可见,FTP服务器在企业中的应用是非常广泛的。真是因为其功能如此的强大,所以,很多黑客、病毒也开始“关注”他了。他们企图通过FTP服务器为跳板,作为他们传播木马、病毒的源头。同时,由于FTP服务器上存储着企业不少有价值的内容。在经济利益的诱惑下,FTP服务器也就成为了别人攻击的对象。
所以,FTP服务器的安全性工作也逐渐显得重要。笔者采用的FTP服务器是基于Linxu *** 作系统平台上的Vsftpd软件。笔者今天就以这个软件为例,谈谈如何若照FTP服务器的安全设计。
一、谁可以访问FTP服务器?
在考虑FTP服务器安全性工作的时候,第一步要考虑的就是谁可以访问FTP服务器。在Vsftpd服务器软件中,默认提供了三类用户。不同的用户对应着不同的权限与 *** 作方式。
一类是Real帐户。这类用户是指在FTP服务上拥有帐号。当这类用户登录FTP服务器的时候,其默认的主目录就是其帐号命名的目录。但是,其还可以变更到其他目录中去。如系统的主目录等等。
第二类帐户实Guest用户。在FTP服务器中,我们往往会给不同的部门或者某个特定的用户设置一个帐户。但是,这个账户有个特点,就是其只能够访问自己的主目录。服务器通过这种方式来保障FTP服务上其他文件的安全性。这类帐户,在Vsftpd软件中就叫做Guest用户。拥有这类用户的帐户,只能够访问其主目录下的目录,而不得访问主目录以外的文件。
第三类帐户是Anonymous(匿名)用户,这也是我们通常所说的匿名访问。这类用户是指在FTP服务器中没有指定帐户,但是其仍然可以进行匿名访问某些公开的资源。
在组建FTP服务器的时候,我们就需要根据用户的类型,对用户进行归类。默认情况下,Vsftpd服务器会把建立的所有帐户都归属为Real用户。但是,这往往不符合企业安全的需要。因为这类用户不仅可以访问自己的主目录,而且,还可以访问其他用户的目录。这就给其他用户所在的空间 带来一定的安全隐患。所以,企业要根据实际情况,修改用户虽在的类别。
修改方法:
第一步:修改/etc/Vsftpd/vsftpdconf文件。
默认情况下,只启用了Real与Anonymous两类用户。若我们需要启用Guest类用户的时候,就需要把这个选项启用。修改/etc/Vsftpd/vsftpdconf文件,把其中的“chroot_list_enable=YES”这项前面的注释符号去掉。去掉之后,系统就会自动启用Real类型的帐户。
第二步:修改/etc/vsftpdconf文件。
若要把某个FTP服务器的帐户归属为Guest帐户,则就需要在这个文件中添加用户。通常情况下,FTP服务器上没有这个文件,需要用户手工的创建。利用VI命令创建这个文件之后,就可以把已经建立的FTP帐户加入到这个文件中。如此的话,某个帐户就属于Real类型的用户了。他们登录到FTP服务器后,只能够访问自己的主目录,而不能够更改主目录。
第三步:重新启动FTP服务器。
按照上述步骤配置完成后,需要重新启动FTP服务器,其配置才能够生效。我们可以重新启动服务器,也可以直接利用Restart命令来重新启动FTP服务。
在对用户尽心分类的时候,笔者有几个善意的提醒。
一是尽量采用Guest类型的用户,而减少Real类行的用户。一般我们在建立FTP帐户的时候,用户只需要访问自己的主目录下的文件即可。当给某个用户的权限过大时,会对其他用户文件的安全产生威胁。
二是尽量不要采用匿名类型的帐户。因为他们在没有授权的情况下,就可以访问FTP服务器。虽然其访问的资源受到一定的限制,但是,仍然具有危险性。故在没有特殊需要的情况下,把匿名类型帐户禁用掉。
二、哪些帐号不可以访问FTP服务器?
