扫二维码与项目经理沟通
我们在微信上24小时期待你的声音
解答本文疑问/技术咨询/运营咨询/技术建议/互联网交流
为了方便员镇岁嫌工之间相互交流和传输信息,不少单位都利用Windows服务器系统自带的FTP功能架设了FTP服务器,这样一来员工就能把自己的信息上传到FTP服务器中让其他人下载使用了。不过,不同部门的员工共享使用同一台FTP服务器,往往会存在部门信息被轻易外泄的危险;为了有效避免这种风险,让FTP服务器共享访问更安全,我们可以从设置出发,来让不同部门的员工访问FTP服务器时只能看到本部门的信息,而不能看到其他部门的信息,这样一来就能实现多部门、多用户共享使用FTP服务器的目的了!
创新互联公司长期为近1000家客户提供的网站建设服务,团队从业经验10年,关注不同地域、不同群体,并针对不同对象提供差异化的产品和服务;打造开放共赢平台,与合作伙伴共同营造健康的互联网生态环境。为镇巴企业提供专业的成都做网站、网站制作,镇巴网站改版等技术服务。拥有10年丰富建站经验和众多成功案例,为您定制开发。
架设FTP服务器
假设某单位为了便于统一管理FTP服务器,希望能让不同的部门共享使用相同的一台FTP服务器,并希望不同部门用户登录进FTP服务器后,只能访问到本部门上传发布的信息,并且仅对这些信息进行读取或修改,而不能看到其他部门的上传信息。比方说,我们假设指定“D:\aaa”文件夹作为单位FTP服务器的主目录,并在该目录下创建两个名称分别为“bbb”与“ccc”的文件夹,现在我们要让B部门的员工以“bbb”用户帐号登录FTP服务器时,只能访问和读取“bbb” 文件夹中的信息,而不能看到和访问“ccc” 文件夹中的信息,那样一来多部门共享一台FTP服务器的安全性就能得到有效保证了。要实现上面的设置目的,我们不妨按照如下步骤进行设置:
首先以超级管理员身份登录进FTP服务器所在的主机系统,并在该系统桌面中用鼠标逐一单击“开始”、“设置”、“控制面板”命令,在其后弹出的窗口中用鼠标双击“管理工具”图标,之后再双击“计算机管理”图标,打开主机系统的计算机管理窗口;在该管理窗口的左侧显示区域,用鼠标依次展开“本地用户和组”/“用户”分支选项,打开计算机用户管理窗口,在该窗口的右侧空白区域单御手击鼠标右键,从弹出的右键菜单中执行“用户”命令,来为B部门和C部门的员工分别创建好登录FTP服务器的用户帐号名称“bbb”和“ccc”,同时为这两个用户帐号设置好合适的密码信息。
接着打开服务器系统的资源管理器窗口,找到该主机D盘下雀芹面的“aaa”文件夹,然后用鼠标双击该文件夹图标,在其后的文件夹窗口中用鼠标右击空白区域,并依次执行快捷菜单中的“新建”/“文件夹”命令,来在“aaa”文件夹下面分别创建好“bbb”与“ccc”文件夹,这两个文件夹就作为B部门和C部门员工的信息上传目录。
下面返回到服务器系统桌面中,并依次单击“开始”/“设置”/“控制面板”命令,在其后的窗口中用鼠标依次双击“管理工具”、“Internet服务管理器”图标,打开Internet信息服务窗口,在该窗口的左侧显示区域,用鼠标右键单击服务器主机名称,从弹出的快捷菜单中依次执行“新建”/“FTP站点”命令,然后在弹出的向导窗口中依照提示(如图1所示), 设置好FTP服务器的站点名称、IP地址,以及指定好FTP站点所用的主目录路径,这样就能顺利完成FTP服务器站点的架设操作了。
小提示:当我们在Internet信息服务窗口的左侧显示区域中无法找到“FTP站点”选项时,那表明当前服务器系统还没有安装FTP文件传输协议功能,此时我们可以按照前面步骤打开系统的控制面板窗口,并在其中双击“添加/删除程序”命令,然后选择“添加/删除Windows组件”项目,打开Windows组件安装向导窗口;选中该窗口列表中的“应用程序服务器”选项,并单击“详细信息”按钮,之后选中应用程序服务器列表窗口中的“Internet信息服务(IIS)”子组件,再单击一下“详细信息”按钮,打开如图2所示的列表界面, 选中其中的“文件传输协议(FTP)服务”,最后单击“确定”按钮,那样一来服务器系统的FTP文件传输协议功能就能被正确安装成功了。
其安全性主要包括以下几个方面:
一、 未经授权的用户禁止在服务器上进行FTP操作。
二、 FTP用户不能读取未经系统所有者允许的文件或目录。
三、 未经允许,FTP用户不能在服务器上建立文件或目录。
四、 FTP用户不能删除服务器上的文件或目录。
FTP服务器采取了一些验明用户身份的办法来解决上述第一个问题,主要包括以下几个罩物措施:
FTP主目录:将这个目录的所有者设为"FTP",并且将属性设为所有的用户都不可写,防止不怀好意的用户删改文件。
