㈠ IIS虛擬目錄主目錄為「另一台計算機上的共享」,磁碟緩存寫入錯誤!
你到這網站看看吧!圖文並茂了。本人看了一下,成功率應該好高!
實現FTP服務
FTP站點基礎
正如WWW服務的實現依賴於TCP/IP協議組中的HTTP應用層協議一樣,FTP服務同樣依賴於TCP/IP協議組應用層中的FTP協議來實現。FTP的默認TCP埠號是21,由於FTP可以同時使用兩個TCP埠進行傳送(一個用於數據傳送,一個用於指令信息傳送),所以FTP可以實現更快的文件傳輸速度。
使用FTP需要專門的客戶端軟體,例如著名的BulletFTP、LeapFTP等等,一般的瀏覽器(如IE)也可以實現有限的FTP客戶端功能,如下載文件等。
如右圖,就是在IE瀏覽器中打開的一個FTP站點。FTP 伺服器的Internet地址(URL)與通常在Web網站中使用的URL略有不同,其協議部分需要寫成"ftp://"而不是"",例如,由Microsoft創建並提供大量技術支持文件的匿名FTP伺服器地址為ftp://ftp.microsoft.com。
在IE中打開FTP站點,將自動以匿名用戶身份登錄,這時在窗口中列出的內容就是FTP站點根目錄下的文件和文件夾。如在Windows資源管理器中一樣雙擊打開文件夾(目錄)則進入其下一級目錄。
如果我們需要在IE中下載一個文件,應遵循如下步驟:
1.則在IE窗口中右擊該文件圖標,選擇,或者雙擊該文件。
2.如右上圖所示,在對話框中選擇。
3.確保復選框已經被選中。
4.單擊。
5.如右下圖,在對話框中選擇文件保存路徑,完成後單擊。
6.如下圖,在下載對話框中顯示進度,如果文件較大或者網路較慢,可能耗時較長,完成後單擊。
創建FTP站點
現在我們已經對FTP站點有了一個感性認識,接下來的任務是學習如何在IIS中創建FTP站點,實際上,這項工作是與創建Web站點的過程及其相似的。
規劃FTP站點
與Web站點相同,FTP站點同樣需要自己的IP地址和TCP埠號。由於FTP服務的默認埠號是21,而WWW服務是80,所以一個FTP站點可以和一個Web站點共享同一個IP地址。事實上,安裝IIS時自動生成的默認Web站點和默認FTP站點就是使用同一IP地址的。當我們不使用默認的21作為FTP站點的TCP埠號時,客戶機請求FTP站點時就需要在FTP伺服器域名地址後面添加":"和實際埠號。
IIS的FTP服務也有虛擬伺服器的實現方式,通過虛擬FTP伺服器,可以在一台實際計算機上維持多個FTP站點。虛擬伺服器的優點是節省硬體成本,缺點是多個站點共用一台主機的資源會造成性能上的問題。實際的規劃中並沒有一種嚴格的定量規則,要根據站點的訪問量和可能的數據流量以及伺服器的硬體條件、帶寬資源等規劃一台計算機所最多承載的站點數。
在IIS中,可以為FTP站點設置虛擬目錄,虛擬目錄的引入,極大的擴展了FTP伺服器的存儲能力。我們知道單一主目錄的存儲能力受到磁碟分區(包括物理磁碟)的大小限制,而FTP服務的目的恰恰是提供大量文件以供下載,或提供大量的空間用於用戶存儲文件。這樣的矛盾只有通過虛擬目錄的方法才能得到解決,尤其時遠程虛擬目錄,可以將FTP站點的存儲空間分布在網路中的多台計算機中。但是,虛擬目錄(尤其是遠程虛擬目錄)也帶來一些性能上的問題,分布在區域網中多台計算機上的存儲環境可能會造成較多的網路流量。對於訪問量大的FTP站點而言,分布的存儲可能會影響到區域網中的其他用戶。對此,唯一的彌補方法是盡量將訪問量大的文件保存在伺服器的本地磁碟上,而將不太常用的文件保存在遠程虛擬目錄中。
使用FTP站點創建向導
創建FTP站點的工作要在IIS的MMC窗口中進行,這里我們使用FTP伺服器創建向導新建一個示例FTP伺服器,方法如下。
1.在IIS左側的管理控制樹中右擊計算機圖標,在彈出菜單中指向,單擊。
2.在FTP站點創建向導中單擊。
3.如下左圖,在對話框中輸入用於在IIS內部識別站點的說明,該名稱並非真正的FTP站點域名。
4.如下右圖,在對話框中指定該站點使用的IP地址和TCP埠號,注意默認的埠號為21。完成後單擊。
5.如上圖,在主目錄對話框中指定站點主目錄,主目錄是由於存儲站點文件的主要位置。虛擬目錄以在主目錄中映射文件夾的形式存儲數據。完成後單擊。
6.如上右圖,在對話框中指定站點許可權,FTP站點只有兩種訪問許可權:讀取和寫入,前者對應下載許可權;後者對應上傳許可權。單擊繼續。
7.如右圖,單擊結束FTP站點創建。
8.回到IIS窗口中,在管理控制樹中選擇我們剛剛創建的FTP站點,單擊工具條上的圖標使之生效。
創建虛擬目錄
虛擬目錄能夠極大的拓展FTP伺服器的存儲能力。FTP虛擬目錄分為本地和遠程兩種,本地虛擬目錄即可以位於與FTP站點主目錄相同的磁碟分區上,也可以位於本地的其他磁碟上;遠程虛擬目錄則位於網路中的其他計算機上(必須與FTP站點所在的IIS計算機處於同一域中)。出於向下兼容性的考慮,FTP站點的虛擬目錄相當於在站點主目錄下的映射文件夾。雖然對於FTP用戶而言這些內容是在後台執行的不可見過程;但對於FTP站點管理員,就需要考慮這一特性在站點和虛擬目錄創建過程中造成的影響,稍後我們就將看到這一影響。
創建FTP虛擬目錄的工作也是在IIS管理工具中完成的,具體如下:
1.在IIS管理控制樹中右擊需要重建虛擬目錄的FTP站點,在彈出菜單中指向,單擊。
2.打開虛擬目錄創建向導,如右上圖,在向導歡迎對話框中單擊。
3.如左上圖,在對話框中的欄中指定虛擬目錄別名。這里所謂的別名,是指虛擬目錄在IIS管理器中的有效名稱,亦即虛擬目錄在站點主目錄下映射的名稱。用戶在下載FTP文件時指定的URL路徑中包含的目錄名稱就是虛擬目錄別名(對於非虛擬目錄,指定其實際名稱即可)。別名與目錄真實名稱沒有聯系,但也可以相同。單擊繼續。
4.如右上圖,在對話框中單擊瀏覽指定或在欄中直接指定虛擬目錄所對應的實際路徑。前面已經提到,對於遠程虛擬目錄,其實際路徑是以UNC路徑的形式指定的,如需要以Server伺服器上的Share共享文件夾作為虛擬目錄的實際路徑,則應指定路徑欄中指定UNC名為:\\Server\Share。單擊繼續。
5.如右圖,在對話框中,指定該虛擬目錄所允許的用戶訪問許可權。選擇相應的或復選框即可(對應下載和上傳許可權)。注意,這里的許可權(虛擬目錄許可權)相當於WWW服務中的Web許可權,是對所有站點訪問用戶都有效的。單擊繼續。
6.單擊結束創建。
為了檢驗我們的創建結果,回到IIS管理界面,在管理控制樹中展開我們剛剛創建虛擬目錄的網站,可見下新建的虛擬目錄節點,右擊虛擬目錄節點,在彈出菜單上選擇,打開一個IE窗口。此時窗口中列出的內容正是新建虛擬目錄所對應的實際目錄中包含的文件和文件夾,說明虛擬目錄創建成功。
但是,當我們在IE中打開站點時(比如右擊管理控制樹中的站點節點,選擇),在IE窗口中卻並未看見新建的虛擬目錄。不過,如果在IE的地址欄中的站點地址後面加上虛擬目錄的路徑,形如"/<虛擬目錄名>",仍然可以進入虛擬目錄並查看或下載其中的文件。這是為什麼呢?