在以下几种情况下,我们要禁止这些账户访问FTP服务器,以提高服务器的安全。
一是某些系统帐户。如ROOT帐户。这个账户默认情况下是Linxu系统的管理员帐户,其对系统具有的 *** 作与管理权限。若允许用户以这个账户为账户名进行登陆的话,则用户不但可以访问Linux系统的所有资源,而且,还好可以进行系统配置。这对于FTP服务器来说,显然危害很大。所以,往往不允许用户以这个Root等系统帐户身份登陆到FTP服务器上来。
第二类是一些临时账户。有时候我们出于临时需要,为开一些临时账户。如需要跟某个客户进行图纸上的交流,而图纸本身又比较大时,FTP服务器就是一个很好的图纸中转工具。在这种情况下,就需要为客户设立一个临时账户。这些账户用完之后,一般就加入到了黑名单。等到下次需要再次用到的时候,再启用他。
在vstftpd服务器中,要把某些用户加入到黑名单,也非常的简单。在Vsftpd软件中,有一个/etc/vsftpduser_lise配置文件。这个文件就是用来指定哪些账户不能够登陆到这个服务器。我们利用vi命令查看这个文件,通常情况下,一些系统账户已经加入到了这个黑名单中。FTP服务器管理员要及时的把一些临时的或者不再使用的帐户加入到这个黑名单中。从而才可以保证未经授权的账户访问FTP服务器。在配置后,往往不需要重新启动FTP服务,配置就会生效。
不过,一般情况下,不会影响当前会话。也就是说,管理员在管理FTP服务器的时候,发现有一个非法账户登陆到了FTP服务器。此时,管理员马上把这个账户拉入黑名单。但是,因为这个账户已经连接到FTP服务器上,所以,其当前的会话不会受到影响。当其退出当前会话,下次再进行连接的时候,就不允许其登陆FTP服务器了。所以,若要及时的把该账户禁用掉的话,就需要在设置好黑名单后,手工的关掉当前的会话。
对于一些以后不再需要使用的帐户时,管理员不需要把他加入黑名单,而是直接删除用户为好。同时,在删除用户的时候,要记得把用户对应的主目录也一并删除。不然主目录越来越多,会增加管理员管理的工作量。在黑名单中,只保留那些将来可能利用的账户或者不是用作FTP服务器登陆的账户。这不但可以减少服务器管理的工作量,而且,还可以提高FTP服务器的安全性。
三、匿名账户也可以上传文件
在系统默认配置下,匿名类型的用户只可以下载文件,而不能够上传文件。虽然这不是我们推荐的配置,但是,有时候出于一些特殊的需要,确实要开启这个功能。如笔者以前在企业中,利用这个功能实现了对用户终端文件进行备份的功能。为了设置的方便,就在FTP服务器上开启了匿名访问,并且允许匿名访问账户网某个特定的文件夹中上传某个文件。
若要让匿名用户上传文件,则首先要建立一个目录,并且把这个目录指定为匿名用户具有更新的权限。以后匿名用户需要上传文件的时候,只能够王这个文件夹中传。而不能够像Real用户那样,网其他用户的文件夹中上传文件。
文件目录设置好之后,再修改/etc/vsftpd/vsftpdconf配置文件。把这个文件下的有关匿名账户的功能启用。默认情况下,跟匿名账户相关的功能,如更新、增加目录等功能都是被注释掉的。管理员需要把这个注释符号去掉,匿名账户才能够网特定的账户中上传文件。
笔者再次重申一遍,一般情况下,是不建议用户开启匿名账户的文件上传功能。因为很难保证匿名账户上传的文件中,不含有一些破坏性的程序,如病毒或者木马等等。有时候,虽然开启了这个功能,但是往往会在IP上进行限制。如只允许企业内部IP可以进行匿名访问并上传文件,其他账户则不行。如此的话,可以防止外部用户未经授权匿名访问企业的FTP服务器。若用户具有合法的账户,就可以在外网中登陆到FTP服务器上。
