录，其中包括系统信息，安全信息等，同时用户还可以设置是将所记录 畔⑾允驹赟erv-U 的主窗口内，还是保存到某一指定文件内。出于耗用系统资源和备份信息的需要，建议用户把日志信息保存到指定的文件内。

需要说明的一点是Serv-U 的日志记录文件采用统一的格式，具体如下：

[n] DATE TIME - (xxxx) MESSAGE

最前面的数字“n”代表所记录信息的类别，分别为：

n=1：系统信息（错误信息等）；

n=2：用户发出的FTP 命令；

n=3：文件下载；

n=4：文件上传；

n=5：安全信息（用户登录信息等）

n=6：服务器响应的FTP 命令；

n=7：WinSock使用记录；

n=8：DLL文件访问记录

另外，括号中的“XXXX”是Serv-U 赋予每一个来访用户的一个唯一的数字标识。

5．设置登录和退出信息

细心的用户可能会发现在登录或退出某个FTP站点时，经常会出现一个窗口，显示一些包括系统设置，欢迎访问等在内的信息。那么如何在S erv-U 下实现这一功能呢？

首先，用户需要把要显示给用户的信息保存在一个文本文件中，然后选择“SETUP”菜单中的“MESSAGES”，在弹出的窗口中进行设置。

在位于窗口最上方的下来框中，用户需要选择将要使用登录和退出信息的IP地址。因为Serv-U 支持一台机器拥有多个IP，所以用户需要选择相应的IP地址。在下面的两个选项中分别输入用户事先已经建立好的包含登录和退出信息的文本文件的地址。

使用外部连接

所谓外部连接是指那些显示在某一目录下指向位于该目录之外的某一文件或目录的连接。在用户端看来，外部连接所指向的文件或目录就位于当前目录之下，但实际上他们只是一些起连接作用的虚拟指针。使用外部连接的一个最大好处就是能够把来访用户可能需要的所有资源都集中到一个目录之中，这样用户就可以通过不同的外部连接访问实际上位于不同磁盘或不同目录的分散信息。

为了充分利用Serv-U 提供的外部连接功能，用户首先需要生成一个文本文件保存所有可能会用到的外部连接。文件的具体格式如下：

LINK NAME | SOURCENAME

其中的“LINK NAME”是显示在用户当前目录下的外部连接的名称，而“SOURCENAME”则是该外部连接实际指向的磁盘或目录。

例如我们在一个名为“LINKTXT”的文件中写入如下一条：

CD-ROM | F：\

这样在用户的当前目录中就会出现“CD-ROM”字样，点击之后，就可以直接访问FTP 服务器的光驱。

在配置好外部连接的文本文件之后，选择“FTLE”菜单中的“FTP SERVER”，在弹出的窗口中找到“PRIMARY FIEL CONTAINING LINK”，然后输入上述文本文件的完全路径。在“PRIMARY FIEL CONTAINING LINK”下方有一个“SECONDARY FILE CONTAINING LINK”，该项是用来设定起辅助作用的外部连接文件，可以参照上述方法生成。

设置上传和下载比例

如果用户希望自己FTP 站点的使用者不仅仅使用自己提供的资源，还能够上传一些有价值的东西供大家共享的话，可以通过使用Serv-U提供的“上传和下载比例”这一功能实现。

用户可以在“FILE”菜单中的“FTP-SERVER”，“USERS”和“GROUPS”的弹出窗口中找到名为“U/D RATIOS”的功能按钮，点击之后出现设置窗口。用户可以限制每个FTP 站点的使用者每上传一个文件后可以下载的文件数。例如，如果将某个用户的上传和下载比例设置为1/3，那么该用户每上传一个文件，就可以从F TP 站点下载3个文件。

Serv-U 支持在单个会话过程或全部会话过程的范围内，按照具体传输的文件数目或文件的大小，限制用户的上传和下载比例。

使用磁盘限额

随着用户数量的增加，一个非常实际的问题就是如何既能够确保每个用户都有足够的硬盘空间可用，同时又防止FTP 服务器吞食整个机器的硬盘资源。同样，在这个问题上Serv-U提供了有力的解决方案。

用户可以分别在“FILE”菜单中的“USERS”和“GROUPS”选项的弹出窗口中找到名为“QUATO”的功能按钮。点击之后出现设置窗口，用户可以首先检测某个用户帐号当前所使用的硬盘空间，然后根据具体的情况分别设置不同的用户帐号所能支配的最大硬盘空间，从而有效的解决硬盘空间不足的问题。