其實上述問題的出現並非系統錯誤,其解決方法也並不復雜。前面我們曾經提到,FTP站點的虛擬目錄相當於站點主目錄下的映射文件夾,實際對應的文件夾並不在主目錄下,而在IE瀏覽器中打開的站點主頁卻只能顯示站點主目錄下的內容。於是,就造成了虛擬目錄不能在用戶瀏覽器(包括其他FTP客戶端工具)中顯示的現象。雖然採用直接輸入虛擬目錄路徑(完整URL)的方式也可以對虛擬目錄進行訪問,但是這顯然極大的影響了站點系統的應用。以下我們解決這個問題。
解決問題的思路是這樣的:既然虛擬目錄相當於站點主目錄下的映射文件夾,而主目錄下實際上又沒有這個實際文件夾,那麼我們可以在主目錄下創建一個與虛擬目錄同名的假文件夾。這個假文件夾使瀏覽器中可以顯示一個與虛擬目錄同名的項目。用戶在打開這個假文件夾時,將直接被引導到虛擬目錄。
首先,我們需要查看FTP站點的主目錄位置,如右圖,在FTP站點
屬性表單中的選項卡中的欄中查看FTP站點主目錄位置。
隨後,打開Windows資源管理器,找到站點主目錄文件夾,在主目錄文件夾下新建一個與虛擬目錄同名的假文件夾,如右圖。
最後,刷新IE瀏覽器窗口,這時可見FTP站點主目錄下出現虛擬目錄圖標,雙擊打開,即可進入虛擬目錄。
現在,讓我們討論一個問題:一旦主目錄下的假文件夾也包含有文件,那麼在請求虛擬目錄時,用戶得到的是虛擬目錄中的內容呢,還是假文件夾中實際存在的文件呢?這個問題留待讀者自己思考,實在不得要領的話建議做一個實驗驗證之。
管理FTP站點
在前一節,我們已經能夠創建FTP站點和虛擬目錄了,為了使FTP站點能夠正常工作,還依賴於對站點的合理配置。本節將介紹有關FTP站點的管理內容。對於安全相關的管理問題,由於其具有特殊的重要性,我們將在下一節同一討論之。
配置FTP站點屬性
FTP站點的的屬性配置是在FTP站點屬性表單中進行的。FTP站點屬性表單與WWW屬性表單非常相似,如右圖,FTP站點屬性表單有五個選項卡。
對FTP站點屬性的配置方法如下:
1.打開IIS管理界面,右擊管理控制樹中的FTP站點圖標,從彈出菜單中選擇。
2.FTP站點屬性表單如左圖所示,默認打開選項卡。
3.在選項卡中配置FTP站點屬性(包括標識、鏈接、日誌等,下面將詳細討論它們的值),完成後單擊,再單擊關閉對話框。
在FTP站點屬性表單的選項卡中可以對站點的下述參數進行配置:
標識:這部分包括站點說明、IP地址和TCP埠號三項。其中站點說明是在創建站點是指定的,用於在IIS內部識別站點,並無其他用途,與站點的DNS域名也無如何關系。FTP服務的默認TCP埠號為21。由於FTP服務不支持主機標頭(Host Header),所以不能以主機頭方式配置虛擬伺服器。也就是說,在網路中區分FTP站點的唯一性標識只有IP地址和埠號。
連接:FTP站點的連接限制與Web站點的連接限制幾乎完全相同。連接限制用於維護站點的可用性並改善站點的連接性能。這一點對FTP站點來說尤為重要,因為幾乎每個連到站點的用戶都會進行或多或少的文件下載,下載對帶寬的佔用是非常巨大的。在欄中單擊並制定同時連接到該站點的最大並發連接數,預設限制為同時100,000個連接。
在欄中,可以指定站點將在多長時間後斷開無響應用戶的連接。預設值設為900秒,即一個用戶在發呆15分鍾後將被IIS斷開連接。
日誌:對於FTP站點而言,也可以配置其啟用日誌功能,使用戶對站點的全部訪問都記錄在日誌文件中。在選項卡中選擇復選框,對於FTP站點,只有三種可用的日誌文件格式可用:Microsoft IIS文件格式、ODBC格式和W3C擴展文件格式,在下拉列表框中指定之。
單擊日誌格式欄中的打開如右圖所示的擴充日誌屬性對話框。指定新日誌文件的生成時間間隔或文件大小,根據用戶訪問量的大小和現有的分析能力決定採用何種方式進行文件更新。在欄中指定日誌文件存儲的路徑和文件名。詳細的日誌文件命名規則參見前面對Web日誌文件的介紹。
在擴充日誌屬性對話框中單擊選項卡,從中可以對日誌文件中記錄的事件類型進行詳細設定。
當前用戶:FTP站點屬性對話框中有一個獨特的選項,單擊,打開對話框,如右圖所示。該對話框中列出當前連接到FTP站點的用戶列表。從列表中選擇用戶,單擊可以斷開當前用戶的連接,單擊可以使全部的當前用戶從系統斷開。
對話框為站點管理員提供了更靈活的管理方式和控制方式,使管理員能夠實時控制當前用戶的連接狀態。
分配FTP站點操作員
FTP站點操作員是指具有對站點進行全方位操作、維護能力的站點管理員。默認的站點管理員是Windows 2000系統管理員組的全體成員。在實際工作中,出於安全性、內容維護和其他考慮通常需要重新指定站點管理員,具體方法如下:
1.打開IIS管理界面,右擊管理控制樹中的FTP站點圖標,從彈出菜單中選擇。
2.在FTP站點屬性表單中單擊選項卡,如右圖所示。
3.在列表中選擇當前操作員賬號,單擊,去掉預設的站點操作員賬號。
4.單擊,打開對話框。
5.指定站點操作員的賬號或組賬號,單擊返回。
6.單擊使配置生效,單擊關閉站點屬性表單。
FTP站點信息
用戶在連入FTP站點時,應該得到對站點的相關介紹,對於不能像WWW服務一樣提供豐富信息的FTP站點來說,這樣的介紹尤為重要。此外,在用戶離開站點時,以及因站點達到最大連接數而不能接受用戶的訪問請求時,都應該得到相應的提示信息。這些提示性、解說性的簡要信息就是FTP服務的站點消息。
站點消息的指定要在FTP站點屬性表單中的選項卡中進行指定,如右圖。FTP站點消息分為三種:歡迎、退出、最大連接數,分別在選項卡中的、和欄中進行指定。這三種消息類型的具體說明如下:
歡迎消息:用於向每一個連接到當前站點的訪問者介紹本站點提供的服務、文件內容、訪問方式等有關信息。它們有助於訪問者更好地了解站點提供的內容,彌補FTP服務的信息斷層。