总之,在FTP服务器安全管理上,主要关注三个方面的问题。一是未经授权的用户不能往FTP空间上上传文件;二是用户不得访问未经授权的目录,以及对这些目录的文件进行更改,包括删除与上传;三是FTP服务器本身的稳定性。以上三个问题中的前两部分内容,都可以通过上面的三个方法有效的解决。相信管理员灵活采用如上的方法,可以在保障企业应用的前期下,提高FTP服务器的安全性。FTP就是用来在客户机和服务器之间实现文件传输的标准协议。它使用客户/服务器模式,客户程序把客户的请求告诉服务器,并将服务器发回的结果显示出来。而服务器端执行真正的工作,比如存储、发送文件等。\x0d\如果用户要将一个文件从自己的计算机上发送到另一台计算机上,称为是FTP的上载,而更多的情况是用户从服务器上把文件或资源传送到客户机上,称之为FTP的下载。在Internet上有一些计算机称为FTP服务器,它存储了许多允许存取的文件,如:文本文件、图像文件、程序文件、声音文件、文件等。\x0d\FTP系统是一个通过Internet传送文件的系统。FTP客户程序必须与远程的FTP服务器建立连接并登录后,才能进行文件的传输。通常,一个用户必须在FTP服务器进行注册,即建立用户帐号,拥有合法的登录用户名和密码后,才有可能进行有效的FTP连接和登录。\x0d\大多数站点提供匿名FTP服务,即这些站点允许任何一个用户免费登录到它们的机器上,并从其上复制文件。这类服务器的目的就是想社会公众提供免费的文件拷贝服务,因此,它不要求用户事先在该服务器进行注册。与这类“匿名”FTP服务器建立连接时,用户名一般是anonymous,而口令可以使用任意字符串,一种比较常用的是使用你的电子邮件地址作为口令。但这个口令既不进行校验,也不是强制的。\x0d\FTP是基于客户机/服务器模式的服务系统,它油客户软件、服务器软件和FTP通信协议三部分组成。FTP客户软件作为一种应用程序,运行在客户计算机上。用户使用FTP命令与FTP服务器建设连接或传送文件,一般 *** 作系统内置标准FTP命令,标准浏览器也支持FTP协议,当然也可以使用一些专用的FTP软件。FTP服务器软件运行在远程主机上,并设置一个名叫anonymous的公共用户帐号,向用户开放。FTP服务器的基本身份验证是一种通过用户名和密码登录FTP服务器的安全验证方式,它是FTP服务器安全性的基础。在进行基本身份验证之前,用户必须提供一个有效的用户名和密码。如果用户提供的用户名和密码正确,FTP服务器将允许用户进行文件传输。不正确的用户名和密码将导致FTP服务器拒绝用户的访问。在安装FTP服务器时,用户可以选择是否启用基本身份验证功能。通常,用户会根据FTP服务器上存储的数据的重要性和安全性来决定是否启用基本身份验证。另外,一些FTP服务器还支持除基本身份验证外的其他安全验证方式,例如支持客户端证书的身份验证和Kerberos身份验证等。
FTP不能正常连接可以从以下四个方面查找原因:
1PING FTP服务器地址,是否能通;
2查看从本地是否能正常进入FTP服务器;
3查看FTP服务有没有启动;
4查看防火墙设置,有没有屏蔽端口21服务器上ftp常规配置
解决方法如下:
1、依次在服务器上找到:开始——管理工具——计算机管理——本地用户和组——用户——(右键)添加新用户,设定好用户名和密码(密码永不过期),然后点击创建即可,需要填写以下三个位置内容:
2、创建好本地用户和组中的用户后,然后到配置好的IIS管理器中找到相应的站点,进行添加ftp发布,点击添加ftp发布后,第一步需要注意下面箭头所指的端口,该端口一定要是上面在防火墙的添加的端口。
3、再下一步就是需要注意这几点,身份验证和权限全部勾选,中间的授权位置需要选择指定用户——然后填写上面新创建的“新用户”名,点击完成后服务器上的ftp就算是成功配置完成。
4、如果经过经过上述步骤依旧无法连接ftp,那么就要在服务器上安装“服务器安全狗”软件,然后找到该软件的“网络防火墙”
5、然后找到“端口保护”
6、然后在这里添加上面配置好的ftp的端口,然后将“策略”选择为“所有IP一律接受”
7、如果还是连接不上ftp,那么只能放弃在该服务器上这样配置ftp了,那么就只能使用ftpserv这个软件进行快速的配置ftp。配置方法如下:安装好改软件后,首先需要点击“启动ftp server”,然后再点击“ftp server管理器”
8、然后点击下图箭头所指的“人脑袋”
9、然后点击“添加”,设置ftp的用户名、密码
10、然后点击“共享文件夹”,找到相应的站,将下列方框中的类别全部勾选,然后点击“确定”即可,这样无论如何都能连接得上ftp
1安装ftp服务检查是否安装vsftpd
rpm -qa|grep vsftpd
安装 vsftpd
yum -y install vsftpd
2配置
