❶ 如何部署和调试FTP服务器
在FTP的使用当中,用户经常遇到两个概念:"下载"(Download)和"上载"(Upload)。"下载"文件就是从远程主机拷贝文件至自己的计算机上;"上载"文件就是将文件从自己的计算机中拷贝至远程主机上。用Internet语言来说,用户可通过客户机程序向(从)远程主机上载(下载)文件。 使用FTP时必须首先登录,在远程主机上获得相应的权限以后,方可上传或下载文件。也就是说,要想同哪一台计算机传送文件,就必须具有哪一台计算机的适当授权。换言之,除非有用户ID和口令,否则便无法传送文件。这种情况违背了Internet的开放性,Internet上的FTP主机何止千万,不可能要求每个用户在每一台主机上都拥有帐号。匿名FTP就是为解决这个问题而产生的。 匿名FTP是这样一种机制,用户可通过它连接到远程主机上,并从其下载文件,而无需成为其注册用户。系统管理员建立了一个特殊的用户ID,名为anonymous,Internet上的任何人在任何地方都可使用该用户ID。 通过FTP程序连接匿名FTP主机的方式同连接普通FTP主机的方式差不多,只是在要求提供用户标识ID时必须输入anonymous,该用户ID的口令可以是任意的字符串。习惯上,用自己的E-mail地址作为口令,使系统维护程序能够记录下来谁在存取这些文件。 值得注意的是,匿名FTP不适用于所有Internet主机,它只适用于那些提供了这项服务的主机。 当远程主机提供匿名FTP服务时,会指定某些目录向公众开放,允许匿名存取。系统中的其余目录则处于隐匿状态。作为一种安全措施,大多数匿名FTP主机都允许用户从其下载文件,而不允许用户向其上载文件,也就是说,用户可将匿名FTP主机上的所有文件全部拷贝到自己的机器上,但不能将自己机器上的任何一个文件拷贝至匿名FTP主机上。即使有些匿名FTP主机确实允许用户上载文件,用户也只能将文件上载至某一指定上载目录中。随后,系统管理员会去检查这些文件,他会将这些文件移至另一个公共下载目录中,供其他用户下载,利用这种方式,远程主机的用户得到了保护,避免了有人上载有问题的文件,如带病毒的文件。 作为一个Internet用户,可通过FTP在任何两台Internet主机之间拷贝文件。但是,实际上大多数人只有一个Internet帐户,FTP主要用于下载公共文件,例如共享软件、各公司技术支持文件等。 Internet上有成千上万台匿名FTP主机,这些主机上存放着数不清的文件,供用户免费拷贝。实际上,几乎所有类型的信息,所有类型的计算机程序都可以在Internet上找到。这是Internet吸引我们的重要原因之一。 匿名FTP使用户有机会存取到世界上最大的信息库,这个信息库是日积月累起来的,并且还在不断增长,永不关闭,涉及到几乎所有主题。而且,这一切是免费的。 匿名FTP是Internet网上发布软件的常用方法。Internet之所以能延续到今天,是因为人们使用通过标准协议提供标准服务的程序。像这样的程序,有许多就是通过匿名FTP发布的,任何人都可以存取它们。 Internet中的有数目巨大的匿名FTP主机以及更多的文件,那么到底怎样才能知道某一特定文件位于哪个匿名FTP主机上的那个目录中呢?这正是 Archie服务器所要完成的工作。Archie将自动在FTP主机中进行搜索,构造一个包含全部文件目录信息的数据库,使你可以直接找到所需文件的位置信息。
编辑本段Windows下最广泛使用:Serv-U
Serv-U是一种被广泛运用的FTP服务器端软件,支持3x/9x/ME/NT/2K等全Windows系列。可以设定多个FTP服务器、限定登录用户的权限、登录主目录及空间大小等,功能非常完备。 它具有非常完备的安全特性,支持SSl FTP传输,支持在多个Serv-U和FTP客户端通过SSL加密连接保护您的数据安全等。 Serv-U 是目前众多的FTP 服务器软件之一。通过使用Serv-U,用户能够将任何一台PC 设置成一个FTP 服务器,这样,用户或其他使用者就能够使用FTP 协议,通过在同一网络上的任何一台PC与FTP 服务器连接,进行文件或目录的复制,移动,创建,和删除等。这里提到的FTP 协议是专门被用来规定计算机之间进行文件传输的标准和规则,正是因为有了象FTP 这样的专门协议,才使得人们能够通过不同类型的计算机,使用不同类型的操作系统,对不同类型的文件进行相互传递。
