❶ 如何部署和調試FTP伺服器
在FTP的使用當中,用戶經常遇到兩個概念:"下載"(Download)和"上載"(Upload)。"下載"文件就是從遠程主機拷貝文件至自己的計算機上;"上載"文件就是將文件從自己的計算機中拷貝至遠程主機上。用Internet語言來說,用戶可通過客戶機程序向(從)遠程主機上載(下載)文件。 使用FTP時必須首先登錄,在遠程主機上獲得相應的許可權以後,方可上傳或下載文件。也就是說,要想同哪一台計算機傳送文件,就必須具有哪一台計算機的適當授權。換言之,除非有用戶ID和口令,否則便無法傳送文件。這種情況違背了Internet的開放性,Internet上的FTP主機何止千萬,不可能要求每個用戶在每一台主機上都擁有帳號。匿名FTP就是為解決這個問題而產生的。 匿名FTP是這樣一種機制,用戶可通過它連接到遠程主機上,並從其下載文件,而無需成為其注冊用戶。系統管理員建立了一個特殊的用戶ID,名為anonymous,Internet上的任何人在任何地方都可使用該用戶ID。 通過FTP程序連接匿名FTP主機的方式同連接普通FTP主機的方式差不多,只是在要求提供用戶標識ID時必須輸入anonymous,該用戶ID的口令可以是任意的字元串。習慣上,用自己的E-mail地址作為口令,使系統維護程序能夠記錄下來誰在存取這些文件。 值得注意的是,匿名FTP不適用於所有Internet主機,它只適用於那些提供了這項服務的主機。 當遠程主機提供匿名FTP服務時,會指定某些目錄向公眾開放,允許匿名存取。系統中的其餘目錄則處於隱匿狀態。作為一種安全措施,大多數匿名FTP主機都允許用戶從其下載文件,而不允許用戶向其上載文件,也就是說,用戶可將匿名FTP主機上的所有文件全部拷貝到自己的機器上,但不能將自己機器上的任何一個文件拷貝至匿名FTP主機上。即使有些匿名FTP主機確實允許用戶上載文件,用戶也只能將文件上載至某一指定上載目錄中。隨後,系統管理員會去檢查這些文件,他會將這些文件移至另一個公共下載目錄中,供其他用戶下載,利用這種方式,遠程主機的用戶得到了保護,避免了有人上載有問題的文件,如帶病毒的文件。 作為一個Internet用戶,可通過FTP在任何兩台Internet主機之間拷貝文件。但是,實際上大多數人只有一個Internet帳戶,FTP主要用於下載公共文件,例如共享軟體、各公司技術支持文件等。 Internet上有成千上萬台匿名FTP主機,這些主機上存放著數不清的文件,供用戶免費拷貝。實際上,幾乎所有類型的信息,所有類型的計算機程序都可以在Internet上找到。這是Internet吸引我們的重要原因之一。 匿名FTP使用戶有機會存取到世界上最大的信息庫,這個信息庫是日積月累起來的,並且還在不斷增長,永不關閉,涉及到幾乎所有主題。而且,這一切是免費的。 匿名FTP是Internet網上發布軟體的常用方法。Internet之所以能延續到今天,是因為人們使用通過標准協議提供標准服務的程序。像這樣的程序,有許多就是通過匿名FTP發布的,任何人都可以存取它們。 Internet中的有數目巨大的匿名FTP主機以及更多的文件,那麼到底怎樣才能知道某一特定文件位於哪個匿名FTP主機上的那個目錄中呢?這正是 Archie伺服器所要完成的工作。Archie將自動在FTP主機中進行搜索,構造一個包含全部文件目錄信息的資料庫,使你可以直接找到所需文件的位置信息。
編輯本段Windows下最廣泛使用:Serv-U
Serv-U是一種被廣泛運用的FTP伺服器端軟體,支持3x/9x/ME/NT/2K等全Windows系列。可以設定多個FTP伺服器、限定登錄用戶的許可權、登錄主目錄及空間大小等,功能非常完備。 它具有非常完備的安全特性,支持SSl FTP傳輸,支持在多個Serv-U和FTP客戶端通過SSL加密連接保護您的數據安全等。 Serv-U 是目前眾多的FTP 伺服器軟體之一。通過使用Serv-U,用戶能夠將任何一台PC 設置成一個FTP 伺服器,這樣,用戶或其他使用者就能夠使用FTP 協議,通過在同一網路上的任何一台PC與FTP 伺服器連接,進行文件或目錄的復制,移動,創建,和刪除等。這里提到的FTP 協議是專門被用來規定計算機之間進行文件傳輸的標准和規則,正是因為有了象FTP 這樣的專門協議,才使得人們能夠通過不同類型的計算機,使用不同類型的操作系統,對不同類型的文件進行相互傳遞。
❷ FTP的防範與攻擊如何實現
------------------------FTP安全考慮—RFC2577----------------------------------
1.簡介
文件傳輸協議規范(FTP)[PR85]提供了一種允許客戶端建立FTP控制連接並在兩台
FTP伺服器間傳輸文件的機制。這種「代理FTP」機制可以用來減少網路的流量,客戶端命
令一台伺服器傳輸文件給另一台伺服器,而不是從第一台伺服器傳輸文件給客戶端,然後從
客戶端再傳輸給第二台伺服器。當客戶端連接到網路的速度特別慢時,這是非常有用的。但
同時,代理FTP還帶來了一個安全問題——「跳轉攻擊(bounce attack)」[CERT97:27]。除
了「跳轉攻擊」,FTP伺服器還可以被攻擊者通過強力來猜測密碼。