如右圖就是一個站點歡迎消息的示例,以在IE瀏覽器中打開的Web站點為例,左側窗格中列出當前打開的FTP站點的歡迎消息內容(黃色背景部分)。
退出消息:用於在客戶斷開連接時(退出系統),發送給站點訪問者的信息,一般為"再見,歡迎再來"之類的話。由於舊式的FTP工具大多是在命令行方式下工作的(Windows 2000命令提示行下頁可以訪問FTP站點),所以在退出站點時可見該消息(在IE瀏覽器中不存在退出的問題,只需要關閉窗口即斷開與站點的連接,故該信息不可見)。
最大連接數消息:該消息用於在系統同時連接數已經達到上限(最大並發連接限制)時,向請求連接站點的新訪問者發出的提示消息,如"由於當前用戶太多,不能響應你的請求,請稍候再試"等。
右圖為命令提示行下,FTP這點的歡迎和退出消息。如果某些採用不同操作系統或客戶端FTP軟體的用戶抱怨歡迎消息不能完全顯示,則說明存在消息格式沖突,解決的方法是將站點的歡迎消息限制在一行之內。
配置FTP站點主目錄
FTP站點主目錄是供站點存儲主要文件的目錄。主目錄下的文件夾將作為FTP站點根目錄的下一級目錄出現,虛擬目錄相當於主目錄下的對應文件夾,也是站點根目錄的下一級目錄。
FTP站點主目錄的指定方式有本地主目錄和遠程主目錄兩種。前者是指站點主目錄位於本地計算機的磁碟上;後者是將主目錄設置為網路中(必須與IIS計算機同在一域之內)的另一台計算機的共享文件夾上。主目錄是在FTP站點屬性表單的選項卡中指定的。
如右上圖,本地主目錄的指定方法為:在選項卡中選擇主目錄位置為。單擊指定主目錄位置或者直接在欄中輸入主目錄路徑。單擊、完成。
遠程主目錄的指定方法為:在選項卡中選擇主目錄位置為,然後從欄中指定共享主目錄的UNC路徑。如果當前站點管理員沒有訪問所指定共享文件夾的許可權,則單擊,打開如右下圖所示的身份驗證對話框,輸入具有對該共享文件夾合適許可權的賬號和口令,單擊返回。單擊、完成。
配置站點目錄列表方式
選項卡中還可以指定目錄列表風格。可選的站點目錄列表風格有MS-DOS和UNIX兩種,在選項卡中的欄中選擇或分別之。
按照字面理解,這兩種風格分別適用於DOS/Windows 用戶和UNIX用戶,但這也不是絕對的。只能說某種風格可能會另相應操作系統的用戶看起來更舒服一些,其中對UNIX/LINUX用戶的影響更大一點。所以,在主要針對UNIX/LINUX用戶群的站點應設置為UNIX列表方式。下面兩個窗口是不同目錄列表方式在Windows 2000目錄提示行下的顯示示例,左圖為MS-DOS方式,右圖為UNIX方式。
實現FTP服務
FTP站點安全性設置
FTP站點的安全性設置相對單純,這是因為FTP站點並不涉及復雜的安全性應用程序和伺服器/瀏覽器交互過程。限制FTP站點安全性的手段無非是:用戶賬號認證、匿名訪問控制以及IP地址限制,本節將給出這些限制方法及其綜合運用方式。
目錄安全性設置
FTP用戶僅有兩種目錄許可權:讀取和寫入,讀取許可權對應於下載能力;寫入許可權對應上傳能力。
FTP站點的目錄許可權是對全體訪問該目錄的用戶都生效的許可權,即一旦某個目錄設置為僅有讀取許可權,則任何FTP用戶,包括授權用戶都不能進行上傳操作(需要寫入許可權)。
目錄許可權可以在FTP站點和虛擬目錄兩個層次進行設置。在IIS管理MMC界面的管理控制樹中右擊FTP站點或虛擬目錄圖標,選擇,
打開站點屬性表單或虛擬目錄屬性表單,選擇或選項卡。只需選擇、復選框即可指定站點或虛擬目錄的目錄訪問許可權。如右圖,就是在虛擬目錄屬性表單中配置目錄許可權的情況。
目錄許可權與NTFS許可權並無關系,但二者共同作用於FTP站點訪問者。一般的,在NTFS分區上的站點目錄被設置的NTFS許可權如果與我們這里設置的目錄許可權發生沖突,二者中限制較大(許可權較小)的許可權將實際發生作用。這種配置有利於站點的安全性,兩重的許可權保護在某種程度上避免了管理員的疏忽。所以,應當盡量的將站點目錄(包括虛擬目錄)存儲在NTFS分區中。
完成目錄許可權指定後,單擊使之生效,如果此時系統提示修改過的許可權設置與當前對象的子站點(子目錄或虛擬目錄)存在許可權沖突,如右圖,則說明子站點許可權與當前許可權有不一致的情況。這時,應在圖中的列表欄中指定繼承當前許可設置的子站點/子目錄對象。或者單擊使當前許可權能夠覆蓋全部子對象當許可權。單
擊返回。如果不選擇站點或單擊,都會導致只有當前對象直接包含的文件才被修改了許可權。最後單擊結束目錄許可權的設置。
匿名訪問控制
匿名訪問是FTP服務的一大特點,雖然在WWW服務中也有匿名訪問的限制,但是匿名訪問對於一個FTP站點來說在安全性和內容方面具有特殊的用途。
由於FTP是一個簡單的,在Internet產生初期就存在的服務,一個FTP站點除了用戶賬號之外沒有其他的用戶安全驗證服務(ISAPI過濾器、數字證書等方法對於FTP是無效的)。所以有必要合理的設置FTP安全賬號。
在IIS管理器的MMC界面中,右擊管理控制樹中的FTP站點節點,從彈出菜單中選擇,打開站點屬性表單,選擇選項卡,如右圖所示,這里是配置匿名訪問的主要界面。
在選項卡中選中復選框,使當前站點同時允許匿名和授權用戶連接。
IIS默認的匿名訪問用戶賬號是IUSR_computername,其中computername是 IIS所在伺服器的計算機名。我們也可以更改這一賬號,在選項卡中單擊欄右側的。在如右上圖所示的中指定匿名用戶賬號,單擊即可。
通常情況下,雖然匿名訪問用戶賬號由Windows 2000進行驗證和安全性維護,但是賬號的密碼是由IIS進行控制的,取消選擇復選框可以自行指定用戶密碼。
FTP站點的用戶訪問控制可以分為三種情況:僅有授權訪問、僅有匿名訪問、匿名訪問與授權訪問混合使用。僅使用匿名訪問方式的好處是強化系統的安全性。這種方式拒絕任何非匿名的登錄請求,也就不可能允許具有管理員許可權的用戶(可能是黑客)通過Internet登錄站點,從而保證伺服器不被入侵。在FTP站點屬性表單的選項卡中選擇復選框進行此設置。如果清除此復選框,IIS會給出如右下圖所示的警告對話框。