❷ FTP的防范与攻击如何实现
------------------------FTP安全考虑—RFC2577----------------------------------
1.简介
文件传输协议规范(FTP)[PR85]提供了一种允许客户端建立FTP控制连接并在两台
FTP服务器间传输文件的机制。这种“代理FTP”机制可以用来减少网络的流量,客户端命
令一台服务器传输文件给另一台服务器,而不是从第一台服务器传输文件给客户端,然后从
客户端再传输给第二台服务器。当客户端连接到网络的速度特别慢时,这是非常有用的。但
同时,代理FTP还带来了一个安全问题——“跳转攻击(bounce attack)”[CERT97:27]。除
了“跳转攻击”,FTP服务器还可以被攻击者通过强力来猜测密码。
本文档并不考虑当FTP和一些强壮的安全协议(比如IP安全)联合使用的情况。虽然
这些安全关注并不在本文档的考虑范围内,但是它们也应该被写成文档。
本文给FTP服务器的实现者和系统管理员提供了一些信息,如下所示。第二章描述了
FTP“跳转攻击”。第三章提供了减少“跳转攻击”的建议。第四章给基于网络地址限制访
问的服务器提供了建议。第五章提供了限制客户端强力“猜测密码”的建议。接着,第六章
简单的讨论了改善保密性的机制。第七章给出了阻止猜测用户身份的机制。第八章讨论了端
口盗用。最后,第九章讨论了其它跟软件漏洞有关而跟协议本身无关的FTP安全问题。
2.跳转攻击(Bounce Attack)
RFC959[PR85]中规定的FTP规范提供了一种攻击知名网络服务器的一种方法,并且使
攻击者很难被跟踪。攻击者发送一个FTP"PORT"命令给目标FTP服务器,其中包含该主机
的网络地址和被攻击的服务的端口号。这样,客户端就能命令FTP服务器发一个文件给被
攻击的服务。这个文件可能包括根被攻击的服务有关的命令(如SMTP,NNTP等)。由于是
命令第三方去连接到一种服务,而不是直接连接,就使得跟踪攻击者变得困难,并且还避开
了基于网络地址的访问限制。
例如,客户端上载包含SMTP命令的报文到FTP服务器。然后,使用正确的PORT命
令,客户端命令服务器打开一个连接给第三方机器的SMTP端口。最后,客户端命令服务
器传输刚才上载的包含SMTP命令的报文给第三方机器。这就使得客户端不建立任何直接
的连接而在第三方机器上伪造邮件,并且很难跟踪到这个攻击者。
3.避免跳转攻击
原来的FTP规范[PR85]假定使用TCP进行数据链接,TCP端口号从0到1023时报留给
一些众所周知的服务的,比如邮件,网络新闻和FTP控制链接。FTP规范对数据链接没有
限制TCP端口号。因此,使用代理FTP,客户端就可以命令服务器去攻击任何机器上众所
周知的服务。
为了避免跳转攻击,服务器最好不要打开数据链接到小于1024的TCP端口号。如果服
务器收到一个TCP端口号小于1024的PORT命令,那么可以返回消息504(对这种参数命
令不能实现)。但要注意这样遗留下那些不知名服务(端口号大于1023)易受攻击。
一些建议(例如[AOM98]和[Pis94])提供了允许使用除了TCP以外的其他传输协议来
建立数据连接的机制。当使用这些协议时,同样要注意采用类似的防范措施来保护众所周知
的服务。
另外,我们注意到跳转攻击一般需要攻击者首先上载一个报文到FTP服务器然后再下
载到准备攻击的服务端口上。使用适当的文件保护措施就可以阻止这种情况发生。然而攻击
者也可能通过从远程FTP服务器发送一些能破坏某些服务的数据来攻击它。
禁止使用PORT命令也是避免跳转攻击的一种方法。大多数文件传输可以仅通过PASV
命令来实现。但这样做的缺点就是丧失了使用代理FTP的能力,当然代理FTP并不是在所
有场合都需要的。
4.受限制的访问
一些FTP服务器希望有基于网络地址的访问控制。例如,服务器可能希望限制来自某
些地点的对某些文件的访问(例如为了某些文件不被传送到组织以外)。在这种情况下,服
务器在发送受限制的文件之前应该首先确保远程主机的网络地址在本组织的范围内,不管是
控制连接还是数据连接。通过检查这两个连接,服务器就被保护避免了这种情况:控制连接
用一台可信任的主机连接而数据连接不是。同样的,客户也应该在接受监听模式下的开放端