本文檔並不考慮當FTP和一些強壯的安全協議(比如IP安全)聯合使用的情況。雖然
這些安全關注並不在本文檔的考慮范圍內,但是它們也應該被寫成文檔。
本文給FTP伺服器的實現者和系統管理員提供了一些信息,如下所示。第二章描述了
FTP「跳轉攻擊」。第三章提供了減少「跳轉攻擊」的建議。第四章給基於網路地址限制訪
問的伺服器提供了建議。第五章提供了限制客戶端強力「猜測密碼」的建議。接著,第六章
簡單的討論了改善保密性的機制。第七章給出了阻止猜測用戶身份的機制。第八章討論了端
口盜用。最後,第九章討論了其它跟軟體漏洞有關而跟協議本身無關的FTP安全問題。
2.跳轉攻擊(Bounce Attack)
RFC959[PR85]中規定的FTP規范提供了一種攻擊知名網路伺服器的一種方法,並且使
攻擊者很難被跟蹤。攻擊者發送一個FTP"PORT"命令給目標FTP伺服器,其中包含該主機
的網路地址和被攻擊的服務的埠號。這樣,客戶端就能命令FTP伺服器發一個文件給被
攻擊的服務。這個文件可能包括根被攻擊的服務有關的命令(如SMTP,NNTP等)。由於是
命令第三方去連接到一種服務,而不是直接連接,就使得跟蹤攻擊者變得困難,並且還避開
了基於網路地址的訪問限制。
例如,客戶端上載包含SMTP命令的報文到FTP伺服器。然後,使用正確的PORT命
令,客戶端命令伺服器打開一個連接給第三方機器的SMTP埠。最後,客戶端命令服務
器傳輸剛才上載的包含SMTP命令的報文給第三方機器。這就使得客戶端不建立任何直接
的連接而在第三方機器上偽造郵件,並且很難跟蹤到這個攻擊者。
3.避免跳轉攻擊
原來的FTP規范[PR85]假定使用TCP進行數據鏈接,TCP埠號從0到1023時報留給
一些眾所周知的服務的,比如郵件,網路新聞和FTP控制鏈接。FTP規范對數據鏈接沒有
限制TCP埠號。因此,使用代理FTP,客戶端就可以命令伺服器去攻擊任何機器上眾所
周知的服務。
為了避免跳轉攻擊,伺服器最好不要打開數據鏈接到小於1024的TCP埠號。如果服
務器收到一個TCP埠號小於1024的PORT命令,那麼可以返回消息504(對這種參數命
令不能實現)。但要注意這樣遺留下那些不知名服務(埠號大於1023)易受攻擊。
一些建議(例如[AOM98]和[Pis94])提供了允許使用除了TCP以外的其他傳輸協議來
建立數據連接的機制。當使用這些協議時,同樣要注意採用類似的防範措施來保護眾所周知
的服務。
另外,我們注意到跳轉攻擊一般需要攻擊者首先上載一個報文到FTP伺服器然後再下
載到准備攻擊的服務埠上。使用適當的文件保護措施就可以阻止這種情況發生。然而攻擊
者也可能通過從遠程FTP伺服器發送一些能破壞某些服務的數據來攻擊它。
禁止使用PORT命令也是避免跳轉攻擊的一種方法。大多數文件傳輸可以僅通過PASV
命令來實現。但這樣做的缺點就是喪失了使用代理FTP的能力,當然代理FTP並不是在所
有場合都需要的。
4.受限制的訪問
一些FTP伺服器希望有基於網路地址的訪問控制。例如,伺服器可能希望限制來自某
些地點的對某些文件的訪問(例如為了某些文件不被傳送到組織以外)。在這種情況下,服
務器在發送受限制的文件之前應該首先確保遠程主機的網路地址在本組織的范圍內,不管是
控制連接還是數據連接。通過檢查這兩個連接,伺服器就被保護避免了這種情況:控制連接
用一台可信任的主機連接而數據連接不是。同樣的,客戶也應該在接受監聽模式下的開放端
口連接後檢察遠程主機的IP地址,以確保連接是由所期望的伺服器建立的。
注意,基於網路地址的受限訪問留下了FTP伺服器易受「地址盜用(spoof)」攻擊。在
spoof攻擊中,攻擊機器可以冒用在組織內的機器的網路地址,從而將文件下載到在組織之
外的未授權的機器上。只要可能,就應該使用安全鑒別機制,比如在[HL97]中列出的安全鑒
別機制。
5.保護密碼
為了減少通過FTP伺服器進行強力密碼猜測攻擊的風險,建議伺服器限制嘗試發送正
確的密碼的次數。在幾次嘗試(3~5次)後,伺服器應該結束和該客戶的控制連接。在結束
控制連接以前,伺服器必須給客戶端發送一個返回碼421(「服務不可用,關閉控制連接」
[PR85])。另外,伺服器在相應無效的「PASS」命令之前應暫停幾秒來消減強力攻擊的有效
性。若可能的話,目標操作系統提供的機制可以用來完成上述建議。
攻擊者可能通過與伺服器建立多個、並行的控制連接破壞上述的機制。為了搏擊多個並
行控制連接的使用,伺服器可以限制控制連接的最大數目,或探查會話中的可疑行為並在以
後拒絕該站點的連接請求。然而上述兩種措施又引入了「服務否決」攻擊,攻擊者可以故意
的禁止有效用戶的訪問。
標准FTP[PR85]在明文文本中使用「PASS」命令發送密碼。建議FTP客戶端和伺服器
端使用備用的鑒別機制,這種鑒別機制不會遭受竊聽。比如,IETF公共鑒別技術工作組開
發的機制[HL97]。
6.私密性
在FTP標准中[PR85]中,所有在網路上被傳送的數據和控制信息(包括密碼)都未被
加密。為了保障FTP傳輸數據的私密性,應盡可能使用強壯的加密系統。在[HL97]中定義
了一個這樣的機制。
7.保護用戶名
當「USER」命令中的用戶名被拒絕時,在FTP標准中[PR85]中定義了相應的返回碼530。
