四大策略有效保护FTP服务器口令的安全
由于FTP服务器常被用来做文件上传与下载的工具,所以,其安全的重要性就不同一般。因为若其被不法攻击者攻破的话,不但FTP服务器上的文件可能被破坏或者窃取;更重要的是,若它们在这些文件上下病毒、木马,则会给全部的FTP用户带来潜在的威胁。所以,保护FTP服务器的安全已经迫在眉睫。
而要保护FTP服务器,就要从保护其口令的安全做起。这里就谈谈常见的FTP服务器具有的一些口令安全策略,帮助大家一起来提高FTP服务器的安全性。
策略一:口令的期限
有时候,FTP服务器不仅会给员工用,而且还会临时给一个账号给外部的合作伙伴使用。如销售部门经常会因为一些文件比较大,无法通过电子邮件发送,需要通过FTP 服务器把文件传递给客户。所以,在客户或者供应商需要一些大文件的时候,就得给他们一个FTP服务器的临时帐号与密码。
现在的做法就是,在FTP服务器设置一个账号,但是,其口令则是当天有效,第二天就自动失效。如此的话,当客户或者供应商需要使用FTP服务器的话,只需要更改一些密码即可。而不需要每次使用的时候,去创建一个用户;用完后再把它删除。同时,也可以避免因为没有及时注销临时帐户而给服务器带来安全上的隐患,因为口令会自动失效。
大多数FTP服务器,如微软操作系统自带的FTP服务器软件,都具有口令期限管理的功能。一般来说,对于临时的帐户,就可以跟帐户与口令的期限管理一起,来提高临时帐户的安全性。而对于内部用户来说,也可以通过期限管理,来督促员工提高密码更改的频率。
策略二:口令必须符合复杂性规则
现在由不少银行,为了用户帐户的安全,进行了一些密码的复杂性认证。如诸如888888等形式的密码,已经不在被接受。从密码学上来说,这种形式的密码是非常危险的。因为他们可以通过一些密码破解工具,如密码电子字典等等,非常轻松的进行破解。
故为了提高口令本身的安全性,最简单的就是提高密码的复杂程度。在FTP服务器中,可以通过口令复杂性规则,强制用户采用一些安全级别比较高的口令。具体的来说,可以进行如下的复杂性规则设定。
1、不能以纯数字或者纯字符作为密码
若黑客想破解一个FTP服务器的帐号,其所用的时间直接跟密码的组成相关。如现在由一个八位数字的密码,一个是纯数字组成的,另外一个是数字与字符的结合。如分别为82372182与32dwl98s这两个密码看起来差不多,可是对与密码破解工具来说,就相差很大。前面这个纯数字的密码,通过一些先进的密码破解工具,可能只需要24个小时就可以破解;可是,对于后面这个字母与数字结合的密码,则其破解就需要2400个小时,甚至更多。其破解难度比原先那个起码增加了100倍。
可见,字符与数字结合的口令,其安全程度是相当高的。为此,我们可以在FTP服务器上进行设置,让其不接受纯数字或者纯字符的口令设置。
2、口令不能与用户名相同
其实,我们都知道,很多时候服务器被攻破都是因为管理不当所造成的。而用户名与口令相同,则是FTP服务器最不安全的因素之一。
很多用户,包括网络管理员,为了容易记忆与管理,他们喜欢把密码跟用户名设置为一样。这虽然方便了使用,但是,很明显这是一个非常不安全的操作。根据密码攻击字典的设计思路,其首先会检查FTP服务器其帐户的密码是否为空;若不为空,则其会尝试利用用户名相同的口令来进行破解。若以上两个再不行的话,则其再尝试其他可能的密码构成。
所以,在黑客眼中,若口令跟用户名相同,则相当于没有设置口令。为此,在FTP服务器的口令安全策略中,也要把禁止口令与密码一致这个原则强制的进行实现。
3、密码长度的要求
虽然说口令的安全跟密码的长度不成正比,但是,一般来说,口令长总比短好。如对于随机密码来说,破解7位的口令要比破解5位的口令难度增加几十倍,虽然说,其口令长度只是增加了两位。
策略三:口令历史纪录
为了提高FTP服务器的安全,则为用户指定一个不能重复口令的时间间隔,这也是非常必要的。如FTP服务器中有一个文件夹,是专门用来存放客户的订单信息,这方便相关人员在出差的时候,可以及时的看到这方面的内容。这个文件夹中的资料是属于高度机密的。若这些内容泄露出去的话,则企业可能会失去大量的订单,从而给企业带来致命的影响。
