FTP服务器首先是基于 *** 作系统而运作的,因而 *** 作系统本身的安全性就决定了FTP服务器安全性的级别。虽然Windows 98/Me一样可以架设FTP服务器,但由于其本身的安全性就不强,易受攻击,因而最好不要采用。Windows NT就像鸡肋,不用也罢。最好采用Windows 2000及以上版本,并记住及时打上补丁。至于Unix、Linux,则不在讨论之列。
二、使用防火墙
端口是计算机和外部网络相连的逻辑接口,也是计算机的第一道屏障,端口配置正确与否直接影响到主机的安全,一般来说,仅打开你需要使用的端口,将其他不需要使用的端口屏蔽掉会比较安全。限制端口的方法比较多,可以使用第三方的个人防火墙,这里只介绍Windows自带的防火墙设置方法。
1利用TCP/IP筛选功能
在Windows 2000和Windows XP中,系统都带有TCP/IP筛选功能,利用它可以简单地进行端口设置。以Windows XP为例,打开本地连接的属性,在常规选项中找到Internet协议(TCP/IP),双击它打开该协议的属性设置窗口。点击右下方的高级按钮,进入高级TCP/IP设置。在选项中选中TCP/IP筛选并双击进入其属性设置。这里我们可以设置系统只允许开放的端口,假如架设的FTP服务器端口为21,先选中启用TCP/IP筛选(所有适配器),再在TCP端口选项中选择只允许,点添加,输入端口号21,确定即可。这样,系统就只允许打开21端口。要开放其他端口,继续添加即可。这可以有效防止最常见的139端口入侵。缺点是功能过于简单,只能设置允许开放的端口,不能自定义要关闭的端口。如果你有大量端口要开放,就得一个个地去手工添加,比较麻烦。
2打开Internet连接防火墙
对于Windows XP系统,自带了Internet连接防火墙功能,与TCP/IP筛选功能相比,设置更方便,功能更强大。除了自带防火墙端口开放规则外,还可以自行增删。在控制面板中打开网络连接,右击拨号连接,进入高级选项卡,选中通过限制或阻止来自Internet的对此计算机的访问来保护我的计算机和网络,启用它。系统默认状态下是关闭了FTP端口的,因而还要设置防火墙,打开所使用的FTP端口。点击右下角的设置按钮进入高级设置,选中FTP服务器,编辑它。由于FTP服务默认端口是21,因而除了IP地址一栏外,其余均不可更改。在IP地址一栏中填入服务器公网ip,确定后退出即可即时生效。如果架设的FTP服务器端口为其他端口,比如22,则可以在服务选项卡下方点添加,输入服务器名称和公网IP后,将外部端口号和内部端口号均填入22即可。
三、对IIS、Serv-u等服务器软件进行设置
除了依靠系统提供的安全措施外,就需要利用FTP服务器端软件本身的设置来提高整个服务器的安全了。
1IIS的安全性设置
1)及时安装新补丁
对于IIS的安全性漏洞,可以说是有口皆碑了,平均每两三个月就要出一两个漏洞。所幸的是,微软会根据新发现的漏洞提供相应的补丁,这就需要你不断更新,安装最新补丁。
2)将安装目录设置到非系统盘,关闭不需要的服务
一些恶意用户可以通过IIS的溢出漏洞获得对系统的访问权。把IIS安放在系统分区上,会使系统文件与IIS同样面临非法访问,容易使非法用户侵入系统分区。另外,由于IIS是一个综合性服务组件,每开设一个服务都将会降低整个服务的安全性,因而,对不需要的服务尽量不要安装或启动。
FTP最大的安全漏洞在于其默认传输密码的过程是明文传送,很容易被人嗅探到。而IIS又是基于Windows用户账户进行管理的,因而很容易泄漏系统账户名及密码,如果该账户拥有一定管理权限,则更会影响到整个系统的安全。设置为只允许匿名连接,可以免却传输过程中泄密的危险。进入默认FTP站点,在属性的安全账户选项卡中,将此选项选中。
4)谨慎设置主目录及其权限
IIS可以将FTP站点主目录设为局域网中另一台计算机的共享目录,但在局域网中,共享目录很容易招致其他计算机感染的病毒攻击,严重时甚至会造成整个局域网瘫痪,不到万不得已,最好使用本地目录并将主目录设为NTFS格式的非系统分区中。这样,在对目录的权限设置时,可以对每个目录按不同组或用户来设置相应的权限。右击要设置的目录,进入共享和安全→安全中设置,如非必要,不要授予写入权限。
5)尽量不要使用默认端口号21
启用日志记录,以备出现异常情况时查询原因。