而當用戶名是有效的但卻需要密碼,FTP將使用返回碼331。為了避免惡意的客戶利用USER
操作返回的碼確定一個用戶名是否有效,建議伺服器對USER命令始終返回331,然後拒絕
對無效用戶名合並用戶名和密碼。
8.埠盜用
許多操作系統以遞增的順序動態的分配埠號。通過合法的傳輸,攻擊者能夠觀察當前
由伺服器端分配的埠號,並「猜」出下一個即將使用的埠號。攻擊者可以與這個埠建
立連接,然後就剝奪了下一個合法用戶進行傳輸的能力。或者,攻擊者可以盜取給合法用戶
的文件。另外,攻擊者還可能在從授權用戶發出的數據流中插入偽造的文件。通過使FTP
客戶和伺服器隨機的給數據連接分配埠號,或者要求操作系統隨機分配埠號,或者使用
與系統無關的機制都可以減少埠盜用的發生。
9.基於軟體的安全問題
本文檔的重點是和協議相關的安全問題。另外還有一些成文的FTP安全問題是由於不
完善的FTP實現造成的。雖然這種類型的問題的細節超出本文檔的范圍,還是有必要指出
以下那些過去曾被誤用,今後的實現應該慎重考慮的FTP特性。
? 匿名FTP
匿名FTP服務使客戶端用最少的證明連接到FTP伺服器分享公共文件。如果這樣的用
戶能夠讀系統上所有的文件或者能建立文件,那麼問題就產生了。[CERT92:09] [CERT93:06]
? 執行遠程命令
FTP擴展命令"SITE EXEC"允許客戶端執行伺服器上任意的命令。這種特性顯然需要非
常小心的實現。已經有幾個成文的例子說明攻擊者利用FTP「SITE EXEC」命令可以破壞服
務器的安全性。[CERT94:08] [CERT95:16]
? 調試代碼
前面的一些跟FTP有關危及安全的問題是由於置入了調試特性的軟體造成的。
[CERT88:01]
本文建議有這些功能的FTP伺服器的實現者在發布軟體之前參閱所有的CERT有關這
些問題的攻擊以及類似機制的忠告。
10.結論
使用以上建議可以減少和FTP伺服器有關的安全問題的發生,而不用刪除其功能。
❸ FTP空間建設
先把你的FTP伺服器電腦IP設成指定IP ,例如:192.168.1.21
登錄路由,192.168.1.1
帳號密碼都為 admin
左邊點「轉發規則」
選擇「虛擬伺服器」
點「添加新條目」,
伺服器埠:21
IP地址寫你FTP的伺服器機的IP,,如上:192.168.1.21
其他不做更改。按保存。OK。。這樣用路由將外網埠映射到內網。可訪問了。
❹ 企業FTP建設
擦==b,我孤陋寡聞了.Server-U我不知道,壓根沒聽說,不知道你說的是不是Serv-U.
這個是專業級的FTP服務軟體.怎麼會讓你感覺不安全,你至少找個能說服我的理由或者例子.
2K3的自帶FTP安全系數咱不說了,至於方便與否.咱先說說用戶設置,登錄管理FTP除開匿名用戶,其他均需要在系統本地設置用戶才可以分配給FTP使用.
也就是說你要想在FTP用戶列表裡面增加一個guest01,那麼你也必須在系統用戶列表中增加這一用戶,不然配置訪問管理許可權.
說到便利還不如serv-U安全系數依仗系統安全系數不過默認情況下serv-u好過2k3自帶FTP
❺ ftp伺服器怎麼建設
1.建議4台電腦設置固定的ip地址,且在同一網段,如分別設為192.168.1.10——192.168.1.14,掩碼255.255.255.0。不然,每次開機可能會分配到不同的ip地址,FTP伺服器的地址就可能經常變化。
2.選擇一台機器安裝一個FTP伺服器程序(如192.168.1.10的機器),FTP伺服器推薦使用serv-u,然後進行必要的軟體設置,並啟動FTP伺服器程序。
要使FTP伺服器能夠正常使用,還有2個關鍵問題(新手容易忽略的),就是設置防火牆規則,使別人能訪問你的FTP,同時,你的FTP伺服器能訪問網路。
步驟如下(以XP自帶防火牆為例):
(1)查看防火牆是否允許Serv-U訪問網路,控制面板->windows防火牆->例外,查看是否有Serv-uFTPServer且前面選擇框已打勾。如下圖。
如果沒有,就點擊左下角的「添加程序」,選擇FTP伺服器的安裝路徑和程序文件,確定。
(2)添加規則允許其他人訪問你的這台192.168.1.10,控制面板->windows防火牆->例外,就點擊左下角的「添加埠」,名稱隨便,埠21,協議TCP,再重復添加一遍,埠還是21,協議選UDP。
現在,在其他機器上在地址欄中輸入ftp://192.168.1.10就能訪問你的FTP了。
❻ 怎麼搭建FTP伺服器
1、首先,我們創建一個用於登錄FTP以進行操作的用戶帳戶。右鍵單擊我的桌面並選擇「管理選項」,轉到「管理」界面,然後打開「本地用戶和組」選項。我們可以在列表中看到用戶選項。
❼ FTP服務的工作機制
FTP(File Tranfer Protocol) 文本傳輸協議,主要用於internet上文件的雙向傳輸,同時ftp也是一種應用程序。
一、特性
基於C/S 結構
雙通道協議:數據和命令連接
數據傳輸格式:二進制(默認)和文本格式
埠:基於tcp服務,數據埠(20)和控制埠(21)
二、模式支持
1、主動模式
