网管员训练营---让WindowsFTP服务器更安全(转)

网管员训练营---让WindowsFTP服务器更安全(转)

　　Windows 2000系统的IIS5.0提供 了FTP服务功能，由于它的简单易用，与Windows系统本身结合紧密，深受广大用户的喜爱。但使用IIS5.0架设的FTP服务器真的安全吗？它的默认设置其实存在很多安全隐患，很容易成为黑客们的攻击目标。如何让FTP服务器更加安全，只要我们稍加改造，就能做到。

　　 一 取消匿名访问功能

　　默认情况下，Windows 2000系统的FTP服务器是允许匿名访问的，虽然匿名访问为用户上传、下载文件提供方便，但却存在极大的安全隐患。用户不需要申请合法的账号，就能访问你的FTP服务器，甚至还可以上传、下载文件，特别对于一些存储重要资料的FTP服务器，很容易出现泄密的情况，因此建议用户取消匿名访问功能。

　　在Windows 2000系统中，点击“开始→程序→管理工具→Internet服务管理器”，弹出管理控制台窗口。然后展开窗口左侧的本地计算机选项，就能看到IIS5.0自带的FTP服务器，下面笔者以默认FTP站点为例，介绍如何取消匿名访问功能。

　　右键点击“默认FTP站点”项，在右键菜单中选择“属性”，接着弹出默认FTP站点属性对话框，切换到“安全账号”标签页，取消“允许匿名连接”前的勾选（如图1），最后点击“确定”按钮，这样用户就不能使用匿名账号访问FTP服务器了，必须拥有合法账号。

　　

　　

　　 二 启用日志记录

　　Windows日志记录着系统运行的一切信息，但很多管理员对日志记录功能不够重视，为了节省服务器资源，禁用了FTP服务器日志记录功能，这是万万要不得的。FTP服务器日志记录着所有用户的访问信息，如访问时间、客户机IP地址、使用的登录账号等，这些信息对于FTP服务器的稳定运行具有很重要的意义，一旦服务器出现问题，就可以查看FTP日志，找到故障所在，及时排除。因此一定要启用FTP日志记录。

　　在默认FTP站点属性对话框中，切换到“FTP站点”标签页，一定要确保“启用日志记录”选项被选中，这样就可以在“事件查看器”中查看FTP日志记录了。

　　 三 正确设置用户访问权限

　　每个FTP用户账号都具有一定的访问权限，但对用户权限的不合理设置，也能导致FTP服务器出现安全隐患。如服务器中的CCE文件夹，只允许CCEUSER账号对它有读、写、修改、列表的权限，禁止其他用户访问，但系统默认设置，还是允许其他用户对CCE文件夹有读和列表的权限，因此必须重新设置该文件夹的用户访问权限。

　　右键点击CCE文件夹，在弹出菜单中选择“属性”，然后切换到“安全”标签页，首先删除Everyone用户账号，接着点击“添加”按钮，将CCEUSER账号添加到名称列表框中，然后在“权限”列表框中选中修改、读取及运行、列出文件夹目录、读取和写入选项，最后点击“确定”按钮。这样一来，CCE文件夹只有CCEUSER用户才能访问。

　　 四 启用磁盘配额

　　FTP服务器磁盘空间资源是宝贵的，无限制的让用户使用，势必造成巨大的浪费，因此要对每位FTP用户使用的磁盘空间进行限制。下面笔者以CCEUSER用户为例，将其限制为只能使用100M磁盘空间。

　　在资源管理器窗口中，右键点击CCE文件夹所在的硬盘盘符，在弹出的菜单中选择“属性”，接着切换到“配额”标签页（如图2），选中“启用配额管理”复选框，激活“配额”标签页中的所有配额设置选项，为了不让某些FTP用户占用过多的服务器磁盘空间，一定要选中“拒绝将磁盘空间给超过配额限制的用户” 复选框。

　　

　　

　　然后在“为该卷上的新用户选择默认配额限制”框中选择“将磁盘空间限制为”单选项，接着在后面的栏中输入100，磁盘容量单位选择为“MB”，然后进行警告等级设置，在“将警告等级设置为”栏中输入“96”， 容量单位也选择为“MB”，这样就完成了默认配额设置。此外，还要选中“用户超出配额限制时记录事件”和“用户超过警告等级时记录事件”复选框，以便将配额告警事件记录到Windows日志中。