2Serv-u的安全性设置
与IIS的FTP服务相比,Serv-u在安全性方面做得比较好。
1)对本地服务器进行设置
首先,选中拦截FTP_bounce攻击和XP。通常,当使用FTP协议进行文件传输时,客户端首先向FTP服务器发出一个PORT命令,该命令中包含此用户的IP地址和将被用来进行数据传输的端口号,服务器收到后,利用命令所提供的用户地址信息建立与用户的连接。大多数情况下,上述过程不会出现任何问题,但当客户端是一名恶意用户时,可能会通过在PORT命令中加入特定的地址信息,使FTP服务器与其它非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一特定机器,但是如果FTP服务器有权访问该机器的话,那么恶意用户就可以通过FTP服务器作为中介,仍然能够最终实现与目标服务器的连接。这就是FXP,也称跨服务器攻击。选中后就可以防止发生此种情况。
其次,在高级选项卡中,检查加密密码和启用安全是否被选中,如果没有,选择它们。加密密码使用单向Hash函数(MD5)加密用户口令,加密后的口令保存在ServUDaemon。ini或是注册表中。如果不选择此项,用户口令将以明文形式保存在文件中:启用安全将启动Serv-u服务器的安全成功。
2)对域中的服务器进行设置
前面说过,FTP默认为明文传送密码,容易被人嗅探,对于只拥有一般权限的账户,危险并不大,但如果该账户拥有远程管理尤其是系统管理员权限,则整个服务器都会被别人远程控制。Serv-u对每个账户的密码都提供了以下三种安全类型:规则密码、OTP S/KEY MD4和OTP S/KEY MD5。不同的类型对传输的加密方式也不同,以规则密码安全性最低。进入拥有一定管理权限的账户的设置中,在常规选项卡的下方找到密码类型下拉列表框,选中第二或第三种类型,保存即可。注意,当用户凭此账户登录服务器时,需要FTP客户端软件支持此密码类型,如CuteFTP Pro等,输入密码时选择相应的密码类型方可通过服务器验证。
与IIS一样,还要谨慎设置主目录及其权限,凡是没必要赋予写入等能修改服务器文件或目录权限的,尽量不要赋予。最后,进入设置源码天空Ubuntu自带的FTP服务器是vsftpd
1、安装vsftpd
sudo apt-get install vsftpd
安装了之后会在/home/下建立一个ftp目录。这时候你可以试着访问下ftp://IP地 址。应该可以看到一个空白内容的ftp空间。
默认设置下匿名用户可以下载,但不能写入或是上传
2、设置 vsftpdconf文件
现在我们要让匿名用户无法访问,并且得输入linux上的用户密码后才能访问到他们自己目录里的内容。
首先找到设置vsftpd的文件,位置在/etc/vsftpdconf
sudo gedit /etc/vsftpdconf
服务器的配置
1. 匿名服务器的连接(独立的服务器)
在/etc/vsftpd/vsftpdconf配置文件中添加如下几项:
Anonymous_enable=yes (允许匿名登陆)
Dirmessage_enable=yes (切换目录时,显示目录下message的内容)
Local_umask=022 (FTP上本地的文件权限,默认是077)
Connect_form_port_20=yes (启用FTP数据端口的数据连接)
Xferlog_enable=yes (激活上传和下传的日志)
Xferlog_std_format=yes (使用标准的日志格式)
Ftpd_banner=Moonlight Ftp Server (欢迎信息)
Pam_service_name=vsftpd (验证方式)
Listen=yes (独立的VSFTPD服务器)
功能:只能连接FTP服务器,不能上传和下传
注:其中所有和日志欢迎信息相关连的都是可选项,打了星号的无论什么帐户都要添加,是属于FTP的基本选项
2. 开启匿名FTP服务器上传权限
在配置文件中添加以下的信息即可:
Anon_upload_enable=yes (开放上传权限)
Anon_mkdir_write_enable=yes (可创建目录的同时可以在此目录中上传文件)
Write_enable=yes (开放本地用户写的权限)