對於授權用戶,可以在圖形界面或基於目錄提示行的FTP客戶端軟體中直接指定登錄賬號和密碼(匿名賬號為anonymous,密碼為空),以做登錄驗證之用。左圖是在IE瀏覽器中登錄FTP站點的對話框。預設時,在IE中打開FTP站點都是以匿名身份進入的,需要改變用戶身份時,單擊IE瀏覽器的菜單,選擇,如右圖所示,輸入賬號和密碼,單擊以授權用戶身份進入站點。通常只有授權用戶才有上傳許可權。
IP地址訪問控制
IP地址限制是FTP站點通常使用的安全限制方式之一,由於對於FTP這種較老的服務並無過多的安全技術可供選擇,所以用好現有的安全限制(如IP地址限制)是非常必要的。
FTP站點的目錄安全性可以以兩種方式限制特殊IP地址的訪問:授權訪問和拒絕訪問,兩種方式不能同時使用。授權訪問方式允許預設用戶訪問站點,但可以指定不能訪問站點的例外地址;拒絕訪問方式預設限制所有地址對站點的訪問,但可以指定不受限制的例外地址。兩種方式中後者的安全性要高些,但限制也較大,通常用於內部FTP站點(不對組織外的用戶提供服務);前者則廣泛用於公共的下載站點,根據經驗或者日誌文件的攻擊紀錄將曾經嘗試攻擊的用戶IP地址加入例外地址列表即可加強站點的安全性。
指定IP地址限制的方法如下:
1.在FTP站點屬性表單中單擊選項卡。
2.如右上圖,選擇限制方式為或。
3.單擊列表右側的,打開例外地址對話框。
4.如右下圖所示,選擇限制類型為【單
㈡ 如何保證文件傳輸伺服器FTP的安全
,系統的安全性是非常重要的,這是建立
FTP伺服器
者所考慮的
第一個問題
。其安全性主要包括以下幾個方面:一、
未經授權的用戶禁止在伺服器上進行FTP操作。
二、
FTP用戶不能讀取未經系統所有者允許的文件或目錄。
三、
未經允許,FTP用戶不能在伺服器上建立文件或目錄。
四、
FTP用戶不能刪除伺服器上的文件或目錄。
只有在伺服器的/etc/passwd文件中存在名為"FTP"的用戶時,伺服器才可以接受
匿名FTP
連接,匿名FTP用戶可以使用"
anonymous
"或"FTP"作為用戶名,自己的Internet
電子郵件地址
作為保密字。為了解決上述安全性的另外三個問題,應該對FTP主目錄下的
文件屬性
進行管理,建議對每個目錄及其文件採取以下一些措施:FTP主目錄:將這個目錄的所有者設為"FTP",並且將屬性設為所有的用戶都不可寫,防止不懷好意的用戶刪改文件。
FTP/bin目錄:該目錄主要放置一些
系統文件
,應將這個目錄的所有者設為"root"(即
超級用戶
),並且將屬性設為所有的用戶都不可寫。為保證合法用戶可顯示文件,應將目錄中的ls文件屬性設為可執行。
FTP/etc目錄:將這個目錄的所有者設為"root",並且將屬性設為所有的用戶都不可寫。將目錄下的group文件和passwd文件的屬性設為所有用戶只讀屬性,並用編輯器將passwd文件中用戶加過密的口令刪掉。
###NextPage###FTP/pub目錄:將這個目錄的所有者置為"FTP",並且將它的屬性設為所有用戶均可讀、寫、執行。
這樣經過設置,既保證了系統文件不被刪改,又保證了FTP合法用戶的正常訪問。
作為Internet上的FTP伺服器,系統的安全性是非常重要的,這是建立FTP伺服器者所考慮的第一個問題。其安全性主要包括以下幾個方面:一、
未經授權的用戶禁止在伺服器上進行FTP操作。
二、
FTP用戶不能讀取未經系統所有者允許的文件或目錄。
三、
未經允許,FTP用戶不能在伺服器上建立文件或目錄。
四、
FTP用戶不能刪除伺服器上的文件或目錄。
只有在伺服器的/etc/passwd文件中存在名為"FTP"的用戶時,伺服器才可以接受匿名FTP連接,匿名FTP用戶可以使用"anonymous"或"FTP"作為用戶名,自己的Internet電子郵件地址作為保密字。為了解決上述安全性的另外三個問題,應該對FTP主目錄下的文件屬性進行管理,建議對每個目錄及其文件採取以下一些措施:FTP主目錄:將這個目錄的所有者設為"FTP",並且將屬性設為所有的用戶都不可寫,防止不懷好意的用戶刪改文件。
FTP/bin目錄:該目錄主要放置一些系統文件,應將這個目錄的所有者設為"root"(即超級用戶),並且將屬性設為所有的用戶都不可寫。為保證合法用戶可顯示文件,應將目錄中的ls文件屬性設為可執行。
FTP/etc目錄:將這個目錄的所有者設為"root",並且將屬性設為所有的用戶都不可寫。將目錄下的group文件和passwd文件的屬性設為所有用戶只讀屬性,並用編輯器將passwd文件中用戶加過密的口令刪掉。
FTP/pub目錄:將這個目錄的所有者置為"FTP",並且將它的屬性設為所有用戶均可讀、寫、執行。
這樣經過設置,既保證了系統文件不被刪改,又保證了FTP合法用戶的正常訪問。
㈢ 如何加強ftp的安全性