主動模式FTP:(伺服器主動連接)客戶端從任意的一個非特權埠N,連接到FTP伺服器的命令埠,也就是21埠。讓後客戶端開始監聽埠N+1,並發送FTP命令「port
N+1」 到ftp伺服器。接著伺服器會從自己的數據埠(20)主動連接到客戶端指定的數據埠(N+1)
以上描述可以在實驗環境下查看
主要方法以上文中已有所描述,下面是在wondows上查看埠的命令
netstat -ant|findstr :21
針對FTP伺服器前面的防火牆雷說,必須允許以下通信才能支持主動方式FTP。
1、 允許任何大於1024的埠到FTP伺服器的21埠。 (客戶端初始化連接)
2、 允許FTP伺服器的21埠到大於1024的埠。(伺服器響應客戶端的控制埠)
3、 允許FTP伺服器的20埠到大於1024埠。(伺服器初始化數據連接到客戶端的數據埠)
4、 允許大於1024埠到ftp伺服器的20埠。(客戶端發送ack響應到伺服器的數據埠)
2、被動模式
為了解決伺服器發起到客戶端的連接問題,人們開發了一種不同的ftp連接方式。這就是所謂的被動方式,或成為PASV,當客戶端通知伺服器它處於被動模式時才啟用。
在被動模式ftp中,命令連接和數據連接由客戶端發起,這樣就可以解決從伺服器到客戶端的數據埠入方向連接被防火牆過濾掉的問題。
當開啟FTP連接時,客戶端打開兩個任意非特權本地埠N,N+1。第一個埠連接伺服器的21埠,但與主動模式的FTP不同,客戶端不會提交PORT命令並允許伺服器來回連它的數據埠,而是提交PASV命令。這樣做的結果是伺服器會開啟一個任意的非特權埠
P,並發送port P命令給客戶端。然後客戶端發起從本地埠N+1到伺服器的埠P的連接用來傳輸數據。
對於伺服器端的防火牆來說,必須允許下面的通訊才能只是被動方式的FTP:
1、 允許從任何大於1024的埠到伺服器的21埠(客戶端初始化連接)
2、 允許伺服器的21埠到任何大於1024的埠(伺服器響應到客戶端的控制埠的連接)
3、 從任何大於1024埠到伺服器的大於1024的埠(客戶端初始化數據連接到伺服器的指定埠)
4、 伺服器的大於1024埠到客戶端的大於1024 的埠(伺服器發送ack響應和數據到客戶端的數據埠。)
三、簡述解釋及抓包分析過程
1、主動模式
命令連接:客戶端任意大於1024埠 N —> 伺服器21埠
數據連接:伺服器20埠 -----> 客戶端 N埠。
2、被動模式
命令連接:客戶端任意大於1024埠N ------> 伺服器21埠
數據連接:客戶端任意大於1024埠N+1 --------> 伺服器埠P
伺服器被動模式數據埠示例:
227 Entering Passive Mode (172,16,0,1,239,20)
伺服器的數據埠為239*256+20=61204 伺服器埠P為61204
四、FTP連接響應碼
1XX:信息 125:數據連接打開
2XX:成功類狀態 200:命令OK 230:登錄成功
3XX:補充類 331:用戶名OK
4XX:客戶端錯誤 425:不能打開數據連接
5XX:伺服器錯誤 530:不能登錄
❽ 如何創建FTP伺服器
Serv-U 是目前眾多的FTP 伺服器軟體之一。通過使用Serv-U,用戶能夠將任何一台PC 設置成一個FTP 伺服器,這樣,用戶或其他使用者就能夠使用FTP 協議,通過在同一網路上的任何一台PC與FTP 伺服器連接,進行文件或目錄的復制,移動,創建,和刪除等。這里提到的FTP 協議是專門被用來規定計算機之間進行文件傳輸的標准和規則,正是因為有了象FTP 這樣的專門協議,才使得人們能夠通過不同類型的計算機,使用不同類型的操作系統,對不同類型的文件進行相互傳遞。
雖然目前FTP 伺服器端的軟體種類繁多,相互之間各有優勢,但是Serv-U 憑借其獨特的功能得以展露頭腳。具體來說,Serv-U 能夠提供以下功能:
符合windows 標準的用戶界面友好親切,易於掌握。
支持實時的多用戶連接,支持匿名用戶的訪問;通過限制同一時間最大的用戶訪問人數確保PC 的正常運轉。
安全性能出眾。在目錄和文件層次都可以設置安全防範措施。能夠為不同用戶提供不同設置,支持分組管理數量眾多的用戶。可以基於IP 對用戶授予或拒絕訪問許可權。
支持文件上傳和下載過程中的斷點續傳。
支持擁有多個IP 地址的多宿主站點。
能夠設置上傳和下載的比率,硬碟空間配額,網路使用帶寬等,從而能夠保證用戶有限的資源不被大量的FTP 訪問用戶所消耗。
可作為系統服務後台運行。
可自用設置在用戶登錄或退出時的顯示信息,支持具有UNIX 風格的外部鏈接。
上面列出的只是Serv-U 眾多功能中的一部分,具體的使用將在下文中進行詳細的介紹,這里要說明的? 時,Serv-U 在保持功能全面,強大的基礎上,提供的完全易於使用的操作界面,可以說一切盡在掌握。
使用說明
用戶在使用Serv-U 的過程中可能會碰到的所有設置問題都可以通過Serv-U 窗口中的菜單選項實現。如果用戶在安裝Serv-U 之後,啟動Serv-U 時,屏幕上沒有顯示出Serv-U 的控制窗口的話,可以用滑鼠右鍵點擊位於任務條系統托盤中的Serv-U 圖標(一個大寫的字母「U」),然後選擇彈出菜單中的第一項「Show Window」,這樣屏幕上就會顯示出Serv-U 的控制窗口。