口连接后检察远程主机的IP地址,以确保连接是由所期望的服务器建立的。
注意,基于网络地址的受限访问留下了FTP服务器易受“地址盗用(spoof)”攻击。在
spoof攻击中,攻击机器可以冒用在组织内的机器的网络地址,从而将文件下载到在组织之
外的未授权的机器上。只要可能,就应该使用安全鉴别机制,比如在[HL97]中列出的安全鉴
别机制。
5.保护密码
为了减少通过FTP服务器进行强力密码猜测攻击的风险,建议服务器限制尝试发送正
确的密码的次数。在几次尝试(3~5次)后,服务器应该结束和该客户的控制连接。在结束
控制连接以前,服务器必须给客户端发送一个返回码421(“服务不可用,关闭控制连接”
[PR85])。另外,服务器在相应无效的“PASS”命令之前应暂停几秒来消减强力攻击的有效
性。若可能的话,目标操作系统提供的机制可以用来完成上述建议。
攻击者可能通过与服务器建立多个、并行的控制连接破坏上述的机制。为了搏击多个并
行控制连接的使用,服务器可以限制控制连接的最大数目,或探查会话中的可疑行为并在以
后拒绝该站点的连接请求。然而上述两种措施又引入了“服务否决”攻击,攻击者可以故意
的禁止有效用户的访问。
标准FTP[PR85]在明文文本中使用“PASS”命令发送密码。建议FTP客户端和服务器
端使用备用的鉴别机制,这种鉴别机制不会遭受窃听。比如,IETF公共鉴别技术工作组开
发的机制[HL97]。
6.私密性
在FTP标准中[PR85]中,所有在网络上被传送的数据和控制信息(包括密码)都未被
加密。为了保障FTP传输数据的私密性,应尽可能使用强壮的加密系统。在[HL97]中定义
了一个这样的机制。
7.保护用户名
当“USER”命令中的用户名被拒绝时,在FTP标准中[PR85]中定义了相应的返回码530。
而当用户名是有效的但却需要密码,FTP将使用返回码331。为了避免恶意的客户利用USER
操作返回的码确定一个用户名是否有效,建议服务器对USER命令始终返回331,然后拒绝
对无效用户名合并用户名和密码。
8.端口盗用
许多操作系统以递增的顺序动态的分配端口号。通过合法的传输,攻击者能够观察当前
由服务器端分配的端口号,并“猜”出下一个即将使用的端口号。攻击者可以与这个端口建
立连接,然后就剥夺了下一个合法用户进行传输的能力。或者,攻击者可以盗取给合法用户
的文件。另外,攻击者还可能在从授权用户发出的数据流中插入伪造的文件。通过使FTP
客户和服务器随机的给数据连接分配端口号,或者要求操作系统随机分配端口号,或者使用
与系统无关的机制都可以减少端口盗用的发生。
9.基于软件的安全问题
本文档的重点是和协议相关的安全问题。另外还有一些成文的FTP安全问题是由于不
完善的FTP实现造成的。虽然这种类型的问题的细节超出本文档的范围,还是有必要指出
以下那些过去曾被误用,今后的实现应该慎重考虑的FTP特性。
? 匿名FTP
匿名FTP服务使客户端用最少的证明连接到FTP服务器分享公共文件。如果这样的用
户能够读系统上所有的文件或者能建立文件,那么问题就产生了。[CERT92:09] [CERT93:06]
? 执行远程命令
FTP扩展命令"SITE EXEC"允许客户端执行服务器上任意的命令。这种特性显然需要非
常小心的实现。已经有几个成文的例子说明攻击者利用FTP“SITE EXEC”命令可以破坏服
务器的安全性。[CERT94:08] [CERT95:16]
? 调试代码
前面的一些跟FTP有关危及安全的问题是由于置入了调试特性的软件造成的。
[CERT88:01]
本文建议有这些功能的FTP服务器的实现者在发布软件之前参阅所有的CERT有关这
些问题的攻击以及类似机制的忠告。
10.结论
使用以上建议可以减少和FTP服务器有关的安全问题的发生,而不用删除其功能。
❸ FTP空间建设
先把你的FTP服务器电脑IP设成指定IP ,例如:192.168.1.21
登录路由,192.168.1.1
帐号密码都为 admin
左边点“转发规则”
选择“虚拟服务器”
点“添加新条目”,
服务器端口:21
IP地址写你FTP的服务器机的IP,,如上:192.168.1.21
其他不做更改。按保存。OK。。这样用路由将外网端口映射到内网。可访问了。
❹ 企业FTP建设
擦==b,我孤陋寡闻了.Server-U我不知道,压根没听说,不知道你说的是不是Serv-U.