為Internet上的FTP伺服器,系統的安全性是非常重要的,這是建立FTP伺服器者所考慮的第一個問題。其安全性主要包括以下幾個方面: 一、 未經授權的用戶禁止在伺服器上進行FTP操作。 二、 FTP用戶不能讀取未經系統所有者允許的文件或目錄。 三、 未經允許,FTP用戶不能在伺服器上建立文件或目錄。 四、 FTP用戶不能刪除伺服器上的文件或目錄。 FTP伺服器採取了一些驗明用戶身份的辦法來解決上述第一個問題,主要包括以下幾個措施: FTP用戶所使用的用戶帳號必須在/etc/passwd文件中有所記載(匿名FTP用戶除外),並且他的口令不能為空。在沒有正確輸入用戶帳號和口令的情況下,伺服器拒絕訪問。 FTP守護進程FTPd還使用一個/etc/FTPusers文件,凡在這個文件中出現的用戶都將被伺服器拒絕提供FTP服務。伺服器管理可以建立"不受歡迎"的用戶目錄,拒絕這些用戶訪問. 只有在伺服器的/etc/passwd文件中存在名為"FTP"的用戶時,伺服器才可以接受匿名FTP連接,匿名FTP用戶可用"anonymous"或"FTP"作為用戶名,自己的Internet電子郵件地址作為保密字。為了解決上述安全性的另外三個問題,應該對FTP主目錄下的文件屬性進行管理,建議對每個目錄及其文件採取以下一些措施: FTP主目錄:將這個目錄的所有者設為"FTP",並且將屬性設為所有的用戶都不可寫,防止不懷好意的用戶刪改文件。 FTP/bin目錄:該目錄主要放置一些系統文件,應將這個目錄的所有者設為"root"(即超級用戶),並且將屬性設為所有的用戶都不可寫。為保證合法用戶可顯示文件,應將目錄中的ls文件屬性設為可執行。 FTP/etc目錄:將這個目錄的所有者設為"root",並且將屬性設為所有的用戶都不可寫。將目錄下的group文件和passwd文件的屬性設為所有用戶只讀屬性,並用編輯器將passwd文件中用戶加過密的口令刪掉。 FTP/pub目錄:將這個目錄的所有者置為"FTP",並且將它的屬性設為所有用戶均可讀、寫、執行。 這樣經過設置,既保證了系統文件不被刪改,又保證了FTP合法用戶的正常訪問. 作為Internet上的FTP伺服器,系統的安全性是非常重要的,這是建立FTP伺服器者所考慮的第一個問題。其安全性主要包括以下幾個方面: 一、 未經授權的用戶禁止在伺服器上進行FTP操作。 二、 FTP用戶不能讀取未經系統所有者允許的文件或目錄。 三、 未經允許,FTP用戶不能在伺服器上建立文件或目錄. 四、 FTP用戶不能刪除伺服器上的文件或目錄。 FTP伺服器採取了一些驗明用戶身份的辦法來解決上述第一個問題,主要包括以下幾個措施: FTP用戶所使用的用戶帳號必須在/etc/passwd文件中有所記載(匿名FTP用戶除外),並且他的口令不能為空。在沒有正確輸入用戶帳號和口令的情況下,伺服器拒絕訪問。 FTP守護進程FTPd還使用一個/etc/FTPusers文件,凡在這個文件中出現的用戶都將被伺服器拒絕提供FTP服務。伺服器管理可以建立"不受歡迎"的用戶目錄,拒絕這些用戶訪問。 只有在伺服器的/etc/passwd文件中存在名為"FTP"的用戶時,伺服器才可以接受匿名FTP連接,匿名FTP用戶可以用"anonymous"或"FTP"作為用戶名,自己的Internet電子郵件地址作為保密字。為了解決上述安全性的另外三個問題,應該對FTP主目錄下的文件屬性進行管理,建議對每個目錄及其文件採取以下一些措施: FTP主目錄:將這個目錄的所有者設為"FTP",並且將屬性設為所有的用戶都不可寫,防止不懷好意的用戶刪改文件。 FTP/bin目錄:該目錄主要放置一些系統文件,應將這個目錄的所有者設為"root"(即超級用戶),並且將屬性設為所有的用戶都不可寫。為保證合法用戶可顯示文件,應將目錄中的ls文件屬性設為可執行。 FTP/etc目錄:將這個目錄的所有者設為"root",並且將屬性設為所有的用戶都不可寫。將目錄下的group文件和passwd文件的屬性設為所有用戶只讀屬性,並用編輯器將passwd文件中用戶加過密的口令刪掉。 FTP/pub目錄:將這個目錄的所有者置為"FTP",並且將它的屬性設為所有用戶均可讀、寫、執行。 這樣經過設置,既保證了系統文件不被刪改,又保證了FTP合法用戶的正常訪問。
參考資料:協議分析網
㈣ FTP怎麼設置
1、從「管理工具」中打開「Inetnet信息伺服器6.0管理器」。
2、右擊默認FTP「站點」,選擇「屬性」。
3、在默認FTP站點的屬性窗口中,選擇「主目錄」選項卡、選擇「寫入」選項,允許上傳文件,單擊「確定」按鈕。
4、在配置安全賬戶,要配置FTP服務的登錄方式,需要在「Default
FTP
Site」屬性對話框中,選擇「安全賬戶」選項卡。
5、在ftp站點的屬性對話框中,選擇「消息」選項卡,可以設置用戶連接到FTP站點顯示的標題,歡迎和推出消息,在這里登錄、推出FTP站點時,或者因為連接人數已經達到最大連接數而不能登錄時,用戶就會看到這些文字。
6、在FTP站點的屬性對話框中,選擇「目錄安全性」選項卡,選擇「拒絕訪問」,單擊「添加」按鈕。
7、在彈出來的「授權訪問」對話框中,在「類型」選項區域選擇「一組計算機」單選按鈕,在「網路標識」和「子網掩碼」e
8、在「目錄安全性」選項卡中,可以看到設置的拒絕訪問網段,然後單擊「確定」按鈕。完成設置。
㈤ 如何打造安全穩定的FTP伺服器
一、操作系統的選擇
FTP伺服器首先是基於操作系統而運作的,因而操作系統本身的安全性就決定了FTP伺服器安全性的級別。雖然Windows 98/Me一樣可以架設FTP伺服器,但由於其本身的安全性就不強,易受攻擊,因而最好不要採用。Windows NT就像雞肋,不用也罷。最好採用Windows 2000及以上版本,並記住及時打上補丁。至於Unix、Linux,則不在討論之列。
二、使用防火牆
埠是計算機和外部網路相連的邏輯介面,也是計算機的第一道屏障,埠配置正確與否直接影響到主機的安全,一般來說,僅打開你需要使用的埠,將其他不需要使用的埠屏蔽掉會比較安全。限制埠的方法比較多,可以使用第三方的個人防火牆,如天網個人防火牆等,這里只介紹Windows自帶的防火牆設置方法。
1.利用TCP/IP篩選功能