Anon_other_write_enable=yes (匿名帐号可以有删除的权限)
3. 开启匿名服务器下传的权限
在配置文件中添加如下信息即可:
Anon_world_readable_only=no
注:要注意文件夹的属性,匿名帐户是其它(other)用户要开启它的读写执行的权限
(R)读-----下传 (W)写----上传 (X)执行----如果不开FTP的目录都进不去
4.普通用户FTP服务器的连接(独立服务器)
在配置文件中添加如下信息即可:
Local_enble=yes (本地帐户能够登陆)
Write_enable=no (本地帐户登陆后无权删除和修改文件)
功能:可以用本地帐户登陆vsftpd服务器,有下载上传的权限
注:在禁止匿名登陆的信息后匿名服务器照样可以登陆但不可以上传下传
5. 用户登陆限制进其它的目录,只能进它的主目录
设置所有的本地用户都执行chroot
Chroot_local_user=yes (本地所有帐户都只能在自家目录)
设置指定用户执行chroot
Chroot_list_enable=yes (文件中的名单可以调用)
Chroot_list_file=/任意指定的路径/vsftpdchroot_list
注意:vsftpdchroot_list 是没有创建的需要自己添加,要想控制帐号就直接在文件中加帐号即可
6. 限制本地用户访问FTP
Userlist_enable=yes (用userlistlai 来限制用户访问)
Userlist_deny=no (名单中的人不允许访问)
Userlist_file=/指定文件存放的路径/ (文件放置的路径)
注:开启userlist_enable=yes匿名帐号不能登陆
7. 安全选项
Idle_session_timeout=600(秒) (用户会话空闲后10分钟)
Data_connection_timeout=120(秒) (将数据连接空闲2分钟断)
Accept_timeout=60(秒) (将客户端空闲1分钟后断)
Connect_timeout=60(秒) (中断1分钟后又重新连接)
Local_max_rate=50000(bite) (本地用户传输率50K)
Anon_max_rate=30000(bite) (匿名用户传输率30K)
Pasv_min_port=50000 (将客户端的数据连接端口改在
Pasv_max_port=60000 50000—60000之间)
Max_clients=200 (FTP的最大连接数)
Max_per_ip=4 (每IP的最大连接数)
Listen_port=5555 (从5555端口进行数据连接)
8. 查看谁登陆了FTP,并杀死它的进程
ps –xf |grep ftp
kill 进程号
最后重启动服务
sudo /etc/initd/vsftpd restart
FTP是什么
其实通俗的说FTP是一种数据传输协议,负责将我们电脑上的数据与服务器数据进行交换,比如我们要将在我们电脑中制作的网站程序传到服务器上就需要使用FTP工具,将数据从电脑传送到服务器。专业的说,FTP(全称:File
Transfer
Protocol)是TCP/IP网络上两台计算机传送文件的协议,FTP是在TCP/IP网络和INTERNET上最早使用的协议之一,它属于网络协议组的应用层。FTP客户机可以给服务器发出命令来下载文件,上载文件,创建或改变服务器上的目录,一般我们均是将我们电脑中的内容与服务器数据进行性传输。其实电脑与服务器是一样的,只是服务器上安装的是服务器系统,并且服务器稳定性与质量要求高些,因为服务器一般放在诸如电信等机房中,24小时都开机,这样我们才可以一直访问服务器中的相关信息。
FTP服务器是什么
上面我们简单的介绍下FTP是什么,但是还有一个FTP服务器概念大家不要混淆掉了。我们可以再电脑中安装FTP工具负责将电脑中的数据传输到服务器当中,这是服务器就称为FTP服务器,而我们的电脑称为客户端。简单的说FTP服务器就是一台存储文件的服务器,供用户上传或下载文件。首先下载安装Serv-U,运行,将出现“设置向导”窗口
1 设置Serv-U的IP地址与域名
一路单击“下一步”跳过系统提示信息,来到“您的IP地址”窗口,这里要求输入本机的IP地址。
