架設FTP伺服器,一向是把安全放在第一位,特別是利用IIS之類工具建立起來的FTP伺服器更是如此。如果設定不當遭受到惡意攻擊,那造成整個伺服器系統崩潰也絕不是危言聳聽的! 因此,採取合理、周全的安全管理是很有必要的。
我們就從IIS的安全說起。
IIS,從NT系統核心開始成為自帶的重要資訊發布載體,但其不可避免的漏洞也在不少的資料中提及。 IIS被用作FTP伺服器架設,主要是其簡單易懂的設定贏得不少人青睞;因此,要用好IIS,我們得從下面這些方面來考慮其安全問題:
1.安裝系統補丁。微軟網站經常在其官方網發布最新的系統安全補丁,大家可以用系統自帶的windows update程式隨時更新。
2. FTP目錄的設定。比較常見的就是將主目錄指定到邏輯盤,再對每個細目錄按不同的用戶設置不同的訪問權限,並關閉一些不需要的服務,這可以對不良人士利用IIS溢出漏洞訪問到系統盤作個第一級防護。
3.盡量不要使用21這個預設連接埠號,並啟用日誌,以便FTP服務出現異常時檢查。
另一款FTP架設軟體Serv_U。
軟體介面如下圖所示。感覺此款軟體在安全性方面做得比較好,其設定也不易出錯,筆者用過一段時間感覺其速度也比IIS要快得多。即使這樣,同樣也應注意其正確的配置:
1.有關網域中伺服器密碼設定。
Serv_U提供了三種安全密碼類型:規則密碼、OTPS/KEY MD4和OTPS/KEY MD5,不言而喻,規則密碼的安全性是最低的。一般我們設定好了有管理權限的帳戶後,再在「一般」標籤下開啟「密碼類型」下拉框,從中選擇後兩種類型相對要安全得多。
[Cut-Page]
2.勾選“攔截FTP_bounce攻擊和FXP”。 FXP也稱跨伺服器攻擊,簡單的說:
當惡意使用者透過在PORT指令中加入特定的位址訊息,會使FTP伺服器與其它非客戶端的機器建立連接,而如果FTP伺服器有權存取那些非客戶端的電腦時,那就可以透過FTP伺服器這個「中介機構”,實現與目標伺服器的連接!
3.跟IIS一樣,最好也將主目錄移到其它分區,同時在為使用者設定權限時最好先設低點,等需要時再設定寫入、修改等權限;並將服務日誌以檔案形式儲存,以便日後查閱。
說了架設軟體,再來說作業系統本身。
考慮到FTP伺服器的安全性,所以最好是採用Win2000伺服器版、winxp或Windows2003企業版,並注意隨時下載安全性修補程式升級。
1.可用系統自帶的「Internet連線防火牆」功能進行安全設定。打開「本地連線」屬性對話框,進入「進階」選項卡,將「透過限製或阻止來自Internet的對此電腦的存取來保護我的電腦和網路」打勾;然後點右下角的「設定」按鈕進入“進階設定”,選取“FTP伺服器”再點編輯,如圖所示,除了IP位址一欄外,其餘選項都不能變更。如果你預先設定的FTP伺服器連接埠不是其預設的21,請回到上一步在“服務”標籤下方點“新增”,輸入伺服器名稱和IP位址,並將外部內部連接埠號碼填入你的預設值即可。
2. “TCP/IP篩選”功能。依序進入“本地連線”---“常規”---“Internet協定(TCP/IP)”,然後雙擊打開,再點“進階”按鈕,切換到“選項”即可開始設定。如下圖所示,這裡我們可以設定係統只允許開放的端口,這種篩選設定可以有效防止最常見的如139端口的入侵,但該方法缺點同樣明顯:功能過於簡單,只能設置允許開放的端口,不能自訂要關閉的端口,如需開放多個端口還要一一手工添加,比較麻煩。
伺服器安全是個永遠也說不完的話題,關鍵還是要大家在實際管理中多多總結經驗,不斷累積。經過以上的基本管理設定後,你的FTP應該具備了一定的安全保障,可以放心的投入使用了!
2.勾選“攔截FTP_bounce攻擊和FXP”。 FXP也稱跨伺服器攻擊,簡單的說:
當惡意使用者透過在PORT指令中加入特定的位址訊息,會使FTP伺服器與其它非客戶端的機器建立連接,而如果FTP伺服器有權存取那些非客戶端的電腦時,那就可以透過FTP伺服器這個「中介機構”,實現與目標伺服器的連接!
3.跟IIS一樣,最好也將主目錄移到其它分區,同時在為使用者設定權限時最好先設低點,等需要時再設定寫入、修改等權限;並將服務日誌以檔案形式儲存,以便日後查閱。
說了架設軟體,再來說作業系統本身。
考慮到FTP伺服器的安全性,所以最好是採用Win2000伺服器版、winxp或Windows2003企業版,並注意隨時下載安全性修補程式升級。
1.可用系統自帶的「Internet連線防火牆」功能進行安全設定。打開「本地連線」屬性對話框,進入「進階」選項卡,將「透過限製或阻止來自Internet的對此電腦的存取來保護我的電腦和網路」打勾;然後點右下角的「設定」按鈕進入“進階設定”,選取“FTP伺服器”再點編輯,如圖所示,除了IP位址一欄外,其餘選項都不能變更。如果你預先設定的FTP伺服器連接埠不是其預設的21,請回到上一步在“服務”標籤下方點“新增”,輸入伺服器名稱和IP位址,並將外部內部連接埠號碼填入你的預設值即可。
2. “TCP/IP篩選”功能。依序進入“本地連線”---“常規”---“Internet協定(TCP/IP)”,然後雙擊打開,再點“進階”按鈕,切換到“選項”即可開始設定。如下圖所示,這裡我們可以設定係統只允許開放的端口,這種篩選設定可以有效防止最常見的如139端口的入侵,但該方法缺點同樣明顯:功能過於簡單,只能設置允許開放的端口,不能自訂要關閉的端口,如需開放多個端口還要一一手工添加,比較麻煩。
伺服器安全是個永遠也說不完的話題,關鍵還是要大家在實際管理中多多總結經驗,不斷累積。經過以上的基本管理設定後,你的FTP應該具備了一定的安全保障,可以放心的投入使用了!