在Windows ?2000和Windows XP中,系統都帶有TCP/IP篩選功能,利用它可以簡單地進行埠設置。以Windows XP為例,打開「本地連接」的屬性,在「常規」選項中找到「Internet協議(TCP/IP)」,雙擊它打開該協議的屬性設置窗口。點擊右下方的「高級」按鈕,進入「高級TCP/IP設置」。在「選項」中選中「TCP/IP篩選」並雙擊進入其屬性設置。這里我們可以設置系統只允許開放的埠,假如架設的FTP伺服器埠為21,先選中「啟用TCP/IP篩選(所有適配器)」,再在TCP埠選項中選擇「只允許」,點「添加」,輸入埠號21,確定即可。這樣,系統就只允許打開21埠。要開放其他埠,繼續添加即可。這可以有效防止最常見的139埠入侵。缺點是功能過於簡單,只能設置允許開放的埠,不能自定義要關閉的埠。如果你有大量埠要開放,就得一個個地去手工添加,比較麻煩。
2.打開Internet連接防火牆
對於Windows XP系統,自帶了「Internet連接防火牆」功能,與TCP/IP篩選功能相比,設置更方便,功能更強大。除了自帶防火牆埠開放規則外,還可以自行增刪。在控制面板中打開「網路連接」,右擊撥號連接,進入「高級」選項卡,選中「通過限制或阻止來自Internet的對此計算機的訪問來保護我的計算機和網路」,啟用它。系統默認狀態下是關閉了FTP埠的,因而還要設置防火牆,打開所使用的FTP埠。點擊右下角的「設置」按鈕進入「高級設置」,選中「FTP伺服器」,編輯它。由於FTP服務默認埠是21,因而除了IP地址一欄外,其餘均不可更改。在IP地址一欄中填入伺服器公網IP,確定後退出即可即時生效。如果架設的FTP伺服器埠為其他埠,比如22,則可以在「服務」選項卡下方點「添加」,輸入伺服器名稱和公網IP後,將外部埠號和內部埠號均填入22即可。
三、對IIS、Serv-u等伺服器軟體進行設置
除了依靠系統提供的安全措施外,就需要利用FTP伺服器端軟體本身的設置來提高整個伺服器的安全了。
1.IIS的安全性設置
1)及時安裝新補丁
對於IIS的安全性漏洞,可以說是「有口皆碑」了,平均每兩三個月就要出一兩個漏洞。所幸的是,微軟會根據新發現的漏洞提供相應的補丁,這就需要你不斷更新,安裝最新補丁。
2)將安裝目錄設置到非系統盤,關閉不需要的服務
一些惡意用戶可以通過IIS的溢出漏洞獲得對系統的訪問權。把IIS安放在系統分區上,會使系統文件與IIS同樣面臨非法訪問,容易使非法用戶侵入系統分區。另外,由於IIS是一個綜合性服務組件,每開設一個服務都將會降低整個服務的安全性,因而,對不需要的服務盡量不要安裝或啟動。
3)只允許匿名連接
FTP最大的安全漏洞在於其默認傳輸密碼的過程是明文傳送,很容易被人嗅探到。而IIS又是基於Windows用戶賬戶進行管理的,因而很容易泄漏系統賬戶名及密碼,如果該賬戶擁有一定管理許可權,則更會影響到整個系統的安全。設置為「只允許匿名連接」,可以免卻傳輸過程中泄密的危險。進入「默認FTP站點」,在屬性的「安全賬戶」選項卡中,將此選項選中。
4)謹慎設置主目錄及其許可權
IIS可以將FTP站點主目錄設為區域網中另一台計算機的共享目錄,但在區域網中,共享目錄很容易招致其他計算機感染的病毒攻擊,嚴重時甚至會造成整個區域網癱瘓,不到萬不得已,最好使用本地目錄並將主目錄設為NTFS格式的非系統分區中。這樣,在對目錄的許可權設置時,可以對每個目錄按不同組或用戶來設置相應的許可權。右擊要設置的目錄,進入「共享和安全→安全」中設置,如非必要,不要授予「寫入」許可權。
5)盡量不要使用默認埠號21
啟用日誌記錄,以備出現異常情況時查詢原因。
2.Serv-u的安全性設置
與IIS的FTP服務相比,Serv-u在安全性方面做得比較好。
1)對「本地伺服器」進行設置
首先,選中「攔截FTP_bounce攻擊和XP」。什麼是FXP呢?通常,當使用FTP協議進行文件傳輸時,客戶端首先向FTP伺服器發出一個「PORT」命令,該命令中包含此用戶的IP地址和將被用來進行數據傳輸的埠號,伺服器收到後,利用命令所提供的用戶地址信息建立與用戶的連接。大多數情況下,上述過程不會出現任何問題,但當客戶端是一名惡意用戶時,可能會通過在PORT命令中加入特定的地址信息,使FTP伺服器與其它非客戶端的機器建立連接。雖然這名惡意用戶可能本身無權直接訪問某一特定機器,但是如果FTP伺服器有權訪問該機器的話,那麼惡意用戶就可以通過FTP伺服器作為中介,仍然能夠最終實現與目標伺服器的連接。這就是FXP,也稱跨伺服器攻擊。選中後就可以防止發生此種情況。
其次,在「高級」選項卡中,檢查「加密密碼」和「啟用安全」是否被選中,如果沒有,選擇它們。「加密密碼」使用單向Hash函數(MD5)加密用戶口令,加密後的口令保存在ServUDaemon。ini或是注冊表中。如果不選擇此項,用戶口令將以明文形式保存在文件中:「啟用安全」將啟動Serv-u伺服器的安全成功。
2)對域中的伺服器進行設置
前面說過,FTP默認為明文傳送密碼,容易被人嗅探,對於只擁有一般許可權的賬戶,危險並不大,但如果該賬戶擁有遠程管理尤其是系統管理員許可權,則整個伺服器都會被別人遠程式控制制。Serv-u對每個賬戶的密碼都提供了以下三種安全類型:規則密碼、OTP S/KEY MD4和OTP S/KEY MD5。不同的類型對傳輸的加密方式也不同,以規則密碼安全性最低。進入擁有一定管理許可權的賬戶的設置中,在「常規」選項卡的下方找到「密碼類型」下拉列表框,選中第二或第三種類型,保存即可。注意,當用戶憑此賬戶登錄伺服器時,需要FTP客戶端軟體支持此密碼類型,如CuteFTP Pro等,輸入密碼時選擇相應的密碼類型方可通過伺服器驗證。
與IIS一樣,還要謹慎設置主目錄及其許可權,凡是沒必要賦予寫入等能修改伺服器文件或目錄許可權的,盡量不要賦予。最後,進入「設置」,在「日誌」選項卡中將「啟用記錄到文件」選中,並設置好日誌文件名及保存路徑、記錄參數等,以方便隨時查詢伺服器異常原因。
㈥ ftp站點的設置
檢查你是否 關閉了系統自帶防火牆 默認情況 FTP 也就是埠21 是被防火牆 自動關閉的!