所以,对于存放了这么敏感资料的FTP服务器,在安全性方面是不敢小视。为此,就启用了口令历史纪录功能。根据这个策略,用户必须每隔一个星期更改一次FTP服务器密码。同时,用户在60天之内,不能够重复使用这个密码。也就是说,启用了口令历史纪录功能之后,FTP服务器会纪录用户两个月内使用过的密码。若用户新设置的密码在两个月内用过的话,则服务器就会拒绝用户的密码更改申请。
可见,口令历史纪录功能可以在一定程度上提高FTP服务器口令的安全性。
策略四:账户锁定策略
从理论上来说,再复杂的密码,也有被电子字典攻破的可能。为此,我们除了要采用以上这些策略外,还需要启用“帐户锁定策略”。这个策略可以有效的避免不法之徒的密码攻击。
帐户锁定策略是指当一个用户超过了指定的失败登陆次数时,服务器就会自动的锁定这个帐号,并向管理员发出警告。通过这个策略,当不法人士试图尝试不同的口令登陆FTP服务器时,由于其最多只能够尝试三次(假如管理员设置失败的登陆次数最多为3),则这个帐号就会被锁定。这就会让他们的密码攻击无效。
在采用帐户锁定策略时,需要注意几个方面的内容。
一是采用手工解禁还是自动解禁。若采用手工解禁的话,则被锁住的账户必须有管理员手工解禁。而若设置为自动解禁的话,则当帐户锁住满一定期限的时候,服务器会自动帮这个帐号进行解锁。若对于服务器的安全性要求比较高的话,则建议采用手工解禁的方式比较好。
二是错误登陆的次数设置。若这个次数设置的太多,不能够起到保护的作用。若设置的太少的话,则用户可能因为疏忽密码输入错误,而触发帐户锁定,从而给服务器管理员凭空增加不少的工作量。为此,一般可以把这个次数设置为三到五次。这既可以保证安全性的需要,而且也给用户密码输入错误提供了一定的机会。
三是遇到帐户锁定情况时,要能够自动向服务器管理员发出警报。因为作为FTP服务器来说,其不能够辨别这是恶意攻击事件还是一个偶然事件。这需要服务器管理员根据经验来进行判断。FTP服务器只能够提供暂时的保护作用。所以,当出现帐户锁定的情况时,服务器要能够向管理员发出警报,让其判断是否存在恶意攻击。若存在的话,则就需采取相应的措施来避免这种情况的再次发生。
通过以上四种策略,基本上可以保障FTP服务器口令的安全。
在我们关于SQL服务器安全系列的这文章里 我们的目标是向你提供安全安装SQL服务器所需要的工具和信心 这样的话 你有价值的数据就会受到保护 避免无意或者有意的破坏或者窃取 在本文里 我们会深入一些基础的概念 在保护数据库安全的时候 你需要利用下面这些概念 登录 用户 角色 以及组 确定谁在请求访问数据或者SQL服务器里其他信息等看上去很简单的过程 都需要用到所有这些概念 登录登录规定了哪些用户能够连接到安装好的SQL服务器上——这不是某个特定的数据库 而是而是整个服务器 登录有两种不同的形式 Windows集成的登录 它会授权特定的Windows用户或者组使用它们的Windows信任书进行连接 SQL服务器登录 它会授权用户使用由SQL服务器保存的用户名和密码进行连接 你应该使用哪一种?Windows集成登录肯定要比SQL服务器登录更加高效和更方便 因为用户只需要登录一次——在网络这一层 单独登录到服务器是没有必要的 因为SQL服务器会自动地处理(在后台)Windows登录 从而允许到服务器的访问 只有在服务器运行在Windows NT或者 上的时候 对Windows登录的支持才有效 安装在Windows 上的服务器必须要依赖SQL服务器登录 如果你正在运行Windows 而且最终需要支持原有的应用程序 那么就要记住 SQL服务器登录只有在混合模式下才可用 设计上的考虑在设计自己数据库的时候 你需要考虑登录的方法——而且要在你真正开始保证最终产品的安全之前 你应该知道服务器使用的是哪种授权方式 那些还在Window 上使用服务器的人可能现在就要考虑升级 如果安全是一个很重要的问题的话 那样的话 他们就可以使用Windows集成的安全(策略) 另外一个设计问题是知道谁拥有访问权 他们能够访问什么数据 以及他们是否能够对对象和数据进行更改 