首頁(yè) > 服務(wù)器 > Ftp服務(wù)器 > 正文

網(wǎng)管員安全訓練營(yíng)--讓FTP服務(wù)器更安全

2018-10-16 21:25:50
字體:
來(lái)源:轉載
供稿:網(wǎng)友

Windows 2000系統的IIS5.0提供 了FTP服務(wù)功能,由于它的簡(jiǎn)單易用,與Windows系統本身結合緊密,深受廣大用戶(hù)的喜愛(ài)。但使用IIS5.0架設的FTP服務(wù)器真的安全嗎?它的默認設置其實(shí)存在很多安全隱患,很容易成為黑客們的攻擊目標。如何讓FTP服務(wù)器更加安全,只要我們稍加改造,就能做到。

一 取消匿名訪(fǎng)問(wèn)功能

默認情況下,Windows 2000系統的FTP服務(wù)器是允許匿名訪(fǎng)問(wèn)的,雖然匿名訪(fǎng)問(wèn)為用戶(hù)上傳、下載文件提供方便,但卻存在極大的安全隱患。用戶(hù)不需要申請合法的賬號,就能訪(fǎng)問(wèn)你的FTP服務(wù)器,甚至還可以上傳、下載文件,特別對于一些存儲重要資料的FTP服務(wù)器,很容易出現泄密的情況,因此建議用戶(hù)取消匿名訪(fǎng)問(wèn)功能。

在Windows 2000系統中,點(diǎn)擊“開(kāi)始→程序→管理工具→Internet服務(wù)管理器”,彈出管理控制臺窗口。然后展開(kāi)窗口左側的本地計算機選項,就能看到IIS5.0自帶的FTP服務(wù)器,下面筆者以默認FTP站點(diǎn)為例,介紹如何取消匿名訪(fǎng)問(wèn)功能。

右鍵點(diǎn)擊“默認FTP站點(diǎn)”項,在右鍵菜單中選擇“屬性”,接著(zhù)彈出默認FTP站點(diǎn)屬性對話(huà)框,切換到“安全賬號”標簽頁(yè),取消“允許匿名連接”前的勾選,最后點(diǎn)擊“確定”按鈕,這樣用戶(hù)就不能使用匿名賬號訪(fǎng)問(wèn)FTP服務(wù)器了,必須擁有合法賬號。

二 啟用日志記錄

Windows日志記錄著(zhù)系統運行的一切信息,但很多管理員對日志記錄功能不夠重視,為了節省服務(wù)器資源,禁用了FTP服務(wù)器日志記錄功能,這是萬(wàn)萬(wàn)要不得的。FTP服務(wù)器日志記錄著(zhù)所有用戶(hù)的訪(fǎng)問(wèn)信息,如訪(fǎng)問(wèn)時(shí)間、客戶(hù)機IP地址、使用的登錄賬號等,這些信息對于FTP服務(wù)器的穩定運行具有很重要的意義,一旦服務(wù)器出現問(wèn)題,就可以查看FTP日志,找到故障所在,及時(shí)排除。因此一定要啟用FTP日志記錄。

在默認FTP站點(diǎn)屬性對話(huà)框中,切換到“FTP站點(diǎn)”標簽頁(yè),一定要確保“啟用日志記錄”選項被選中,這樣就可以在“事件查看器”中查看FTP日志記錄了。

三 正確設置用戶(hù)訪(fǎng)問(wèn)權限

每個(gè)FTP用戶(hù)賬號都具有一定的訪(fǎng)問(wèn)權限,但對用戶(hù)權限的不合理設置,也能導致FTP服務(wù)器出現安全隱患。如服務(wù)器中的CCE文件夾,只允許CCEUSER賬號對它有讀、寫(xiě)、修改、列表的權限,禁止其他用戶(hù)訪(fǎng)問(wèn),但系統默認設置,還是允許其他用戶(hù)對CCE文件夾有讀和列表的權限,因此必須重新設置該文件夾的用戶(hù)訪(fǎng)問(wèn)權限。

右鍵點(diǎn)擊CCE文件夾,在彈出菜單中選擇“屬性”,然后切換到“安全”標簽頁(yè),首先刪除Everyone用戶(hù)賬號,接著(zhù)點(diǎn)擊“添加”按鈕,將CCEUSER賬號添加到名稱(chēng)列表框中,然后在“權限”列表框中選中修改、讀取及運行、列出文件夾目錄、讀取和寫(xiě)入選項,最后點(diǎn)擊“確定”按鈕。這樣一來(lái),CCE文件夾只有CCEUSER用戶(hù)才能訪(fǎng)問(wèn)。

四 啟用磁盤(pán)配額

FTP服務(wù)器磁盤(pán)空間資源是寶貴的,無(wú)限制的讓用戶(hù)使用,勢必造成巨大的浪費,因此要對每位FTP用戶(hù)使用的磁盤(pán)空間進(jìn)行限制。下面筆者以CCEUSER用戶(hù)為例,將其限制為只能使用100M磁盤(pán)空間。