这个是专业级的FTP服务软件.怎么会让你感觉不安全,你至少找个能说服我的理由或者例子.
2K3的自带FTP安全系数咱不说了,至于方便与否.咱先说说用户设置,登录管理FTP除开匿名用户,其他均需要在系统本地设置用户才可以分配给FTP使用.
也就是说你要想在FTP用户列表里面增加一个guest01,那么你也必须在系统用户列表中增加这一用户,不然配置访问管理权限.
说到便利还不如serv-U安全系数依仗系统安全系数不过默认情况下serv-u好过2k3自带FTP
❺ ftp服务器怎么建设
1.建议4台电脑设置固定的ip地址,且在同一网段,如分别设为192.168.1.10——192.168.1.14,掩码255.255.255.0。不然,每次开机可能会分配到不同的ip地址,FTP服务器的地址就可能经常变化。
2.选择一台机器安装一个FTP服务器程序(如192.168.1.10的机器),FTP服务器推荐使用serv-u,然后进行必要的软件设置,并启动FTP服务器程序。
要使FTP服务器能够正常使用,还有2个关键问题(新手容易忽略的),就是设置防火墙规则,使别人能访问你的FTP,同时,你的FTP服务器能访问网络。
步骤如下(以XP自带防火墙为例):
(1)查看防火墙是否允许Serv-U访问网络,控制面板->windows防火墙->例外,查看是否有Serv-uFTPServer且前面选择框已打勾。如下图。
如果没有,就点击左下角的“添加程序”,选择FTP服务器的安装路径和程序文件,确定。
(2)添加规则允许其他人访问你的这台192.168.1.10,控制面板->windows防火墙->例外,就点击左下角的“添加端口”,名称随便,端口21,协议TCP,再重复添加一遍,端口还是21,协议选UDP。
现在,在其他机器上在地址栏中输入ftp://192.168.1.10就能访问你的FTP了。
❻ 怎么搭建FTP服务器
1、首先,我们创建一个用于登录FTP以进行操作的用户帐户。右键单击我的桌面并选择“管理选项”,转到“管理”界面,然后打开“本地用户和组”选项。我们可以在列表中看到用户选项。
❼ FTP服务的工作机制
FTP(File Tranfer Protocol) 文本传输协议,主要用于internet上文件的双向传输,同时ftp也是一种应用程序。
一、特性
基于C/S 结构
双通道协议:数据和命令连接
数据传输格式:二进制(默认)和文本格式
端口:基于tcp服务,数据端口(20)和控制端口(21)
二、模式支持
1、主动模式
主动模式FTP:(服务器主动连接)客户端从任意的一个非特权端口N,连接到FTP服务器的命令端口,也就是21端口。让后客户端开始监听端口N+1,并发送FTP命令“port
N+1” 到ftp服务器。接着服务器会从自己的数据端口(20)主动连接到客户端指定的数据端口(N+1)
以上描述可以在实验环境下查看
主要方法以上文中已有所描述,下面是在wondows上查看端口的命令
netstat -ant|findstr :21
针对FTP服务器前面的防火墙雷说,必须允许以下通信才能支持主动方式FTP。
1、 允许任何大于1024的端口到FTP服务器的21端口。 (客户端初始化连接)
2、 允许FTP服务器的21端口到大于1024的端口。(服务器响应客户端的控制端口)
3、 允许FTP服务器的20端口到大于1024端口。(服务器初始化数据连接到客户端的数据端口)
4、 允许大于1024端口到ftp服务器的20端口。(客户端发送ack响应到服务器的数据端口)
2、被动模式
为了解决服务器发起到客户端的连接问题,人们开发了一种不同的ftp连接方式。这就是所谓的被动方式,或成为PASV,当客户端通知服务器它处于被动模式时才启用。
