三九宝宝网宝宝百科宝宝知识

网管员安全训练营让FTP服务器更安全

12月08日 编辑 39baobao.com

[确认过眼神,这样回答上家薪资最安全!]HR问你上家公司的薪水,如实说,你会不会担心她压价,不给你想要的薪酬?如果说高了,HR要你开薪资证明神马的,不符会觉得你撒谎,你说到底该怎么办?前程无忧网友“kloe”的困惑:HR为什么...+阅读

Windows 2000系统的IIS5.0提供 了FTP服务功能,由于它的简单易用,与Windows系统本身结合紧密,深受广大用户的喜爱。但使用IIS5.0架设的FTP服务器真的安全吗?它的默认设置其实存在很多安全隐患,很容易成为黑客们的攻击目标。如何让FTP服务器更加安全,只要我们稍加改造,就能做到。

一 取消匿名访问功能

默认情况下,Windows 2000系统的FTP服务器是允许匿名访问的,虽然匿名访问为用户上传、下载文件提供方便,但却存在极大的安全隐患。用户不需要申请合法的账号,就能访问你的FTP服务器,甚至还可以上传、下载文件,特别对于一些存储重要资料的FTP服务器,很容易出现泄密的情况,因此建议用户取消匿名访问功能。

在Windows 2000系统中,点击“开始→程序→管理工具→Inter服务管理器”,弹出管理控制台窗口。然后展开窗口左侧的本地计算机选项,就能看到IIS5.0自带的FTP服务器,下面笔者以默认FTP站点为例,介绍如何取消匿名访问功能。

右键点击“默认FTP站点”项,在右键菜单中选择“属性”,接着弹出默认FTP站点属性对话框,切换到“安全账号”标签页,取消“允许匿名连接”前的勾选(如图1),最后点击“确定”按钮,这样用户就不能使用匿名账号访问FTP服务器了,必须拥有合法账号。

图1 禁止匿名访问

二 启用日志记录

Windows日志记录着系统运行的一切信息,但很多管理员对日志记录功能不够重视,为了节省服务器资源,禁用了FTP服务器日志记录功能,这是万万要不得的。FTP服务器日志记录着所有用户的访问信息,如访问时间、客户机IP地址、使用的登录账号等,这些信息对于FTP服务器的稳定运行具有很重要的意义,一旦服务器出现问题,就可以查看FTP日志,找到故障所在,及时排除。因此一定要启用FTP日志记录。

在默认FTP站点属性对话框中,切换到“FTP站点”标签页,一定要确保“启用日志记录”选项被选中,这样就可以在“事件查看器”中查看FTP日志记录了。

三 正确设置用户访问权限

每个FTP用户账号都具有一定的访问权限,但对用户权限的不合理设置,也能导致FTP服务器出现安全隐患。如服务器中的CCE文件夹,只允许CCEUSER账号对它有读、写、修改、列表的权限,禁止其他用户访问,但系统默认设置,还是允许其他用户对CCE文件夹有读和列表的权限,因此必须重新设置该文件夹的用户访问权限。

右键点击CCE文件夹,在弹出菜单中选择“属性”,然后切换到“安全”标签页,首先删除Everyone用户账号,接着点击“添加”按钮,将CCEUSER账号添加到名称列表框中,然后在“权限”列表框中选中修改、读取及运行、列出文件夹目录、读取和写入选项,最后点击“确定”按钮。这样一来,CCE文件夹只有CCEUSER用户才能访问。

二 启用日志记录

Windows日志记录着系统运行的一切信息,但很多管理员对日志记录功能不够重视,为了节省服务器资源,禁用了FTP服务器日志记录功能,这是万万要不得的。FTP服务器日志记录着所有用户的访问信息,如访问时间、客户机IP地址、使用的登录账号等,这些信息对于FTP服务器的稳定运行具有很重要的意义,一旦服务器出现问题,就可以查看FTP日志,找到故障所在,及时排除。因此一定要启用FTP日志记录。

在默认FTP站点属性对话框中,切换到“FTP站点”标签页,一定要确保“启用日志记录”选项被选中,这样就可以在“事件查看器”中查看FTP日志记录了。

三 正确设置用户访问权限

每个FTP用户账号都具有一定的访问权限,但对用户权限的不合理设置,也能导致FTP服务器出现安全隐患。如服务器中的CCE文件夹,只允许CCEUSER账号对它有读、写、修改、列表的权限,禁止其他用户访问,但系统默认设置,还是允许其他用户对CCE文件夹有读和列表的权限,因此必须重新设置该文件夹的用户访问权限。

右键点击CCE文件夹,在弹出菜单中选择“属性”,然后切换到“安全”标签页,首先删除Everyone用户账号,接着点击“添加”按钮,将CCEUSER账号添加到名称列表框中,然后在“权限”列表框中选中修改、读取及运行、列出文件夹目录、读取和写入选项,最后点击“确定”按钮。这样一来,CCE文件夹只有CCEUSER用户才能访问。