設置FTP伺服器
位於Serv-U 控制窗口中的「SETUP」菜單中的第一項「FTP-SERVER」用來對FTP 伺服器進行總體上的設置。在選擇之後出現的窗口中的第一項「FTP PORT NUMBER」用來設置FTP伺服器使用的埠號,FTP伺服器將會通過該埠收聽所有來訪用戶的信息。一般情況下,FTP 伺服器的默認埠號為21,但是用戶可以根據自己的情況自由的進行更改,只要能夠保證所採用的埠號與其它網路應用不沖突即可。這里需要說明的一點是,使用用戶自己選擇的伺服器埠可以起到很好的安全防範作用,這時,只有用戶自己和其他知道該埠號的用戶才能夠成功的實現與伺服器的連接。因此,建議用戶在設置F TP 伺服器的時候使用自己選定的埠,而不要只是簡單的使用默認值。
隨後用戶需要設置伺服器所能提供的最大速度。一般情況下,用戶可以將這項空出,那麼伺服器將會利用所有可能的帶寬為客戶提供服務。能夠為用戶提供最大的訪問速度當然很好,但是過多的F TP 用戶可能會蠶食掉一切可能的帶寬,從而使其它的網路應用幾乎不可能實現。因此,合理的控制FTP 伺服器所能夠佔用的最大帶寬還是很重要的。
下一項是設置伺服器允許的最大用戶訪問量。在此,用戶可以限制同一時間內訪問FTP 伺服器的最大人數。如果把該項設為0,那麼FTP 伺服器將會拒絕任何用戶訪問要求;如果將該項空出,那麼Serv-U 將不會對訪問人數進行控制,直到耗盡所有的系統資源。如果用戶希望自己的FTP 伺服器能夠保持正常運轉的話,那麼最好對來訪的用戶數量進行合理的限制。一般情況下,即使老式的486 機器,在使用Serv-U之後,也能夠在同一時間內為20多名用戶提供訪問支持。
在此之後的一系列復選項中的第一項為「啟動安全功能」。如果用戶沒有選擇該項,那麼任何人通過網路都可以直接進入FTP 伺服器,對伺服器中的任何文件進行隨意地復制,改動,甚至刪除。除了那些擁有小范圍內的個人網路,不希望每次登錄都重復輸入用戶名、密碼等煩雜手續的人之外,用戶一定要確保已經選中了該選項,即啟動了伺服器的安全防範功能。
下一項「ENCRYPT PASSWORDS」在默認情況下也被自動選中。這樣,Serv-U 將會使用與UNIX 操作系統相同的加密機制加密並保存用戶的密碼。如果用戶不選擇對密碼進行加密,那麼所有用戶輸入的口令將會以明文的方式保存在位於S erv-U 安裝目錄下的Serv-U.ini 文件中。
隨後一項用來設定是否需要匿名訪問用戶輸入密碼。默認情況下,該項為空白,這樣那些使用匿名帳號訪問FTP 伺服器的用戶將不被要求輸入口令。需要注意的是這里對匿名用戶密碼的檢測非常簡單,只要匿名用戶輸入符合郵件地址格式的任意字元串即可,S erv-U 不會進一步的判斷用戶輸入的郵件地址是否真正存在。
下一項為預防反超時措施。如果用戶選擇了該選項,Serv-U 將會採用新的記時方式,那些希望通過定期向伺服器發送命令來防止出現超時操作的用戶將不再得逞。
隨後的選項被用來設定是否刪除沒有完整上傳的文件,如果用戶不使用該刪除功能,那麼當有用戶在向FTP 伺服器上傳文件的過程中出現錯誤而沒有實現文件的完整上傳時,Serv-U 將會在硬碟上保留已上傳的內容,從而實現上傳文件的斷點續傳。
下面我們要討論的是跨FTP 攻擊。通常狀況下,當使用FTP 協議進行文件的傳輸時,客戶端首先向FTP 伺服器發出一個「PORT」命令,該命令中包含該用戶的IP地址和將被用來進行數據傳輸的埠號。伺服器在收到該命令後,利用命令所提供的用戶地址信息建立與用戶的連接。大多數情況下,上述過程不會出現任何問題,但是,當客戶端是一名惡意用戶時,可能會通過在P ORT 命令中加入特定的地址信息,使FTP 伺服器與其它非客戶端的機器建立連接。雖然這名惡意用戶可能本身無權直接訪問某一特定機器,但是如果FTP 伺服器有權訪問該機器的話,那麼惡意用戶通過FTP 伺服器作為中介,仍然能夠最終實現與目標伺服器的連接。這就是我們所提到的跨伺服器攻擊。為了防止上述情況的發生,用戶可以選擇「防止跨F TP 伺服器攻擊」的選項,這樣Serv-U在與任何來訪用戶建立連接之前,首先要核實該用戶提供的地址信息是否為其真實地址。任何事情都是兩方面的。我們已經知道通過使用S erv-U 可以防止發生跨FTP伺服器的攻擊,但是,同時我們也放棄了在FTP伺服器和FTP 伺服器之間實現數據傳輸的功能。這是因為Serv-U 只會與那些所提供的地址與地址提供者的實際地址相符的用戶建立連接,用戶將不能遠程式控制制在兩台不同的FTP 伺服器之間進行文件傳輸。
最後的兩個選項用來限制用戶在FTP 伺服器上的最大停留時間,以及規定伺服器中文件和目錄名的大小寫。
該窗口中的其它相關選項我們將會在稍後進行詳細介紹。
用戶帳號管理
用戶使用FTP 伺服器的一個最基本的任務就是添加和管理用戶信息。通過選擇「SETUP」菜單中的「USERS」打開Serv-U 的用戶管理窗口。該窗口可以分為左右兩大部分。其中左邊的窗口用來顯示目前所有已經注冊的FTP伺服器的用戶。任意選中其中一個用戶,其詳細的配置信息將會相應的顯示在窗口的右邊。如果是首次啟動S erv-U,那麼僅會顯示一個名為「DEFAULT」的系統默認帳號。
下面詳細介紹一下建立新用戶帳號的全過程.