基于IP地址授予或拒绝访问权限

选择“FILE”菜单中的“IP ACCESS”选项，在弹出的窗口中进行设置。

用户可以在窗口的左边设置不同的访问规则，而当前所有的访问规则将会显示在右边的列表中。

Serv-U 提供了两种基本的访问规则，分别为“拒绝访问”规则和“允许访问”规则。在“拒绝访问”规则下，所有来自用户输入的IP地址的访问者都将被拒绝访问，而来自其它I P地址的用户都将被授予访问权限。同理，如果用户选择了“允许访问”规则，那么所有来自用户输入的IP地址的访问者都将被授予访问权限，而来自其它I P 地址的用户将无权访问FTP 服务器。

通过以上功能，用户可以针对不同的IP地址，设置不同的权限，从而有效的保障FTP 服务器免受非法访问者的侵害。

三．小节

Serv-U 是一款使用简单，功能强大，易学易用的FTP 服务器端软件。相信广大用户结合以上的介绍，再加上个人的实践，一定会在最短的时间内构建起自己的功能强大的FTP服务器。

，系统的安全性是非常重要的，这是建立FTP服务器者所考虑的第一个问题。其安全性主要包括以下几个方面：　　　　　　一、 未经授权的用户禁止在服务器上进行FTP操作。

　　　　　　二、 FTP用户不能读取未经系统所有者允许的文件或目录。

　　　　　　三、 未经允许，FTP用户不能在服务器上建立文件或目录。

　　　　　　四、 FTP用户不能删除服务器上的文件或目录。

　　　　　　只有在服务器的／etc/passwd文件中存在名为"FTP"的用户时，服务器才可以接受匿名FTP连接，匿名FTP用户可以使用"anonymous"或"FTP"作为用户名，自己的Internet电子邮件地址作为保密字。为了解决上述安全性的另外三个问题，应该对FTP主目录下的文件属性进行管理，建议对每个目录及其文件采取以下一些措施：　　　　　　FTP主目录：将这个目录的所有者设为"FTP"，并且将属性设为所有的用户都不可写，防止不怀好意的用户删改文件。

　　　　　　FTP/bin目录：该目录主要放置一些系统文件，应将这个目录的所有者设为"root"（即超级用户），并且将属性设为所有的用户都不可写。为保证合法用户可显示文件，应将目录中的ls文件属性设为可执行。

　　　　　　FTP/etc目录：将这个目录的所有者设为"root"，并且将属性设为所有的用户都不可写。将目录下的group文件和passwd文件的属性设为所有用户只读属性，并用编辑器将passwd文件中用户加过密的口令删掉。

　　　　###NextPage###　　FTP/pub目录：将这个目录的所有者置为"FTP"，并且将它的属性设为所有用户均可读、写、执行。

　　　　　　这样经过设置，既保证了系统文件不被删改，又保证了FTP合法用户的正常访问。

　　　　　　作为Internet上的FTP服务器，系统的安全性是非常重要的，这是建立FTP服务器者所考虑的第一个问题。其安全性主要包括以下几个方面：　　　　　　一、 未经授权的用户禁止在服务器上进行FTP操作。

　　　　　　二、 FTP用户不能读取未经系统所有者允许的文件或目录。

　　　　　　三、 未经允许，FTP用户不能在服务器上建立文件或目录。

　　　　　　四、 FTP用户不能删除服务器上的文件或目录。

　　　　　　只有在服务器的／etc/passwd文件中存在名为"FTP"的用户时，服务器才可以接受匿名FTP连接，匿名FTP用户可以使用"anonymous"或"FTP"作为用户名，自己的Internet电子邮件地址作为保密字。为了解决上述安全性的另外三个问题，应该对FTP主目录下的文件属性进行管理，建议对每个目录及其文件采取以下一些措施：　　　　　　FTP主目录：将这个目录的所有者设为"FTP"，并且将属性设为所有的用户都不可写，防止不怀好意的用户删改文件。

　　　　　　FTP/bin目录：该目录主要放置一些系统文件，应将这个目录的所有者设为"root"（即超级用户），并且将属性设为所有的用户都不可写。为保证合法用户可显示文件，应将目录中的ls文件属性设为可执行。

　　　　　　FTP/etc目录：将这个目录的所有者设为"root"，并且将属性设为所有的用户都不可写。将目录下的group文件和passwd文件的属性设为所有用户只读属性，并用编辑器将passwd文件中用户加过密的口令删掉。

　　　　　　FTP/pub目录：将这个目录的所有者置为"FTP"，并且将它的属性设为所有用户均可读、写、执行。

　　　　　　这样经过设置，既保证了系统文件不被删改，又保证了FTP合法用户的正常访问。

一）禁止匿名登录。允许匿名访问有时会导致被利用传送非法文件。取消匿名登录，只允许被预定义的用户帐号登录，配置被定义在FTP主目录的ACL[访问控制列表]来进行访问控制，并使用NTFS许可证。