FTP/bin目录:该目录主要放置一些系统文件,应将这个目录的所有者设为"root"(即超级用户),并且将属性设为所有的用户都不可写。为保证合法用户可显示文件,应将目录中的ls文件属性设为可执行。
FTP/etc目录:将这个目录的所有者设为"root",并且将属性设为所有的用户都不可写。将目录下的group文件和passwd文件的属性设为所有用户只读属性,并用编辑器将passwd文件中用户加过密的口令删掉。
###NextPage### FTP/pub目录:将这个目录的所有者置为"FTP",并且将它的属性设为所有用户均可读、写、执行。
这样经过设置,既保证了系统文件不被删改,又保证了FTP合法用户的正常访问。
作为Internet上的FTP服务器,系统的手闷雀安全性是非常重要的,这是建立FTP服务器者所考虑的第一个问题。其安全性主要包括以下几个方面:
一、 未经授权的用户禁止在服务器上进行FTP操作。
二、 FTP用户不能读取未经系统所有者允许的文件或目录。
三、 未经允许,FTP用户不能在服务器上建立文件或目录。
四、 FTP用户不能删除服务器上的文件或目录。
FTP服务器采取了一些验明用户身份的办法来解决上述第一个问题,主要包括以下几个措施:
FTP主目录:将这个目录的所有者设为"FTP",并且将属性设为所有的用户都不可写,防止不怀好意的用户删改文件。
FTP/bin目录:该目录主要放置一些系统文件,应将这个目录的所有者设为"root"(即超级用户),并且将属性设为所有的用户都不可写。为保证合法用户可显示文件,应将目录中的ls文件属性设为可执行。
FTP/etc目录:将这个目录的所有者设为"root",并且将属性设为所有的用户都不可写。将目录下的group文件和passwd文件的属性设为所有用户只读属性,并用编辑器将passwd文件中用户加过密的口令删掉。
FTP/pub目录:将这个目录的所有者置为"FTP",并且将它的属性设为所有用户均可读、写、执行。
这样经过设置,既保证了系统文件不被删改,又保毕早证了FTP合法用户的正常访问。
由于FTP服务器常被用来做文件上传与下载的工具,所以,其安全的重要性就不同一般。因为若其被不法漏早攻击者攻破的话,不但FTP服务器上的文件可能被破坏或者窃取;更重要的是,若它们在这些文件上下病毒、木马,则会给全部的FTP用户带来潜在的威胁。所以,保护FTP服务器的安全已经迫在眉睫。
而要保护FTP服务器,就要从保护其口令的安全做起。考试,大在这里就谈谈常见的FTP服务器具有的一些口令安全策略,帮助大家一起来提高FTP服务器的安全性。
策略一:口令的期限
有时候,FTP服务器不仅会给员工用,而且还会临时给一个账号给外部的合作伙伴使用。如考试,大在FTP服务器管理的时候,销售部门经常会因为一些文件比较大,无法通过电子邮件发送,需要通过FTP 服务器把文件传递给客户。所以,在客户或者供应商需要一些大文件的时候,考试,大就得给他们一个FTP服务器的临时帐号与密码。
现在的做法就是,在FTP服务器设置一个账号,但是,其口令则是当天有效,第二天就自动失效。如此的话,当客户或者供应商需要使用FTP服务器的话,我只需要更改一些密码即可。而不需要每次使用的时候,去创建一个用户;用完后再把它删除。同时,也可以避免因为没有及时注销临时帐户而给服务器带来安全上的隐患,因为口令会自动失效。
大多数FTP服务器,如微软操作系统自带的FTP服务器软件,都具有口令期限管理的功能。一般来说,对于临时的帐户,就可以跟帐户与口令的期限管理一起,来提高临时帐户的安全性。而对于内部用户来说,也可以通过期限管理,来督促员工提高密码更改的频率。
策略二:口令必须符合复杂性规则
现在由不少银行,为了用户帐户的安全,进行了一些密码的复杂性认证。如诸如888888等形式的密码,已经不在被接受。从密码学上来说,这种形式的密码是非常危险的。因为他们可以通过一些密码破解工具,如密码电子字典等等,非常轻松的进行破解。
故为了提高口令本身的安全性,最简单的就是提高密码的复杂程度。在FTP服务器中,可以通过口令复杂性规则,强制用户采用一些安全级别比较高的口令。具体的来说,可以进行如下的复杂性规则设定。
1、不能以纯数字或者纯字符作为密码
若黑客想破解一个FTP服务器的帐号,其所用的时间直接跟密码的组成相关。如现在由一个八位数字的密码,一个是纯数字组成的,另外一个是数字与字符的结合。如分别为82372182与32dwl98s。这两个密码看起来差不多,可是对与密码破解工具来说,就相差很大。前面这个纯数字的密码,通过一些先进的密码破解工具,可能只需要24个小时就可以破解;可是,对于后面这个字母与数字州唤结合的密码,则其破解就需要2400个小时,甚至更多。其破解难度比原先那个起码增加了100倍。