首先單擊窗口最右邊的「NEW」按鈕,在隨後的彈出窗口中輸入需要建立的用戶名。這時,輸入的用戶名就會出現在窗口右邊的用戶名一欄中。用戶還可以在該欄中對所建立的帳號名稱進行修改。
隨後用戶可以輸入該帳號將要歸屬的用戶組的組名或建立一個新的組。所謂組是人們為了便於管理數量龐大的用戶群而推出的概念。我們可以把眾多的單個用戶劃分到不同的組里進行統一的管理。因為屬於同一個組的用戶都具有一些共同的屬性,例如用戶密碼,根目錄等,所以用戶只需要對個別具有特殊屬性的帳號進行個別設置即可,這樣就極大的簡化了對用戶帳號的管理和維護工作。需要注意的一點是,「A nonymous」這個特殊的用戶帳號不屬於任何一個用戶組。
在隨後的密碼欄中需要輸入帳號的口令,如果用戶在伺服器的設置中選擇了加密密碼的選項(見前文),那麼所輸入的密碼將自動以加密方式儲存。關於密碼很重要的一點是只有輸入的前8 位字元有效,希望能夠引起廣大Serv-U 使用者的注意。另外,如果用戶在建立新的帳號時沒有輸入相應的密碼,那麼並不意味著該用戶帳號沒有密碼,Serv-U 將會嘗試著尋找是否該用戶帳號屬於某一個用戶組並且該用戶組具有統一的密碼。如果Serv-U 沒有找到相應的用戶組密碼的話,將會拒絕該用戶帳號的訪問。如果用戶確實希望不規定某個帳號的密碼,只要在相應帳號的密碼一欄中輸入「$ #@60;$#@60;None$#@62;$#@62;」即可。上述情況的一個例外是Anonymous 用戶帳號,該帳號沒有密碼,Serv-U 只要求用戶輸入符合郵件地址格式的任意字元串即可。
在「HOME」一欄中,設置FTP 用戶的根目錄,即用戶在成功登錄之後所自動位於的起始目錄。每一個用戶帳號都要有自己的根目錄,否則Serv-U 將拒絕該用戶帳號的訪問。當然,如果該帳號屬於某個組,而該用戶組已經設定了共同的根目錄,那麼用戶就不必對該用戶組內的每個帳號進行重復設置。用戶在輸入根目錄的地址時應當注意必須使用完全路徑,包括盤符。
在「NOTE」一欄中,用戶可以選擇輸入一些對帳號起輔助說明的文字以備將來參考之用。
在用戶窗口右邊最大的一欄用來設定帳號的訪問許可權,從而決定用戶可以訪問哪些文件,並以何種方式訪問這些。Serv-U 按照文件和目錄兩大類別對用戶的訪問許可權進行了劃分。具體來說包括:
對文件的訪問許可權:
READ:允許用戶下載文件;
WRITE:允許用戶上傳文件,但無權對文件進行更改,刪除,或重命名;
APPEND:允許用戶對已有的文件進行附加,擁有APPEND許可權的用戶自動擁有WRITE
許可權;
DELETE:允許用戶對文件進行改動,重命名,或刪除。擁有DELETE許可權的用戶自動擁
有WRITE 和APPEND 許可權;
EXECUTE:允許用戶通過FTP 運行可執行文件。例如,用戶可以遠程運行DOS或Windows
程序。
對目錄的訪問許可權:
LIST:允許用戶取得目錄列表;
MAKE:允許用戶在根目錄下建立新的子目錄;
REMOVE:允許用戶刪除根目錄下的子目錄。
INHERIT:選中該選項之後,對某一目錄設置的訪問許可權將自動被該目錄下的所有子目錄
繼承。
在完成上述所有設置之後,點擊「STORE」按鈕,新建立的用戶帳號將被保存在FTP 伺服器中。
該窗口中的其它選項將會在稍後進行詳細的介紹。
實時監控
用戶在完成FTP伺服器的基本配置之後,就可以向外界提供FTP文件傳輸服務了。我想很多用戶都希望在提供FTP 服務的過程中,能夠實時地對訪問自己伺服器的用戶進行監控,從而一方面既能夠對整個服務過程做到心中有數,另一方面還可以在可能出現意外問題之前,採取及時的防範和補救措施。在這一方面,相信S erv-U 能夠充分滿足大家的需求。
首先,讓我們看一下如何利用Serv-U 實現實時的用戶監控。
選擇「FILE」菜單中的「USER INFO」選項。在彈出窗口中的上半部分將會顯示出所有當前正在與伺服器連接的用戶。用滑鼠點擊其中的任一用戶將會在窗口的下半部分出現該用戶的詳細信息。
在窗口的右下方有一個「SPY ON USER」按鈕,點擊之後出現的窗口將會顯示出特定用戶向FTP伺服器發出以及FTP 伺服器響應的所有命令。該窗口將會跟蹤所選用戶的所有命令,對了解特定用戶在訪問FTP 伺服器的過程中的所有行為提供了可*的依據。
在該按鈕下方還有一個名為「KILL USER」的按鈕,如果用戶發現某個來訪用戶的行為可疑,可能會對FTP 伺服器的正常工作帶來危害的話,可以通過使用該按鈕立即中斷與該用戶的連接,將該用戶踢出FTP 伺服器。
需要注意的一點是,雖然Serv-U 能夠提供實時的用戶監控信息,但是需要耗用很大一部分的系統資源。如果用戶發現系統性能出現明顯下降的話,可以通過窗口右側的「F REEZE LIST」按鈕暫時凍結窗口信息的動態顯示,從而釋放出寶貴的系統資源。
設置伺服器端日誌記錄
除了能夠實時的進行監控之外,Serv-U還提供了強大的日誌記錄功能,從而方便用戶記錄和總結一段時期內Serv-U的運行情況。
選擇「FILE」菜單下的「LOGGING」,彈出日誌設置窗口,用戶可以選擇對哪些事件進行記錄,以及將記錄信息保存到何處。
在該窗口的右側,用戶可以選擇對不同的事件進行記錄,其中包括系統信息,安全信息等,同時用戶還可以設置是將所記錄 畔⑾允駒贇erv-U 的主窗口內,還是保存到某一指定文件內。出於耗用系統資源和備份信息的需要,建議用戶把日誌信息保存到指定的文件內。
需要說明的一點是Serv-U 的日誌記錄文件採用統一的格式,具體如下:
[n] DATE TIME - (xxxx) MESSAGE
最前面的數字「n」代表所記錄信息的類別,分別為:
n=1:系統信息(錯誤信息等);
n=2:用戶發出的FTP 命令;
n=3:文件下載;
n=4:文件上傳;
n=5:安全信息(用戶登錄信息等)
n=6:伺服器響應的FTP 命令;
n=7:WinSock使用記錄;
n=8:DLL文件訪問記錄
另外,括弧中的「XXXX」是Serv-U 賦予每一個來訪用戶的一個唯一的數字標識。
5.設置登錄和退出信息
細心的用戶可能會發現在登錄或退出某個FTP站點時,經常會出現一個窗口,顯示一些包括系統設置,歡迎訪問等在內的信息。那麼如何在S erv-U 下實現這一功能呢?