（二）设置访问日志。通过访问日志可以准确得到哪些IP地址和用户访问的准确纪录。定期维护日志能估计站点访问量和找出安全威胁和漏洞。

（三）强化访问控制列表。采用NTFS访问许可，运用ACL[访问控制列表]控制对您的FTP目录的的访问。

（四）设置站点为不可视。如您只需要用户传送文件到服务器而不是从服务器下载文件，可以考虑配置站点为不可视。这意味着用户被允许从FTP目录写入文件不能读取。这样可以阻止未授权用户访问站点。要配置站点为不可视，应当在“站点”和“主目录”设置访问许可。

（五）使用磁盘配额。磁盘配额可能有效地限制每个用户所使用的磁盘空间。授予用户对自己上传的文件的完全控制权。使用磁盘配额可以检查用户是否超出了使用空间，能有效地限制站点被攻破所带来的破坏。并且，限制用户能拥有的磁盘空间，站点将不会成为那些寻找空间共享媒体文件的黑客的目标。

（六）使用访问时间限制。限制用户只能在指定的日期的时间内才能登陆访问站点。如果站点在企业环境中使用，可以限制只有在工作时间才能访问服务请。下班以后就禁止登录以保障安全。

（七）基于IP策略的访问控制。FTP可以限制具体IP地址的访问。限制只能由特定的个体才能访问站点，可以减少未批准者登录访问的危险。

（八）审计登陆事件。审计帐户登录事件，能在安全日志查看器里查看企图登陆站点的（成功/失败）事件，以警觉一名恶意用户设法入侵的可疑活动。它也作为历史记录用于站点入侵检测。

（九）使用安全密码策略。复杂的密码是采用终端用户认证的安全方式。这是巩固站点安全的一个关键部分，FTP用户帐号选择密码时必须遵守以下规则：不包含用户帐号名字的全部或部份；必须是至少6个字符长；包含英文大、小写字符、数字和特殊字符等多个类别。

（十）限制登录次数。Windows系统安全策略允许管理员当帐户在规定的次数内未登入的情况下将帐户锁定。

Windows2000系统提供了FTP服务功能，由于简单易用，服务器托管与Windows系统本身结合紧密，深受广大用户的喜爱。但使用IIS50 架设的FTP服务器真的安全吗？它的默认设置其实存在很多安全隐患，很容易成为黑客们的攻击目标。服务器托管如何让FTP服务器更加安全，只要稍加改造，就能做到。

一 取消匿名访问功能

默认情况下服务器托管，Windows2000系统的FTP服务器是允许匿名访问的，虽然匿名访问为用户上传、下载文件提供方便，但却存在极大的安全隐患。用户不需要申请合法的账号，就能访问FTP服务器，甚至还可以上传、下载文件，特别对于一些存储重要资料的FTP服务器，服务器托管很容易出现泄密的情况，因此建议用户取消匿名访问功能。

在Windows2000系统中，点击“开始→程序→管理工具→Internet服务管理器”，弹出管理控制台窗口。然后展开窗口左侧的本地计算机选项，就能看到IIS50自带的FTP服务器，下面笔者以默认FTP站点为例，介绍如何取消匿名访问功能。

右键点击“默认FTP站点”项，在右键菜单中选择“属性”，服务器托管接着弹出默认FTP站点属性对话框，切换到“安全账号”标签页，取消“允许匿名连接”前的勾选，最后点击“确定”按钮，这样用户就不能使用匿名账号访问FTP服务器了，必须拥有合法账号。

二 启用日志记录

Windows日志记录着系统运行的一切信息，但很多管理员对日志记录功能不够重视，为了节省服务器资源，禁用了FTP服务器日志记录功能，服务器托管这是万万要不得的。FTP服务器日志记录着所有用户的访问信息，如访问时间、客户机IP地址、使用的登录账号等，这些信息对于FTP服务器的稳定运行具有很重要的意义，一旦服务器出现问题，就可以查看FTP日志，找到故障所在，及时排除。因此一定要启用FTP日志记录。

在默认FTP站点属性对话框中，切换到“FTP站点”标签页，一定要确保“启用日志记录”选项被选中，这样就可以在“事件查看器”中查看FTP日志记录了。

三 正确设置用户访问权限

每个FTP用户账号都具有一定的访问权限，但对用户权限的不合理设置，也能导致FTP服务器出现安全隐患。如服务器中的CCE文件夹，只允许 CCEUSER账号对它有读、写、修改、列表的权限，禁止其他用户访问，但系统默认设置，还是允许其他用户对CCE文件夹有读和列表的权限，服务器托管因此必须重新设置该文件夹的用户访问权限。