在被动模式ftp中,命令连接和数据连接由客户端发起,这样就可以解决从服务器到客户端的数据端口入方向连接被防火墙过滤掉的问题。
当开启FTP连接时,客户端打开两个任意非特权本地端口N,N+1。第一个端口连接服务器的21端口,但与主动模式的FTP不同,客户端不会提交PORT命令并允许服务器来回连它的数据端口,而是提交PASV命令。这样做的结果是服务器会开启一个任意的非特权端口
P,并发送port P命令给客户端。然后客户端发起从本地端口N+1到服务器的端口P的连接用来传输数据。
对于服务器端的防火墙来说,必须允许下面的通讯才能只是被动方式的FTP:
1、 允许从任何大于1024的端口到服务器的21端口(客户端初始化连接)
2、 允许服务器的21端口到任何大于1024的端口(服务器响应到客户端的控制端口的连接)
3、 从任何大于1024端口到服务器的大于1024的端口(客户端初始化数据连接到服务器的指定端口)
4、 服务器的大于1024端口到客户端的大于1024 的端口(服务器发送ack响应和数据到客户端的数据端口。)
三、简述解释及抓包分析过程
1、主动模式
命令连接:客户端任意大于1024端口 N —> 服务器21端口
数据连接:服务器20端口 -----> 客户端 N端口。
2、被动模式
命令连接:客户端任意大于1024端口N ------> 服务器21端口
数据连接:客户端任意大于1024端口N+1 --------> 服务器端口P
服务器被动模式数据端口示例:
227 Entering Passive Mode (172,16,0,1,239,20)
服务器的数据端口为239*256+20=61204 服务器端口P为61204
四、FTP连接响应码
1XX:信息 125:数据连接打开
2XX:成功类状态 200:命令OK 230:登录成功
3XX:补充类 331:用户名OK
4XX:客户端错误 425:不能打开数据连接
5XX:服务器错误 530:不能登录
❽ 如何创建FTP服务器
Serv-U 是目前众多的FTP 服务器软件之一。通过使用Serv-U,用户能够将任何一台PC 设置成一个FTP 服务器,这样,用户或其他使用者就能够使用FTP 协议,通过在同一网络上的任何一台PC与FTP 服务器连接,进行文件或目录的复制,移动,创建,和删除等。这里提到的FTP 协议是专门被用来规定计算机之间进行文件传输的标准和规则,正是因为有了象FTP 这样的专门协议,才使得人们能够通过不同类型的计算机,使用不同类型的操作系统,对不同类型的文件进行相互传递。
虽然目前FTP 服务器端的软件种类繁多,相互之间各有优势,但是Serv-U 凭借其独特的功能得以展露头脚。具体来说,Serv-U 能够提供以下功能:
符合windows 标准的用户界面友好亲切,易于掌握。
支持实时的多用户连接,支持匿名用户的访问;通过限制同一时间最大的用户访问人数确保PC 的正常运转。
安全性能出众。在目录和文件层次都可以设置安全防范措施。能够为不同用户提供不同设置,支持分组管理数量众多的用户。可以基于IP 对用户授予或拒绝访问权限。
支持文件上传和下载过程中的断点续传。
支持拥有多个IP 地址的多宿主站点。
能够设置上传和下载的比率,硬盘空间配额,网络使用带宽等,从而能够保证用户有限的资源不被大量的FTP 访问用户所消耗。
可作为系统服务后台运行。
可自用设置在用户登录或退出时的显示信息,支持具有UNIX 风格的外部链接。
上面列出的只是Serv-U 众多功能中的一部分,具体的使用将在下文中进行详细的介绍,这里要说明的? 时,Serv-U 在保持功能全面,强大的基础上,提供的完全易于使用的操作界面,可以说一切尽在掌握。
使用说明