㈦ 如何進行全面提高FTP伺服器的安全性能呢
Windows2000系統提供了FTP服務功能,由於簡單易用,伺服器託管與Windows系統本身結合緊密,深受廣大用戶的喜愛。但使用IIS5.0 架設的FTP伺服器真的安全嗎?它的默認設置其實存在很多安全隱患,很容易成為黑客們的攻擊目標。伺服器託管如何讓FTP伺服器更加安全,只要稍加改造,就能做到。
一 取消匿名訪問功能
默認情況下伺服器託管,Windows2000系統的FTP伺服器是允許匿名訪問的,雖然匿名訪問為用戶上傳、下載文件提供方便,但卻存在極大的安全隱患。用戶不需要申請合法的賬號,就能訪問FTP伺服器,甚至還可以上傳、下載文件,特別對於一些存儲重要資料的FTP伺服器,伺服器託管很容易出現泄密的情況,因此建議用戶取消匿名訪問功能。
在Windows2000系統中,點擊「開始→程序→管理工具→Internet服務管理器」,彈出管理控制台窗口。然後展開窗口左側的本地計算機選項,就能看到IIS5.0自帶的FTP伺服器,下面筆者以默認FTP站點為例,介紹如何取消匿名訪問功能。
右鍵點擊「默認FTP站點」項,在右鍵菜單中選擇「屬性」,伺服器託管接著彈出默認FTP站點屬性對話框,切換到「安全賬號」標簽頁,取消「允許匿名連接」前的勾選,最後點擊「確定」按鈕,這樣用戶就不能使用匿名賬號訪問FTP伺服器了,必須擁有合法賬號。
二 啟用日誌記錄
Windows日誌記錄著系統運行的一切信息,但很多管理員對日誌記錄功能不夠重視,為了節省伺服器資源,禁用了FTP伺服器日誌記錄功能,伺服器託管這是萬萬要不得的。FTP伺服器日誌記錄著所有用戶的訪問信息,如訪問時間、客戶機IP地址、使用的登錄賬號等,這些信息對於FTP伺服器的穩定運行具有很重要的意義,一旦伺服器出現問題,就可以查看FTP日誌,找到故障所在,及時排除。因此一定要啟用FTP日誌記錄。
在默認FTP站點屬性對話框中,切換到「FTP站點」標簽頁,一定要確保「啟用日誌記錄」選項被選中,這樣就可以在「事件查看器」中查看FTP日誌記錄了。
三 正確設置用戶訪問許可權
每個FTP用戶賬號都具有一定的訪問許可權,但對用戶許可權的不合理設置,也能導致FTP伺服器出現安全隱患。如伺服器中的CCE文件夾,只允許 CCEUSER賬號對它有讀、寫、修改、列表的許可權,禁止其他用戶訪問,但系統默認設置,還是允許其他用戶對CCE文件夾有讀和列表的許可權,伺服器託管因此必須重新設置該文件夾的用戶訪問許可權。
右鍵點擊CCE文件夾,在彈出菜單中選擇「屬性」,然後切換到「安全」標簽頁,首先刪除Everyone用戶賬號,接著點擊「添加」按鈕,伺服器託管將 CCEUSER賬號添加到名稱列表框中,然後在「許可權」列表框中選中修改、讀取及運行、列出文件夾目錄、讀取和寫入選項,最後點擊「確定」按鈕。這樣一來,CCE文件夾只有CCEUSER用戶才能訪問。
四 啟用磁碟配額
FTP伺服器磁碟空間資源是寶貴的,無限制的讓用戶使用,勢必造成巨大的浪費,因此要對每位FTP用戶使用的磁碟空間進行限制。下面筆者以CCEUSER用戶為例,將其限制為只能使用100M磁碟空間。
在資源管理器窗口中,右鍵點擊CCE文件夾所在的硬碟盤符,在彈出的菜單中選擇「屬性」,接著切換到「配額」標簽頁,選中伺服器託管「啟用配額管理」復選框,激活「配額」標簽頁中的所有配額設置選項,為了不讓某些FTP用戶佔用過多的伺服器磁碟空間,一定要選中「拒絕將磁碟空間給超過配額限制的用戶」復選框。
然後在「為該卷上的新用戶選擇默認配額限制」框中選擇「將磁碟空間限制為」單選項,接著在後面的欄中輸入100,磁碟容量單位選擇為「MB」,然後進行警告等級設置,在「將警告等級設置為」欄中輸入「96」,容量單位也選擇為「MB」,這樣就完成了默認配額設置。伺服器託管此外,還要選中「用戶超出配額限制時記錄事件」和「用戶超過警告等級時記錄事件」復選框,以便將配額告警事件記錄到Windows日誌中。
點擊配額標簽頁下方的「配額項」按鈕,打開磁碟配額項目對話框,接著點擊「配額→新建配額項」,彈出選擇用戶對話框,選中CCEUSER用戶後,點擊「確定」按鈕,接著在「添加新配額項」對話框中為CCEUSER用戶設置配額參數,伺服器託管選擇「將磁碟空間限制為」單選項,在後面的欄中輸入 「100」,接著在「將警告等級設置為」欄中輸入「96」,它們的磁碟容量單位為「MB」,最後點擊「確定」按鈕,完成磁碟配額設置,這樣CCEUSER 用戶就只能使用100MB磁碟空間,超過96MB就會發出警告。
五 TCP/IP訪問限制
為了保證FTP伺服器的安全,還可以拒絕某些IP地址的訪問。在默認FTP站點屬性對話框中,切換到「目錄安全性」標簽頁,選中「授權訪問」單選項,然後在「以下所列除外」框中點擊「添加」按鈕,彈出「拒絕以下訪問」對話框,這里可以拒絕單個IP地址或一組IP地址訪問,伺服器託管以單個IP地址為例,選中「單機」選項,然後在「IP地址」欄中輸入該機器的IP地址,最後點擊「確定」按鈕。這樣添加到列表中的IP地址都不能訪問FTP伺服器了。