首先,用戶需要把要顯示給用戶的信息保存在一個文本文件中,然後選擇「SETUP」菜單中的「MESSAGES」,在彈出的窗口中進行設置。
在位於窗口最上方的下來框中,用戶需要選擇將要使用登錄和退出信息的IP地址。因為Serv-U 支持一台機器擁有多個IP,所以用戶需要選擇相應的IP地址。在下面的兩個選項中分別輸入用戶事先已經建立好的包含登錄和退出信息的文本文件的地址。
使用外部連接
所謂外部連接是指那些顯示在某一目錄下指向位於該目錄之外的某一文件或目錄的連接。在用戶端看來,外部連接所指向的文件或目錄就位於當前目錄之下,但實際上他們只是一些起連接作用的虛擬指針。使用外部連接的一個最大好處就是能夠把來訪用戶可能需要的所有資源都集中到一個目錄之中,這樣用戶就可以通過不同的外部連接訪問實際上位於不同磁碟或不同目錄的分散信息。
為了充分利用Serv-U 提供的外部連接功能,用戶首先需要生成一個文本文件保存所有可能會用到的外部連接。文件的具體格式如下:
LINK NAME | SOURCENAME
其中的「LINK NAME」是顯示在用戶當前目錄下的外部連接的名稱,而「SOURCENAME」則是該外部連接實際指向的磁碟或目錄。
例如我們在一個名為「LINK.TXT」的文件中寫入如下一條:
CD-ROM | F:\
這樣在用戶的當前目錄中就會出現「CD-ROM」字樣,點擊之後,就可以直接訪問FTP 伺服器的光碟機。
在配置好外部連接的文本文件之後,選擇「FTLE」菜單中的「FTP SERVER」,在彈出的窗口中找到「PRIMARY FIEL CONTAINING LINK」,然後輸入上述文本文件的完全路徑。在「PRIMARY FIEL CONTAINING LINK」下方有一個「SECONDARY FILE CONTAINING LINK」,該項是用來設定起輔助作用的外部連接文件,可以參照上述方法生成。
設置上傳和下載比例
如果用戶希望自己FTP 站點的使用者不僅僅使用自己提供的資源,還能夠上傳一些有價值的東西供大家共享的話,可以通過使用Serv-U提供的「上傳和下載比例」這一功能實現。
用戶可以在「FILE」菜單中的「FTP-SERVER」,「USERS」和「GROUPS」的彈出窗口中找到名為「U/D RATIOS」的功能按鈕,點擊之後出現設置窗口。用戶可以限制每個FTP 站點的使用者每上傳一個文件後可以下載的文件數。例如,如果將某個用戶的上傳和下載比例設置為1/3,那麼該用戶每上傳一個文件,就可以從F TP 站點下載3個文件。
Serv-U 支持在單個會話過程或全部會話過程的范圍內,按照具體傳輸的文件數目或文件的大小,限制用戶的上傳和下載比例。
使用磁碟限額
隨著用戶數量的增加,一個非常實際的問題就是如何既能夠確保每個用戶都有足夠的硬碟空間可用,同時又防止FTP 伺服器吞食整個機器的硬碟資源。同樣,在這個問題上Serv-U提供了有力的解決方案。
用戶可以分別在「FILE」菜單中的「USERS」和「GROUPS」選項的彈出窗口中找到名為「QUATO」的功能按鈕。點擊之後出現設置窗口,用戶可以首先檢測某個用戶帳號當前所使用的硬碟空間,然後根據具體的情況分別設置不同的用戶帳號所能支配的最大硬碟空間,從而有效的解決硬碟空間不足的問題。
基於IP地址授予或拒絕訪問許可權
選擇「FILE」菜單中的「IP ACCESS」選項,在彈出的窗口中進行設置。
用戶可以在窗口的左邊設置不同的訪問規則,而當前所有的訪問規則將會顯示在右邊的列表中。
Serv-U 提供了兩種基本的訪問規則,分別為「拒絕訪問」規則和「允許訪問」規則。在「拒絕訪問」規則下,所有來自用戶輸入的IP地址的訪問者都將被拒絕訪問,而來自其它I P地址的用戶都將被授予訪問許可權。同理,如果用戶選擇了「允許訪問」規則,那麼所有來自用戶輸入的IP地址的訪問者都將被授予訪問許可權,而來自其它I P 地址的用戶將無權訪問FTP 伺服器。
通過以上功能,用戶可以針對不同的IP地址,設置不同的許可權,從而有效的保障FTP 伺服器免受非法訪問者的侵害。
三.小節
Serv-U 是一款使用簡單,功能強大,易學易用的FTP 伺服器端軟體。相信廣大用戶結合以上的介紹,再加上個人的實踐,一定會在最短的時間內構建起自己的功能強大的FTP伺服器。
❾ 怎麼搭建FTP伺服器
很簡單的,只要裝iis就可以了。會么?
然後,在添加刪除組件裡面
的
應用程序服務,internet選項裡面的最後一個
ftp
打勾
。然後就下一步,裝好以後,在管理工具裡面找到iis.