用户在使用Serv-U 的过程中可能会碰到的所有设置问题都可以通过Serv-U 窗口中的菜单选项实现。如果用户在安装Serv-U 之后,启动Serv-U 时,屏幕上没有显示出Serv-U 的控制窗口的话,可以用鼠标右键点击位于任务条系统托盘中的Serv-U 图标(一个大写的字母“U”),然后选择弹出菜单中的第一项“Show Window”,这样屏幕上就会显示出Serv-U 的控制窗口。
设置FTP服务器
位于Serv-U 控制窗口中的“SETUP”菜单中的第一项“FTP-SERVER”用来对FTP 服务器进行总体上的设置。在选择之后出现的窗口中的第一项“FTP PORT NUMBER”用来设置FTP服务器使用的端口号,FTP服务器将会通过该端口收听所有来访用户的信息。一般情况下,FTP 服务器的默认端口号为21,但是用户可以根据自己的情况自由的进行更改,只要能够保证所采用的端口号与其它网络应用不冲突即可。这里需要说明的一点是,使用用户自己选择的服务器端口可以起到很好的安全防范作用,这时,只有用户自己和其他知道该端口号的用户才能够成功的实现与服务器的连接。因此,建议用户在设置F TP 服务器的时候使用自己选定的端口,而不要只是简单的使用默认值。
随后用户需要设置服务器所能提供的最大速度。一般情况下,用户可以将这项空出,那么服务器将会利用所有可能的带宽为客户提供服务。能够为用户提供最大的访问速度当然很好,但是过多的F TP 用户可能会蚕食掉一切可能的带宽,从而使其它的网络应用几乎不可能实现。因此,合理的控制FTP 服务器所能够占用的最大带宽还是很重要的。
下一项是设置服务器允许的最大用户访问量。在此,用户可以限制同一时间内访问FTP 服务器的最大人数。如果把该项设为0,那么FTP 服务器将会拒绝任何用户访问要求;如果将该项空出,那么Serv-U 将不会对访问人数进行控制,直到耗尽所有的系统资源。如果用户希望自己的FTP 服务器能够保持正常运转的话,那么最好对来访的用户数量进行合理的限制。一般情况下,即使老式的486 机器,在使用Serv-U之后,也能够在同一时间内为20多名用户提供访问支持。
在此之后的一系列复选项中的第一项为“启动安全功能”。如果用户没有选择该项,那么任何人通过网络都可以直接进入FTP 服务器,对服务器中的任何文件进行随意地复制,改动,甚至删除。除了那些拥有小范围内的个人网络,不希望每次登录都重复输入用户名、密码等烦杂手续的人之外,用户一定要确保已经选中了该选项,即启动了服务器的安全防范功能。
下一项“ENCRYPT PASSWORDS”在默认情况下也被自动选中。这样,Serv-U 将会使用与UNIX 操作系统相同的加密机制加密并保存用户的密码。如果用户不选择对密码进行加密,那么所有用户输入的口令将会以明文的方式保存在位于S erv-U 安装目录下的Serv-U.ini 文件中。
随后一项用来设定是否需要匿名访问用户输入密码。默认情况下,该项为空白,这样那些使用匿名帐号访问FTP 服务器的用户将不被要求输入口令。需要注意的是这里对匿名用户密码的检测非常简单,只要匿名用户输入符合邮件地址格式的任意字符串即可,S erv-U 不会进一步的判断用户输入的邮件地址是否真正存在。
下一项为预防反超时措施。如果用户选择了该选项,Serv-U 将会采用新的记时方式,那些希望通过定期向服务器发送命令来防止出现超时操作的用户将不再得逞。
随后的选项被用来设定是否删除没有完整上传的文件,如果用户不使用该删除功能,那么当有用户在向FTP 服务器上传文件的过程中出现错误而没有实现文件的完整上传时,Serv-U 将会在硬盘上保留已上传的内容,从而实现上传文件的断点续传。