编辑 文件 /etc/vsftpd/vsftpdconf
禁止匿名登录
在chroot_list文件内的用户进行限制
在文件最后添加 allow_writeable_chroot=YES,允许已登录用户进行上传
保存退出,到了这里FTP服务已经搭建好了,下面增加配置用户
3添加用户
增加一个fpuser的用户
输入vi /etc/vsftpd/chroot_list,在文件内新增一行 fpuser,保存
添加用户主文件夹
mkdir -p /home/fpuser
输入useradd -d /home/fpuser -s /sbin/nologin fpuser,新增用户并配置用户主文件夹
输入chown ftptest /home/fpuser,将文件夹分配给fpuser用户
修改用户密码, 输入passwd fpuser,修改用户密码为fpuser
配置Linux使用户可以登录FTP服务器
输入setenforce 0,关闭SELinux
这里的关闭是暂时关闭,重启后失效。如果想要永久生效的话,需要修改配置文件,输入vi /etc/selinux/config,按下图配置
注释两行代码,并新增SELINUX=disable,然后输入setenforce 0
4服务启动停止
设置自动启动
chkconfig vsftpd on
启动ftp服务
systemctl start vsftpd
停止ftp服务
systemctl stop vsftpd用Serv-U 吧,简单易懂,非常容易上手
如何建立一个FTP服务器(SERV-U使用教程)
Serv-U 是一个可以运行于Windows 95/98/2000/ME 和 Windows NT 40下的FTP服务器程序。有了它,你的个人电脑 就可以模拟为一个FTP服务器,也就是说,你所连接的网络中的计算机用户可以访问你的个人电脑,通过FTP协议(文件传输协议)复制、移动、删除你的电脑中的文件或文件夹,可以做一切权限所允许的事情。FTP协议规定了计算机之间的标准通讯方式,使所有不同类型,不同工作系统,不同格式的电脑之间得以互换文件。它可以用最简单的方式创建用户帐号,并且在硬盘空间上划分一定的区域用以存放文件,让用户以各种FTP客户端软件(如CuteFTP、WS_FTP等)上传或下载所需要的文件。
1、如何建立第一步
安装原版软件和汉化补丁,这个过程就不多说了,想必没人不会的。
2、安装完成后程序会自动运行,你也可以在菜单中选择运行。第一次运行程序,它会d出设置向导窗口,将会带你完成最初的设置。单击“下一步”,出现“显示菜单图像”的窗口,问你是否在菜单中显示小图像,看各人喜欢了。
3、 单击“下一步”,这个窗口是让你在本地第一次运行FTP服务器,只要“下一步”就行了。
4、 接下来要你输入你的IP地址,如果你自己有服务器,有固定的IP,那就请输入IP地址,如果你只是在自己电脑上建立FTP,而且又是拨号用户,有的只是动态IP,没有固定IP,那这一步就省了,什么也不要填,Serv-U 会自动确定你的IP地址,单击“下一步”;
5、 在这儿要你输入你的域名,如果有的话,如:FEIMIAOno-ipcom,没有的话,就随便填一个;
6、 “下一步”,询问你是否允许匿名访问。一般说来,匿名访问是以Anonymous为用户名称登录的,无需密码,当然如果你想成立一个会员区什么的,就应该选择“否”,不让随便什么人都可以登录,只有许可用户才行,在此我们填“是”;
7、 “下一步”,问你匿名用户登录到你的电脑时的目录,你可以自己指定一个硬盘上已存在的目录,如E:\temp;
8、 “下一步”,询问你是否要锁定该目录,锁定后,匿名登录的用户将只能认为你所指定的目录(F:\temp)是根目录,也就是说它只能访问这个目录下的文件和文件夹,这个目录之外就不能访问,对于匿名用户一般填“是”;
9、 “下一步”,询问你是否创建命名的帐号,也就是说可以指定用户以特定的帐号访问你的FTP,这对于办会员区可很有用哦,你可以对于每个人都创建一个帐号,每个帐号的权限不同,就可以不同程序地限制每个人的权利,方法将在后面讲到,这里选择“是”;
10、 “下一步”,请你填入所要建立的帐号的名称
11、“下一步”,请输入密码,如:874