六 合理設置組策略
通過對組策略項目的修改,也可以增強FTP伺服器的安全性。在Windows2000系統中,進入到「控制面板→管理工具」,運行本地安全策略工具。
1. 審核賬戶登錄事件
在本地安全設置窗口中,伺服器託管依次展開「安全設置→本地策略→審核策略」,然後在右側的框體中找到「審核賬戶登錄事件」項目,雙擊打開該項目,在設置對話框中選中「成功」和「失敗」這兩項,最後點擊「確定」按鈕。該策略生效後,FTP用戶的每次登錄都會被記錄到日誌中。
2. 增強賬號密碼的復雜性
一些FTP賬號的密碼設置的過於簡單,就有可能被「不法之徒」所破解。為了提高FTP伺服器的安全性,必須強制用戶設置復雜的賬號密碼。
在本地安全設置窗口中,伺服器託管依次展開「安全設置→賬戶策略→密碼策略」,在右側框體中找到「密碼必須符合復雜性要求」項,雙擊打開後,選中「已啟用」單選項,最後點擊「確定」按鈕。
然後,打開「密碼長度最小值」項,為FTP賬號密碼設置最短字元限制。這樣以來,密碼的安全性就大大增強了。
3. 賬號登錄限制
有些非法用戶使用黑客工具,反復登錄FTP伺服器,來猜測賬號密碼。這是非常危險的,因此建議大家對賬號登錄次數進行限制。
依次展開「安全設置→賬戶策略→賬戶鎖定策略」,伺服器託管在右側框體中找到「賬戶鎖定閾值」項,雙擊打開後,設置賬號登錄的最大次數,如果超過此數值,賬號會被自動鎖定。接著打開「賬戶鎖定時間」項,設置FTP賬號被鎖定的時間,賬號一旦被鎖定,超過這個時間值,才能重新使用。
通過伺服器託管以上幾步設置後,用戶的FTP伺服器就會更加安全,再也不用怕被非法入侵了。
㈧ 如何提高FTP伺服器安全性
一、禁止系統級別用戶來登錄FTP伺服器。
為了提高FTP伺服器的安全,系統管理員最好能夠為員工設置單獨的FTP帳號,而不要把系統級別的用戶給普通用戶來使用,這會帶來很大的安全隱患。在VSFTP伺服器中,可以通過配置文件vsftpd.ftpusers來管理登陸帳戶。不過這個帳戶是一個黑名單,列入這個帳戶的人員將無法利用其帳戶來登錄FTP伺服器。部署好VSFTP伺服器後,我們可以利用vi命令來查看這個配置文件,發現其已經有了許多默認的帳戶。其中,系統的超級用戶root也在其中。可見出於安全的考慮,VSFTP伺服器默認情況下就是禁止root帳戶登陸FTP伺服器的。如果系統管理員想讓root等系統帳戶登陸到FTP伺服器,則知需要在這個配置文件中將root等相關的用戶名刪除即可。不過允許系統帳戶登錄FTP伺服器,會對其安全造成負面的影響,為此我不建議系統管理員這么做。對於這個文件中相關的系統帳戶管理員最好一個都不要改,保留這些帳號的設置。
如果出於其他的原因,需要把另外一些帳戶也禁用掉,則可以把帳戶名字加入到這個文件中即可。如在伺服器上可能同時部署了FTP伺服器與資料庫伺服器。那麼為了安全起見,把資料庫管理員的帳戶列入到這個黑名單,是一個不錯的做法。
二、加強對匿名用戶的控制。
匿名用戶是指那些在FTP伺服器中沒有定義相關的帳戶,而FTP系統管理員為了便於管理,仍然需要他們進行登陸。但是他們畢竟沒有取得伺服器的授權,為了提高伺服器的安全性,必須要對他們的許可權進行限制。在VSFTP伺服器上也有很多參數可以用來控制匿名用戶的許可權。系統管理員需要根據FTP伺服器的安全級別,來做好相關的配置工作。需要說明的是,匿名用戶的許可權控制的越嚴格,FTP伺服器的安全性越高,但是同時用戶訪問的便利性也會降低。故最終系統管理員還是需要在伺服器安全性與便利性上取得一個均衡。
下面是我推薦的幾個針對匿名用戶的配置,大家若不清楚該如何配置的話,可以參考這些配置。這些配置兼顧了伺服器的安全與用戶的使用便利。
一是參數anon_world_readable_only。這個參數主要用來控制匿名用戶是否可以從FTP伺服器上下載可閱讀的文件。如果FTP伺服器部署在企業內部,主要供企業內部員工使用的話,則最好把這個參數設置為YES。然後把一些企業常用表格等等可以公開的文件放置在上面,讓員工在匿名的情況下也可以下載這些文件。這即不會影響到FTP伺服器的安全,而且也有利於其他員工操作的便利性上。
二是參數anon_upload_enable。這個參數表示匿名用戶能否在匿名訪問的情況下向FTP伺服器上傳文件。通常情況下,應該把這個參數設置為No。即在匿名訪問時不允許用戶上傳文件。否則的話,隨便哪個人都可以上傳文件的話,那對方若上傳一個病毒文件,那企業不是要遭殃了。故應該禁止匿名用戶上傳文件。但是這也有例外。如有些企業通過FTP協議來備份文件。此時如果企業網路的安全性有所保障的話,可以把這個參數設置為YES,即允許操作系統調用FTP命令往FTP伺服器上備份文件。