下面我们要讨论的是跨FTP 攻击。通常状况下,当使用FTP 协议进行文件的传输时,客户端首先向FTP 服务器发出一个“PORT”命令,该命令中包含该用户的IP地址和将被用来进行数据传输的端口号。服务器在收到该命令后,利用命令所提供的用户地址信息建立与用户的连接。大多数情况下,上述过程不会出现任何问题,但是,当客户端是一名恶意用户时,可能会通过在P ORT 命令中加入特定的地址信息,使FTP 服务器与其它非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一特定机器,但是如果FTP 服务器有权访问该机器的话,那么恶意用户通过FTP 服务器作为中介,仍然能够最终实现与目标服务器的连接。这就是我们所提到的跨服务器攻击。为了防止上述情况的发生,用户可以选择“防止跨F TP 服务器攻击”的选项,这样Serv-U在与任何来访用户建立连接之前,首先要核实该用户提供的地址信息是否为其真实地址。任何事情都是两方面的。我们已经知道通过使用S erv-U 可以防止发生跨FTP服务器的攻击,但是,同时我们也放弃了在FTP服务器和FTP 服务器之间实现数据传输的功能。这是因为Serv-U 只会与那些所提供的地址与地址提供者的实际地址相符的用户建立连接,用户将不能远程控制在两台不同的FTP 服务器之间进行文件传输。
最后的两个选项用来限制用户在FTP 服务器上的最大停留时间,以及规定服务器中文件和目录名的大小写。
该窗口中的其它相关选项我们将会在稍后进行详细介绍。
用户帐号管理
用户使用FTP 服务器的一个最基本的任务就是添加和管理用户信息。通过选择“SETUP”菜单中的“USERS”打开Serv-U 的用户管理窗口。该窗口可以分为左右两大部分。其中左边的窗口用来显示目前所有已经注册的FTP服务器的用户。任意选中其中一个用户,其详细的配置信息将会相应的显示在窗口的右边。如果是首次启动S erv-U,那么仅会显示一个名为“DEFAULT”的系统默认帐号。
下面详细介绍一下建立新用户帐号的全过程.
首先单击窗口最右边的“NEW”按钮,在随后的弹出窗口中输入需要建立的用户名。这时,输入的用户名就会出现在窗口右边的用户名一栏中。用户还可以在该栏中对所建立的帐号名称进行修改。
随后用户可以输入该帐号将要归属的用户组的组名或建立一个新的组。所谓组是人们为了便于管理数量庞大的用户群而推出的概念。我们可以把众多的单个用户划分到不同的组里进行统一的管理。因为属于同一个组的用户都具有一些共同的属性,例如用户密码,根目录等,所以用户只需要对个别具有特殊属性的帐号进行个别设置即可,这样就极大的简化了对用户帐号的管理和维护工作。需要注意的一点是,“A nonymous”这个特殊的用户帐号不属于任何一个用户组。
在随后的密码栏中需要输入帐号的口令,如果用户在服务器的设置中选择了加密密码的选项(见前文),那么所输入的密码将自动以加密方式储存。关于密码很重要的一点是只有输入的前8 位字符有效,希望能够引起广大Serv-U 使用者的注意。另外,如果用户在建立新的帐号时没有输入相应的密码,那么并不意味着该用户帐号没有密码,Serv-U 将会尝试着寻找是否该用户帐号属于某一个用户组并且该用户组具有统一的密码。如果Serv-U 没有找到相应的用户组密码的话,将会拒绝该用户帐号的访问。如果用户确实希望不规定某个帐号的密码,只要在相应帐号的密码一栏中输入“$ #@60;$#@60;None$#@62;$#@62;”即可。上述情况的一个例外是Anonymous 用户帐号,该帐号没有密码,Serv-U 只要求用户输入符合邮件地址格式的任意字符串即可。
在“HOME”一栏中,设置FTP 用户的根目录,即用户在成功登录之后所自动位于的起始目录。每一个用户帐号都要有自己的根目录,否则Serv-U 将拒绝该用户帐号的访问。当然,如果该帐号属于某个组,而该用户组已经设定了共同的根目录,那么用户就不必对该用户组内的每个帐号进行重复设置。用户在输入根目录的地址时应当注意必须使用完全路径,包括盘符。