裡面會有ftp站點,新建站點,把你要共享的文件夾選中就好了。
人家共享的時候
只要
ftp://你的ip。就ok了。
不像樓上說的那麼麻煩,還要dns
❿ 如何建設FTP
ftp全稱file transfer protocol,文件傳輸協議,ftp不僅是一項協議,還是一種服務一種應用,可供用戶在不同的設備之間復制文件,用戶即可以下載文件又可以上傳文件。
方法一:
利用IIS架設ftp
如果已經安裝了IIS可以再添加ftp服務,具體方法:
1.進 控制面板-〉添加或刪除程序-〉添加/刪除windows組件
2.此時Internet信息服務(IIS)選項已被選中,點擊Internet信息服務(IIS)選項,然後查看詳細信息,將文件傳輸協議(FTP)服務選項選中,確定後將系統安裝盤放入光碟機,然後點擊下一步安裝ftp服務。
如果沒有安裝IIS請參考「如何在自己的愛機上架設自己的個人網站」,並在安裝IIS前執行上面第2步
設置IIS中的FTP站點屬性
1.進入 控制面板-〉性能維護(分類視圖)-〉管理工具-〉Internet信息服務 打開IIS窗口
2.展開「本地計算機」前面的+號,看到「FTP站點」,繼續展開看到"默認FTP站點"
3.右鍵"默認FTP站點"-〉新建-〉虛擬目錄... 打開創建虛擬目錄的向導,這個要創建的虛擬目錄就是登錄ftp後看到的目錄。點擊向導的下一步,在別名中鍵入想要創建的目錄的名字,例如:myftp,然後下一步
4.向導要求輸入內容所在的目錄的路徑,此路徑就是你想共享的文件夾的路徑,比如你想共享g盤下的movie文件夾,那麼就在瀏覽中選擇這個文件夾,文本框中就顯示g:\movie\,然後點擊下一步
5.此時向導要求你設置此文件夾也就是myftp文件夾的訪問許可權,「讀取」是登陸的用戶可以看到並下載文件,"寫入"是用戶可以上傳文件,設置方訪問許可權後,完成虛擬目錄的創建
6.此時展開"默認FTP站點",便可看到剛才創建的文件夾
7.同IIS中「網站」的wwwroot一樣,「ftp站點」也有一個ftproot,默認地址是c:\inetpub\ftproot(詳細說明看「如何在自己的愛機上架設自己的個人網站」),在第5步中建立myftp虛擬文件夾後,還需要在ftproot中建立一個同虛擬文件夾同名的文件夾,此例中需要在c:\inetpub\ftproot\中建立myftp文件夾
8.至此,ftp就架設好了,並建立了第一個文件夾myftp,要想建立其他目錄步驟同上
方法二:下載Server-U的安裝軟體(網上注冊版和破解版的很多,網路一下你就看到好多好多),安裝軟體,然後在「開始―>程序」中可以看到「Server-U FTP Server」的菜單,選擇「Server-U Administrator」,就可以看到配置界面。
在配置界面的左側是配置菜單,除了有默認的本地伺服器,還可以添加新的伺服器。
組建一個FTP伺服器,首先要在本地伺服器下面的域中添加一個新的域,在「域」這個菜單上單擊右鍵選擇「新建域」,然後選擇一個可用的IP地址,如果選空,那麼就是說本機的所有IP地址都可以用,在設置IP地址之後,輸入該域的域名、埠等,就可以添加新的域了。
添加新的域之後,還需要對該域做一些設置,例如用戶的設置、訪問IP的限制等設置。
在設置好的域下面,有設置、活動、用戶、組四個菜單,點擊設置可以設置訪問的范圍等內容,比如不允許IP地址192.168.0.3訪問該伺服器,那麼就可以在設置的IP訪問中進行設置。
其實,這些設置都可以不做的,主要是對用戶的設置。在用戶這個菜單上單擊右鍵,選擇「新建用戶」,然後輸入要建立的用戶的名字、密碼、訪問的目錄等內容,其中可以把該用戶鎖定在要訪問的目錄上,不允許訪問伺服器的其他內容。在新建用戶之後,選中該用戶,在界面右側就會出現關於該用戶的一些設置的內容,可以對這個用戶的帳號進行一些設置。
如果不需要設置用戶來訪問,任何人都可以訪問,那麼還可以設置為匿名訪問,使用anonymous來訪問,密碼是郵件地址。
在配置完軟體之後,用戶可以直接在瀏覽器中輸入ftp://域來訪問,如果在Server-U中配置的時候,設置了匿名訪問,那麼用戶也可以不用用戶名和密碼來訪問的。或者也可以用FTP的客戶端軟體來訪問FTP伺服器,例如用LeapFTP、CuteFTP等軟體。
如何登陸ftp
方法一:用IE登錄ftp
打開IE,在地址欄中鍵入[url] ftp://xxx.xxx.xxx.xxx(xx[/url]表示你的ip),便可登陸
方法二:用專用ftp登錄軟體(推薦使用)
登錄ftp的軟體很多,有cuteFTP,FlashFXP,這里以FlashFXP為例介紹如何登陸ftp
flashftp界面介紹:界面有兩個窗口,默認情況下左面是本地窗口即你機子的文件夾,右面的是ftp窗口即遠程計算機的文件夾,按窗口上面的小圖標可以轉換本地窗口和遠程窗口
快速連接ftp站點:Ftp->Quick Connect 在Server or URL中輸入ftp站點的域名或ip,如果想登陸你自己的ftp就輸入你自己的Ip,在username/password中輸入用戶名和密碼,如果 ftp站點是匿名登陸則不需要填寫,填完後connect連接(另一種簡單的方法是點擊ftp窗口上面的閃電圖標進行快速連接)
站點管理器site manager:菜單sites->sites manager,然後new site並填寫相關ftp信息,apply後既保存了,以後點擊ftp窗口上面的閃電圖標,可以看到你新建的站點,點擊就可快速連接。