如果电脑有固定的IP地址,那就直接输入;如果只有动态IP(例如拨号用户),那该处请留空,Serv-U在运行时会自动确定IP地址。
下一步,进行“域名”设定。这个域名只是用来标识该FTP域,没有特殊的含义。
接下来的“系统服务”选项必须选“是”,这样当电脑一启动,服务器也会跟着开始运行。
2设置匿名登录
匿名访问就是允许用户以Anonymous为用户名,无需特定密码即可连接服务器并拷贝文件。如果不想让陌生人随意进入FTP服务器,或想成立VIP会员区,就应该在“匿名账号”窗口中选“否”,这样就只有经过许可的用户才能登录该FTP。
之后就要为匿名账户指定FTP上传或下载的主目录,这是匿名用户登录到FTP服务器后看到的目录。设定后,向导还会继续询问是否将匿名用户锁定于此目录中,从安全的角度考虑,建议选“是”。这样匿名登录的用户将只能访问指定的主目录及以下的各级子目录,而不能访问上级目录,便于保证硬盘上其他文件的安全。
3创建新账户
除了匿名用户,一般还需要建立有密码的专用账号,也就是说可以让指定用户以专门的账号和密码访问服务器,这样做适用于实行会员制下载或只让好友访问。在“命名的账号”窗口中将“创建命名的账号吗”选为“是”,进入“账号名称”设置,填入制定的账号名称,而后在“账号密码”窗口输入该账号的密码。
单击“下一步”,会要求指定FTP主目录,并询问是否将用户锁定于主目录中,选“是”,作用与匿名账户设定基本相同,不再赘述。
紧接着要设置该账户的远程管理员权限,分为“无权限”、“组管理员”、“域管理员”、“只读管理员”和“系统管理员”五种选项,每项的权限各不相同,可根据具体情况进行选择。
4管理员设置
对FTP服务器来说,建立多个域是非常有用的,每个域都有各自的用户、组和相关的设置。
★ 首先点击窗体左方的“本地服务器”,勾选右边的“自动开始(系统服务)”。
★ 选择左方的“域→活动”,这里记载了该域下所有用户的活动情况,是非常重要的监控数据。
★ “域→组”:在此可自建一些用户组,把各类用户归到相应的组中,便于管理。
★ “域→用户”:这里有刚建立的两个账号,其中的细节设置十分重要,具体如下。
账号:如果有用户违反FTP的规定,可以点击此处的“禁用账号”,让该用户在一段时间内被禁止登录。另外此处的“锁定用户于主目录”一定要勾选,否则硬盘的绝对地址将暴露。
常规:根据自身的实际需要,在此设置最大的下载和上传速度、登录到本服务器的最大用户数、同一IP的登录线程数等。
IP访问:可以在此拒绝某个讨厌的IP访问FTP服务器,只要在“编辑规则”处填上某个IP地址,以后该IP的访问将会全部被拦下。
配额:勾选“启用磁盘配额”,在此为每位FTP用户设置硬盘空间。点击“计算当前”,可知当前的所有已用空间大小,在“最大”一栏中设定最大的空间值。
最后,请在有改动内容的标签卡上点击右键,选择“应用”,如此才能使设置生效!
你好我来解答下你的问题
FTP服务器通常是在网站服务器上搭建的用来传输数据推荐你用SERV-U来搭建在本地电脑通过flashfxp工具上传比较稳定而且支持断点续传如果你自己不懂 *** 作的话也可以让服务商帮你搭建比较简单的
海腾数据杨闯为你解答希望以上回答对你有帮助
方法如下:
*** 作设备:戴尔笔记本电脑
*** 作系统:win7
*** 作程序:管理选项10
一、首先选择“管理选项”打开“本地用户和组”可以在列表中看到用户选项,如下图所示:
二、然后从下拉菜单中选择新用户,开始构建填写用户名和密码,如下图所示:
三、之后找到“控制面板”选项并将其打开,如下图所示:
四、单击下面的卸载程序按钮进入安装程序列表界面,如下图所示:
五、在左上角的菜单栏中打开或关闭Windows,单击进入,如下图所示:
六、转到Windows功能界面打开或关闭,勾选其子菜单的FTP服务和FTP可扩展性,然后单击按下OK按钮,如下图所示:
七、添加IIS服务后,单击Internet信息服务管理 - 此时我们可以看到连接右框架,如下图所示:
八、然后右键单击该网站以选择添加网站,如下图所示:
九、然后在d出的添加网站框中输入我们的网站名称,然后选择添加,如下图所示:
十、创建我们的FTP后,启动绑定和SSL设置,端口号选择2121IP地址填写本地IP地址,如下图所示:
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)