四 启用磁盘配额

FTP服务器磁盘空间资源是宝贵的,无限制的让用户使用,势必造成巨大的浪费,因此要对每位FTP用户使用的磁盘空间进行限制。下面笔者以CCEUSER用户为例,将其限制为只能使用100M磁盘空间。

在资源管理器窗口中,右键点击CCE文件夹所在的硬盘盘符,在弹出的菜单中选择“属性”,接着切换到“配额”标签页(如图2),选中“启用配额管理”复选框,激活“配额”标签页中的所有配额设置选项,为了不让某些FTP用户占用过多的服务器磁盘空间,一定要选中“拒绝将磁盘空间给超过配额限制的用户” 复选框

然后在“为该卷上的新用户选择默认配额限制”框中选择“将磁盘空间限制为”单选项,接着在后面的栏中输入100,磁盘容量单位选择为“MB”,然后进行警告等级设置,在“将警告等级设置为”栏中输入“96”, 容量单位也选择为“MB”,这样就完成了默认配额设置。此外,还要选中“用户超出配额限制时记录事件”和“用户超过警告等级时记录事件”复选框,以便将配额告警事件记录到Windows日志中。

点击配额标签页下方的“配额项”按钮,打开磁盘配额项目对话框,接着点击“配额→新建配额项”,弹出选择用户对话框,选中CCEUSER用户后,点击“确定”按钮,接着在“添加新配额项”对话框中为CCEUSER用户设置配额参数,选择“将磁盘空间限制为” 单选项,在后面的栏中输入“100”,接着在“将警告等级设置为”栏中输入“96”,它们的磁盘容量单位为“MB”,最后点击“确定”按钮,完成磁盘配额设置,这样CCEUSER用户就只能使用100 MB磁盘空间,超过96MB就会发出警告。

五 TCP/IP访问限制

为了保证FTP服务器的安全,我们还可以拒绝某些IP地址的访问。在默认FTP站点属性对话框中,切换到“目录安全性”标签页,选中“授权访问”单选项(如图3),然后在“以下所列除外”框中点击“添加”按钮,弹出“拒绝以下访问”对话框,这里我们可以拒绝单个IP地址或一组IP地址访问,以单个IP地址为例,选中“单机”选项,然后在“IP地址”栏中输入该机器的IP地址,最后点击“确定”按钮。这样添加到列表中的IP地址都不能访问FTP服务器了。

以下为关联文档:

宝宝怎样安全度过季节转换期夏秋交替,天气呈现早晚凉,中午热的特点,怎样让宝宝安全度过季节转换时期,尽量减少疾病发生的几率?就季节交替怎样正确照顾婴幼儿、婴幼儿夏秋常见病等有关问题,给广大读者提供了一...

为了孩子们更安全儿童意外伤害是儿童保护工作面临的新挑战。婴儿及5岁以下儿童死亡率是衡量国家经济和社会发展的重要标志,降低儿童死亡率是全球儿童发展的共同目标。联合国千年发展目标、联...

作业场所安全使用化学品公约国际劳工组织大会: 经国际劳工局理事会召集,于一九九0年六月七日在日内瓦举行第七十七届会议, 注意到有关的国际劳工公约和建议书,特别是1971年苯公约和建议书、1974年职业病公约...

安全的去除宝宝手上的倒刺宝宝原本白白嫩嫩的手指上,最近多了一个“不速之客”——从指甲边上翘起一根长长细细的“刺”,这可让宝宝很不舒服,咬、抓,可是这个“客人”就是赶不走,怎么办呢? 倒刺是什么? 倒...

甲流肆虐宝宝如何安全度过近期H1N1流感仍在蔓延,0至6岁的宝宝还在免疫功能不全期,抵抗力还比较弱,妈妈很担心,宝宝在这些特殊的时间段,如何安全度过?如何预防? 主动预防甲型H1N1流感才是硬道理 甲型H1N1流...

家长会安全讲话稿尊敬的各位家长:幼儿是祖国的未来,家长的希望。 幼儿的安全是幼儿健康发展、成长的基础,也是全社会普遍关注的问题,你的孩子送到我们幼儿园来就读,是你们对我园的信任。我园根据...

水、环境与安全联合国发表的世界水发展报告估算,近去年一年,世界范围内就有两百二十万人死于与水相关的疾病。由于全球气候变暖,到本世纪中页,将有20到70亿人口受到水资源缺乏的影响。水发展报...

噩梦,宝宝情绪的“安全阀”2007年01月16日11:10 亲子 作者:首都师范大学 徐 玲(儿童心理学硕士) 梦是宝宝情绪的反映 1岁的宝宝虽不善表达梦境,但是他会做梦。当宝宝接近两岁时,他就可以用语言来讲述对梦的...

换季时节宝宝怎样安全度过长袖加夹衣宝宝捂出病 夏秋交替,宝宝患上呼吸道感染的机会比较多,好多孩子感冒发烧其实是家长捂出来的,有的孩子来看病时长袖外面居然还套件夹衣。家长一定要记住按照天气变化...

推荐阅读
图文推荐