12、 “下一步”,询问登录目录是什么,这一步与第7步一样,如:F:\temp
13、 “下一步”,询问你是否要锁定该目录,同第8步,这里选择“否”;
14、 接下来询问你这次创建的用户的管理员权限,有几项选择:无权限,组管理员,域管理员,只读管理员和系统管理员,每项的权限各不相同;这里选择“系统管理员”;
15、 最后一步,点击“完成”就OK了,你有什么需要修改的,可以点“上一步”,或者进入Serv-U管理员直接修改。至此,我们建立了一个域ftpabccom,两个用户,一个Anonymous,一个ldr。既然我们已经建立好FTP服务器,那么我们就应该可以用FTP客户端软件来尝试登录。怎么办呢?其实很简单,我们不用上网,就可以测试。我们知道,不上网时,本地机的IP地址默认就为127001,FTP端口号为21。
Serv-U管理员中的各项设置
在设置完成后,将会进入Serv-U管理员的主界面,左边窗格中显示各个栏目,右边窗格中显示各个栏目的具体选项,下面就大概讲一讲设置内容。
1、 中,我们可以人 为地控制Serv-U引擎的运行或停止,记住,在Win 9x/Me 中,我们就要在此选择“系统服务”,才会运行Serv-U引擎。
2、 “许可”,如果你花美元买了注册号,就可以在此输入。
3、 “设置”,这个设置是对于“本地服务器”来说的。“常规”设置中可以限制服务器的最大速度,可以拦截FXP(站点到站点传送),也可以限制用户的数量,这样不至于你的服务器被拖跨。“目录缓存”设置中允许你自己确定目录列表的个数以及超时时间,在Windows 95 和 NT下,目录列表默认设置为25,当缓存满了之后,新的请求将替换老的请求。“高级”设置中可以让你自己定义服务器、Socket、文件的上传和下载的各项设置。
4、 “活动”,在这里记录了用户的活动日志,已封锁的IP的活动日志,以及任务日志;任务日志中显示的就是你开始停止的各项 *** 作记录,你可以点击右键,选择此过滤文本,使其只显示你所想见的内容。
5、 “域”,这里包含了你一开始根据向导所建立的用户、设置、域等。“域--设置”中所设置的内容其实与第3步差不多,只是它更加具体,可以对于每一个不同域定制。“域--活动”中记载了这个域下所有用户的活动情况。
6、 “域--组”,我们可以自己建立一些便于管理的组,然后把一类的用户归到一个组中。
7、 “域--用户”中
A、
对于一些不守规则的人,我们可以选择“禁用帐号”,虽然有帐号,但可以使用户一时间无法登录;你也可以设置让程序到达某个日期后自动删除某个帐号;下面几栏是这个帐号的基本信息,我们都可以在此更改,其中密码改过后并不显示,而是统一显示<<Encrypted>>,特别要注意选项“锁定用户于主目录”,什么意思呢?大家应该碰到,每次我们登录到FTP服务器上后,在根目录下只显示“/”,选择这项选项后,就是这样,如果不选,会出现什么情况呢?你可以做一下试验,在根目录下将显示“/f:/myself/”,也就是说显示了你硬盘中的绝对地址,这在某些情况下是很危险的,有不怀好意的高手,你就麻烦了!
B、“常规”栏
你可以隐藏属性为隐藏的文件,可以限制同一IP的登录个数,是否允许用户更改密码(这需要客户端软件的支持),最大上传下载的速度,超时时间以及空闲时间,你也可以限制最大用户数量,如20,说明同时只能有20个用户登录。
C、“目录访问”栏
在此你可以控制用户对于文件目录的权限,对文件有读取、写入、删除、追加、执行等 *** 作,对于文件夹有列表、创建、删除,以及是否继承子目录;如果觉得目录不够,你也可以添加可访问的目录。
D、“IP访问”栏
在这里你可以规定某个IP是否可以访问你的FTP服务器,你可以拒绝它的访问,只要填上相应的IP地址,以后由这个IP的访问通通被拦下。
E、“上传/下载率”栏
在这里你可以设置上传和下载之间的比值,控制好上传和下载之间的数据流量关系。
F、“配额”栏
这里你可以为每个FTP用户设置磁盘空间,点击“计算当前”,可以知道当前目录下的所有空间大小,在“最大”一栏中填入你想要限制的容量。最后有一点,改过设置后一定要点击右键,选择“应用”使设置生效才行,否则一切都白做了!!
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)