可见,字符与数字结合的口令,其安全程度是相当高的。为此,我们可以在FTP服务器上进行设置,让其不接受纯数字或者纯字符的口令设置。
2、口令不能与用户名相同
其实,我们都知道,很多时候服务器被攻破都是因为管理不当所造成的。而用户名与口令相同,则是FTP服务器最不安全的因素之一。
很多用户,包括网络管理员,为了容易记忆与管理,他们喜欢把密码跟用户名设置为一样。这虽然方便了使用,但是,很明显这是一个非常不安全的操作。根据密码攻击字典的设计思路,其首先会检查FTP服务器其帐户的密码是否为空;若不为空,则其会尝试利用用户名相同的口令来进行破解。若以上两个再不行的话,则其再尝试其他可能的密码构成。
所以,在黑客眼中,若口令跟用户名相同,则相当于没有设置口令。为此,在FTP服务器的口令安全策略中,也要把禁止口册搜凯令与密码一致这个原则强制的进行实现。
3、密码长度的要求
虽然说口令的安全跟密码的长度不成正比,但是,一般来说,口令长总比短好。如对于随机密码来说,破解7位的口令要比破解5位的口令难度增加几十倍,虽然说,其口令长度只是增加了两位。所以,在FTP服务器的口令策略中,强制用户的口令必须达到六位。若用户设置的口令低于六位的话,则服务器会拒绝用户密码更改的申请。
从两个方向去做:
一、禁止系统级别用户来登录FTP服务器。
为了提高FTP服务器的安全,系统管理员最好能够为员工设置单独的FTP帐号,而不要把系统级别的用户给普通用户来使用,这会带来很大的安全隐患。在VSFTP服务器中,可以通过配置文件vsftpd.ftpusers来管理登陆帐户。不过这个帐户是一个黑名单,列入这个帐户的人员将无法利用其帐户来登录FTP服务器。部署好VSFTP服务器后,我们可以利用vi命令来查看这个配置文件,发现其已经有了许多默认的帐户。其中,系统的超级用户root也在其中。可见出于安全的考虑,VSFTP服务器默认情况下就是禁止root帐户登陆FTP服务器的。如果系统管理员想让root等系统帐户登陆到FTP服务器,则知需要在这个配置文件中将root等相关的用户名删除即可。不过允许系统帐户登录FTP服务器,会对其安全造成负面的影响,为此我不建议系统管理员这么做。对于这个文件中相关的系统帐户管理员最好一个都不要改,保留这些帐号的设置。
如果出于其他的原因,需要把另外一些帐户也禁用掉,则可以把帐户名字加入到这个文件中即可。如在服务器上可能同时部署了FTP服务器与数据库服务器。那么为了安全起见,把数据库管理员的帐户列入到这个黑名单,是一个不错的做法。
二、加强对匿名用户的控制。
匿名用户是指那些在FTP服务器中没有定义相关的帐户,而FTP系统管理员为了便于管理,仍然需要他们进行登陆。但纤判是他们毕竟没有取得服务器的授权,为了提高服务器的安全性,必须要对他们的权限进行限制。在VSFTP服务器上也有很多参数可以用来控制匿名用户的权限。系统管理员需要根据FTP服务器的安全级别,来做好相关的配置工作。需要说明的是,匿名用户的权限控制的越严格,FTP服务器的安全性越高,但是同时用户访问的便利性也会降低。故最终系统管理员还是带竖裤需要在服务器安全性与便利性上取得一个均衡。
下面是我推荐的几个针对匿名用户的配置,大家若不清楚该如何配置的话,可以参考这些配置。这些配置兼顾了服务器的安全与用户的使用便利。
一是参数anon_world_readable_only。这个参数主要用来控制匿名用户是否可以从FTP服务器上下载可阅读的文件。如果FTP服务器部署在企业内部,主要供企业内部员工使用的话,则最好把这个参数设置为YES。然后把一些企业常用表格等等可以公开的文件放置在上面,让员工在匿名的情况下也可以下载这些文件。这即不会影响到FTP服务器的安全,而且也有利于其他员工操作的便利性上。
二是参数anon_upload_enable。这个参数表示匿名用户能否在匿名访问的情况下向FTP服务器上传文件。通常情况下,应该把这个参数设置为No。即在匿名访问时不允许用户上传文件。否则的话,随便哪个人都可以上传文件的话,那对方若上传一个病毒文件,那企业不是要遭殃了。故应该禁止匿名用户上蠢简传文件。但是这也有例外。如有些企业通过FTP协议来备份文件。此时如果企业网络的安全性有所保障的话,可以把这个参数设置为YES,即允许操作系统调用FTP命令往FTP服务器上备份文件。
谢谢,这是我的回答。
我们在微信上24小时期待你的声音
解答本文疑问/技术咨询/运营咨询/技术建议/互联网交流