你不用真的列出其名字 你只需要利用工具有效地帮助用户就行了 最后 你应该使用系统的存储过程来管理安全 SQL服务器提供了两种存储过程 用于登录的管理 ◆sp_addlogi——在使用SQL服务器验证保护你服务器安全的时候要使用这个存储过程 具体的说 这个存储过程会创建一个新的SQL服务器登录 它允许用户使用SQL服务器验证连接到SQL服务器的实例上 ◆sp_grantlogin——这个存储过程允许Windows 的用户或者组帐号使用Windows验证连接到微软的SQL服务器上 只有sysadmin或者securityadmin固有服务器角色的成员能够执行这两个存储过程 什么是系统存储过程?系统存储过程是一个内置的存储过程 它能够帮助你管理服务器 你可以在MSDN库里找到一长串的系统存储过程 SQL服务器文献在线囊括了每个系统存储过程的所有句法细节和使用示例 用户登录属于服务器 而用户则属于数据库 用户ID会识别特定数据库的特定用户 而且 用户对于数据库来说是专门的——也就是说 Northwind数据库里Fred这个用户同公共数据库里Fred那个用户是不同的 尽管这两个Fred可能和同一个登录相关联 当你在数据库里创建一个用户的时候 你就将一个特定的登录同这个用户关联起来了 对于这个数据库而言 登录具有这个用户的权限 尽管登录所用的ID不需要和用户ID相同 但是在通常情况下 如果你保持这样的惯例 那么事情就会更少让人糊涂 如果登录在数据库里没有相关联的用户 那么用户能够通过特殊的来宾用户帐号连接到该数据库 特殊用户所有的用户都不是数据库里的常住人口 而且不能保证用户帐号就是他们自己的 在希望用户临时访问数据库的时候 你可以使用来宾用户帐号 它可以不使用常规的用户帐号而登录访问服务器 来宾用户的登录必须拥有访问数据库的权限 而且数据库必须设有来宾用户帐号 一旦进了数据库 来宾用户会被限制到只能进行来宾用户帐号所指定的活动 但是 来宾用户帐号在一个刚刚创建的数据库里不是缺省就存在的 (数据库的)所有者或者系统管理员必须创建这样一个帐号 除了来宾用户 你还需要考虑数据库的所有者(DBO) 他是创建数据库的用户 数据库的所有者或者系统管理员必须赋予(其他人)权限 才能让他们在数据库创建其它的对象 为了向数据库里添加数据 你要运行sp_grantdbaccess 这个存储过程会在数据库里创建一个和指定登录相对应的用户 只有sysadmin固有服务器角色 db_accessadmin角色 以及db_owner固有服务器角色的成员才能够执行sp_grantdbaccess 角色角色让你将用户集中到一起 以利于更简单的管理 就像用户一样 角色也是数据库的对象 例如 你可以在自己的采购数据库里定义一个 销售 角色 并让所有的产品所有销售人员都成为这个角色的成员 如果你随后赋予这个 销售 角色许可 那么这些许可会自动地应用于该角色的所有成员上 此外 一个用户可以是多个角色的成员 有三种类型的角色 ◆公共——这个角色会为所有的用户设置缺省的基本许可 所有的用户都会被分配公共角色 ◆服务器——服务器角色适用于整个服务器 ◆数据库——这些角色适用于专门的数据库 服务器和数据库角色都有预先定义的类别 我们把它们列在表格A里 表格 A lishixinzhi/Article/program/SQLServer/201311/22168
服务器的维护,就是指为服务器的硬件和软件排除故障和最大程度避免外力的干扰,保障其正常稳定的运行。首先是定期修改密码权限,一般独立服务器商提供的操作系统和登录后台是已设置好的密码,通常来说是默认密码,然后再交给企业用户。在重装系统后,用户应该第一时间对密码进行修改,之后也需要定期更换密码,这样不仅保护网站数据安全,也有效保证独立服务器不被入侵。第二点、不轻易更改防火墙一般提供商提供独立服务器时,也会对防火墙进行相应设置,这种设置大多会根据企业业务和网站规模来调整。用户在对防火墙进行更改时,不要随意对端口进行修改,避免独立服务器的非正常使用。锐讯网络有专业技术团队,为你的服务器保驾护航,247小时待命。
0条评论