在資源管理器窗口中,右鍵點(diǎn)擊CCE文件夾所在的硬盤(pán)盤(pán)符,在彈出的菜單中選擇“屬性”,接著(zhù)切換到“配額”標簽頁(yè)(如圖2),選中“啟用配額管理”復選框,激活“配額”標簽頁(yè)中的所有配額設置選項,為了不讓某些FTP用戶(hù)占用過(guò)多的服務(wù)器磁盤(pán)空間,一定要選中“拒絕將磁盤(pán)空間給超過(guò)配額限制的用戶(hù)” 復選框。
然后在“為該卷上的新用戶(hù)選擇默認配額限制”框中選擇“將磁盤(pán)空間限制為”單選項,接著(zhù)在后面的欄中輸入100,磁盤(pán)容量單位選擇為“MB”,然后進(jìn)行警告等級設置,在“將警告等級設置為”欄中輸入“96”, 容量單位也選擇為“MB”,這樣就完成了默認配額設置。此外,還要選中“用戶(hù)超出配額限制時(shí)記錄事件”和“用戶(hù)超過(guò)警告等級時(shí)記錄事件”復選框,以便將配額告警事件記錄到Windows日志中。


點(diǎn)擊配額標簽頁(yè)下方的“配額項”按鈕,打開(kāi)磁盤(pán)配額項目對話(huà)框,接著(zhù)點(diǎn)擊“配額→新建配額項”,彈出選擇用戶(hù)對話(huà)框,選中CCEUSER用戶(hù)后,點(diǎn)擊“確定”按鈕,接著(zhù)在“添加新配額項”對話(huà)框中為CCEUSER用戶(hù)設置配額參數,選擇“將磁盤(pán)空間限制為” 單選項,在后面的欄中輸入“100”,接著(zhù)在“將警告等級設置為”欄中輸入“96”,它們的磁盤(pán)容量單位為“MB”,最后點(diǎn)擊“確定”按鈕,完成磁盤(pán)配額設置,這樣CCEUSER用戶(hù)就只能使用100 MB磁盤(pán)空間,超過(guò)96MB就會(huì )發(fā)出警告。

五 TCP/IP訪(fǎng)問(wèn)限制

為了保證FTP服務(wù)器的安全,我們還可以拒絕某些IP地址的訪(fǎng)問(wèn)。在默認FTP站點(diǎn)屬性對話(huà)框中,切換到“目錄安全性”標簽頁(yè),選中“授權訪(fǎng)問(wèn)”單選項(如圖3),然后在“以下所列除外”框中點(diǎn)擊“添加”按鈕,彈出“拒絕以下訪(fǎng)問(wèn)”對話(huà)框,這里我們可以拒絕單個(gè)IP地址或一組IP地址訪(fǎng)問(wèn),以單個(gè)IP地址為例,選中“單機”選項,然后在“IP地址”欄中輸入該機器的IP地址,最后點(diǎn)擊“確定”按鈕。這樣添加到列表中的IP地址都不能訪(fǎng)問(wèn)FTP服務(wù)器了。

六 合理設置組策略

通過(guò)對組策略項目的修改,也可以增強FTP服務(wù)器的安全性。在Windows 2000系統中,進(jìn)入到“控制面板→管理工具”,運行本地安全策略工具。

1. 審核賬戶(hù)登錄事件

在本地安全設置窗口中,依次展開(kāi)“安全設置→本地策略→審核策略”,然后在右側的框體中找到“審核賬戶(hù)登錄事件”項目(如圖4),雙擊打開(kāi)該項目,在設置對話(huà)框中選中“成功”和“失敗”這兩項,最后點(diǎn)擊“確定”按鈕。該策略生效后,FTP用戶(hù)的每次登錄都會(huì )被記錄到日志中。

2. 增強賬號密碼的復雜性

一些FTP賬號的密碼設置的過(guò)于簡(jiǎn)單,就有可能被“不法之徒”所破解。為了提高FTP服務(wù)器的安全性,必須強制用戶(hù)設置復雜的賬號密碼。

在本地安全設置窗口中,依次展開(kāi)“安全設置→賬戶(hù)策略→密碼策略”,在右側框體中找到“密碼必須符合復雜性要求”項,雙擊打開(kāi)后,選中“已啟用”單選項,最后點(diǎn)擊“確定”按鈕。

然后,打開(kāi)“密碼長(cháng)度最小值”項,為FTP賬號密碼設置最短字符限制。這樣以來(lái),密碼的安全性就大大增強了。

3. 賬號登錄限制

有些非法用戶(hù)使用黑客工具,反復登錄FTP服務(wù)器,來(lái)猜測賬號密碼。這是非常危險的,因此建議大家對賬號登錄次數進(jìn)行限制。


依次展開(kāi)“安全設置→賬戶(hù)策略→賬戶(hù)鎖定策略”,在右側框體中找到“賬戶(hù)鎖定閾值”項,雙擊打開(kāi)后,設置賬號登錄的最大次數,如果超過(guò)此數值,賬號會(huì )被自動(dòng)鎖定。接著(zhù)打開(kāi)“賬戶(hù)鎖定時(shí)間”項,設置FTP賬號被鎖定的時(shí)間,賬號一旦被鎖定,超過(guò)這個(gè)時(shí)間值,才能重新使用。

通過(guò)以上幾步設置后,我們的FTP服務(wù)器就會(huì )更加安全,再也不用怕被非法入侵了。

發(fā)表評論 共有條評論
用戶(hù)名: 密碼:
驗證碼: 匿名發(fā)表