　　点击配额标签页下方的“配额项”按钮，打开磁盘配额项目对话框，接着点击“配额→新建配额项”，弹出选择用户对话框，选中CCEUSER用户后，点击“确定”按钮，接着在“添加新配额项”对话框中为CCEUSER用户设置配额参数，选择“将磁盘空间限制为” 单选项，在后面的栏中输入“100”，接着在“将警告等级设置为”栏中输入“96”，它们的磁盘容量单位为“MB”，最后点击“确定”按钮，完成磁盘配额设置，这样CCEUSER用户就只能使用100 MB磁盘空间，超过96MB就会发出警告。

　　 五 TCP/IP访问限制

　　为了保证FTP服务器的安全，我们还可以拒绝某些IP地址的访问。在默认FTP站点属性对话框中，切换到“目录安全性”标签页，选中“授权访问”单选项（如图3），然后在“以下所列除外”框中点击“添加”按钮，弹出“拒绝以下访问”对话框，这里我们可以拒绝单个IP地址或一组IP地址访问，以单个IP地址为例，选中“单机”选项，然后在“IP地址”栏中输入该机器的IP地址，最后点击“确定”按钮。这样添加到列表中的IP地址都不能访问FTP服务器了。

　　

　　

　　 六 合理设置组策略

　　通过对组策略项目的修改，也可以增强FTP服务器的安全性。在Windows 2000系统中，进入到“控制面板→管理工具”，运行本地安全策略工具。

　　1. 审核账户登录事件

　　在本地安全设置窗口中，依次展开“安全设置→本地策略→审核策略”，然后在右侧的框体中找到“审核账户登录事件”项目（如图4），双击打开该项目，在设置对话框中选中“成功”和“失败”这两项，最后点击“确定”按钮。该策略生效后，FTP用户的每次登录都会被记录到日志中。

　　

　　2. 增强账号密码的复杂性

　　一些FTP账号的密码设置的过于简单，就有可能被“不法之徒”所破解。为了提高FTP服务器的安全性，必须强制用户设置复杂的账号密码。

　　在本地安全设置窗口中，依次展开“安全设置→账户策略→密码策略”，在右侧框体中找到“密码必须符合复杂性要求”项，双击打开后，选中“已启用”单选项，最后点击“确定”按钮。

　　然后，打开“密码长度最小值”项，为FTP账号密码设置最短字符限制。这样以来，密码的安全性就大大增强了。

　　3. 账号登录限制

　　有些非法用户使用黑客工具，反复登录FTP服务器，来猜测账号密码。这是非常危险的，因此建议大家对账号登录次数进行限制。

　　依次展开“安全设置→账户策略→账户锁定策略”，在右侧框体中找到“账户锁定阈值”项，双击打开后，设置账号登录的最大次数，如果超过此数值，账号会被自动锁定。接着打开“账户锁定时间”项，设置FTP账号被锁定的时间，账号一旦被锁定，超过这个时间值，才能重新使用。

　　通过以上几步设置后，我们的FTP服务器就会更加安全，再也不用怕被非法入侵了。

　　

本文来自：http://www.linuxpk.com/30518.html

--&gtlinux电子图书免费下载和技术讨论基地

·上一篇： 新型DC/DC电源控制芯片DPA426的应用

·下一篇： 被入侵计算机系统恢复指南

最新更新
	·注册表备份和恢复 ·低级格式化的主要作用 ·如何防范恶意网站 ·常见文件扩展名和它们的说明 ·专家：警惕骇客骗局，严守企业信息 ·PGPforWindows介紹基本设定(2) ·解剖安全帐号管理器（SAM）结构 ·“恶作剧之王”揭秘 ·绿色警戒 ·黑客反击战 ·网络四大攻击方法及安全现状描述 ·可攻击3种浏览器代码流于互联网 ·黑客最新的兴趣点,下个目标会是谁? ·“僵尸”——垃圾邮件的主要传播源 ·Lebreat蠕虫惊现3变种 ·POSTFIX反病毒反垃圾Ų… ·在FreeBSD上用PHP实现在线添加FTP用户 ·简单让你在FreeBSDADSL上… ·安全版本：OpenBSD入门技巧解析 ·Internet连接共享上网完全攻略 ·关于ADSL上网网速常识 ·静态缓存和动态缓存的比较 ·最友好的SQL注入防御方法 ·令网站提速的7大秘方 ·网络基础知识大全 ·路由基本知识 ·端口映射的几种实现方法 ·VLAN经典诠释 ·问题分析与解决——ADSL错误代码 ·问题分析——关于2条E1的线路绑定