右键点击CCE文件夹，在弹出菜单中选择“属性”，然后切换到“安全”标签页，首先删除Everyone用户账号，接着点击“添加”按钮，服务器托管将 CCEUSER账号添加到名称列表框中，然后在“权限”列表框中选中修改、读取及运行、列出文件夹目录、读取和写入选项，最后点击“确定”按钮。这样一来，CCE文件夹只有CCEUSER用户才能访问。

四 启用磁盘配额

FTP服务器磁盘空间资源是宝贵的，无限制的让用户使用，势必造成巨大的浪费，因此要对每位FTP用户使用的磁盘空间进行限制。下面笔者以CCEUSER用户为例，将其限制为只能使用100M磁盘空间。

在资源管理器窗口中，右键点击CCE文件夹所在的硬盘盘符，在弹出的菜单中选择“属性”，接着切换到“配额”标签页，选中服务器托管“启用配额管理”复选框，激活“配额”标签页中的所有配额设置选项，为了不让某些FTP用户占用过多的服务器磁盘空间，一定要选中“拒绝将磁盘空间给超过配额限制的用户”复选框。

然后在“为该卷上的新用户选择默认配额限制”框中选择“将磁盘空间限制为”单选项，接着在后面的栏中输入100，磁盘容量单位选择为“MB”，然后进行警告等级设置，在“将警告等级设置为”栏中输入“96”，容量单位也选择为“MB”，这样就完成了默认配额设置。服务器托管此外，还要选中“用户超出配额限制时记录事件”和“用户超过警告等级时记录事件”复选框，以便将配额告警事件记录到Windows日志中。

点击配额标签页下方的“配额项”按钮，打开磁盘配额项目对话框，接着点击“配额→新建配额项”，弹出选择用户对话框，选中CCEUSER用户后，点击“确定”按钮，接着在“添加新配额项”对话框中为CCEUSER用户设置配额参数，服务器托管选择“将磁盘空间限制为”单选项，在后面的栏中输入 “100”，接着在“将警告等级设置为”栏中输入“96”，它们的磁盘容量单位为“MB”，最后点击“确定”按钮，完成磁盘配额设置，这样CCEUSER 用户就只能使用100MB磁盘空间，超过96MB就会发出警告。

五 TCP/IP访问限制

为了保证FTP服务器的安全，还可以拒绝某些IP地址的访问。在默认FTP站点属性对话框中，切换到“目录安全性”标签页，选中“授权访问”单选项，然后在“以下所列除外”框中点击“添加”按钮，弹出“拒绝以下访问”对话框，这里可以拒绝单个IP地址或一组IP地址访问，服务器托管以单个IP地址为例，选中“单机”选项，然后在“IP地址”栏中输入该机器的IP地址，最后点击“确定”按钮。这样添加到列表中的IP地址都不能访问FTP服务器了。

六 合理设置组策略

通过对组策略项目的修改，也可以增强FTP服务器的安全性。在Windows2000系统中，进入到“控制面板→管理工具”，运行本地安全策略工具。

1 审核账户登录事件

在本地安全设置窗口中，服务器托管依次展开“安全设置→本地策略→审核策略”，然后在右侧的框体中找到“审核账户登录事件”项目，双击打开该项目，在设置对话框中选中“成功”和“失败”这两项，最后点击“确定”按钮。该策略生效后，FTP用户的每次登录都会被记录到日志中。

2 增强账号密码的复杂性

一些FTP账号的密码设置的过于简单，就有可能被“不法之徒”所破解。为了提高FTP服务器的安全性，必须强制用户设置复杂的账号密码。

在本地安全设置窗口中，服务器托管依次展开“安全设置→账户策略→密码策略”，在右侧框体中找到“密码必须符合复杂性要求”项，双击打开后，选中“已启用”单选项，最后点击“确定”按钮。

然后，打开“密码长度最小值”项，为FTP账号密码设置最短字符限制。这样以来，密码的安全性就大大增强了。

3 账号登录限制

有些非法用户使用黑客工具，反复登录FTP服务器，来猜测账号密码。这是非常危险的，因此建议大家对账号登录次数进行限制。

依次展开“安全设置→账户策略→账户锁定策略”，服务器托管在右侧框体中找到“账户锁定阈值”项，双击打开后，设置账号登录的最大次数，如果超过此数值，账号会被自动锁定。接着打开“账户锁定时间”项，设置FTP账号被锁定的时间，账号一旦被锁定，超过这个时间值，才能重新使用。

通过服务器托管以上几步设置后，用户的FTP服务器就会更加安全，再也不用怕被非法入侵了。