在“NOTE”一栏中,用户可以选择输入一些对帐号起辅助说明的文字以备将来参考之用。
在用户窗口右边最大的一栏用来设定帐号的访问权限,从而决定用户可以访问哪些文件,并以何种方式访问这些。Serv-U 按照文件和目录两大类别对用户的访问权限进行了划分。具体来说包括:
对文件的访问权限:
READ:允许用户下载文件;
WRITE:允许用户上传文件,但无权对文件进行更改,删除,或重命名;
APPEND:允许用户对已有的文件进行附加,拥有APPEND权限的用户自动拥有WRITE
权限;
DELETE:允许用户对文件进行改动,重命名,或删除。拥有DELETE权限的用户自动拥
有WRITE 和APPEND 权限;
EXECUTE:允许用户通过FTP 运行可执行文件。例如,用户可以远程运行DOS或Windows
程序。
对目录的访问权限:
LIST:允许用户取得目录列表;
MAKE:允许用户在根目录下建立新的子目录;
REMOVE:允许用户删除根目录下的子目录。
INHERIT:选中该选项之后,对某一目录设置的访问权限将自动被该目录下的所有子目录
继承。
在完成上述所有设置之后,点击“STORE”按钮,新建立的用户帐号将被保存在FTP 服务器中。
该窗口中的其它选项将会在稍后进行详细的介绍。
实时监控
用户在完成FTP服务器的基本配置之后,就可以向外界提供FTP文件传输服务了。我想很多用户都希望在提供FTP 服务的过程中,能够实时地对访问自己服务器的用户进行监控,从而一方面既能够对整个服务过程做到心中有数,另一方面还可以在可能出现意外问题之前,采取及时的防范和补救措施。在这一方面,相信S erv-U 能够充分满足大家的需求。
首先,让我们看一下如何利用Serv-U 实现实时的用户监控。
选择“FILE”菜单中的“USER INFO”选项。在弹出窗口中的上半部分将会显示出所有当前正在与服务器连接的用户。用鼠标点击其中的任一用户将会在窗口的下半部分出现该用户的详细信息。
在窗口的右下方有一个“SPY ON USER”按钮,点击之后出现的窗口将会显示出特定用户向FTP服务器发出以及FTP 服务器响应的所有命令。该窗口将会跟踪所选用户的所有命令,对了解特定用户在访问FTP 服务器的过程中的所有行为提供了可*的依据。
在该按钮下方还有一个名为“KILL USER”的按钮,如果用户发现某个来访用户的行为可疑,可能会对FTP 服务器的正常工作带来危害的话,可以通过使用该按钮立即中断与该用户的连接,将该用户踢出FTP 服务器。
需要注意的一点是,虽然Serv-U 能够提供实时的用户监控信息,但是需要耗用很大一部分的系统资源。如果用户发现系统性能出现明显下降的话,可以通过窗口右侧的“F REEZE LIST”按钮暂时冻结窗口信息的动态显示,从而释放出宝贵的系统资源。
设置服务器端日志记录
除了能够实时的进行监控之外,Serv-U还提供了强大的日志记录功能,从而方便用户记录和总结一段时期内Serv-U的运行情况。
选择“FILE”菜单下的“LOGGING”,弹出日志设置窗口,用户可以选择对哪些事件进行记录,以及将记录信息保存到何处。
在该窗口的右侧,用户可以选择对不同的事件进行记录,其中包括系统信息,安全信息等,同时用户还可以设置是将所记录 畔⑾允驹赟erv-U 的主窗口内,还是保存到某一指定文件内。出于耗用系统资源和备份信息的需要,建议用户把日志信息保存到指定的文件内。
需要说明的一点是Serv-U 的日志记录文件采用统一的格式,具体如下:
[n] DATE TIME - (xxxx) MESSAGE
最前面的数字“n”代表所记录信息的类别,分别为:
n=1:系统信息(错误信息等);
n=2:用户发出的FTP 命令;
n=3:文件下载;
n=4:文件上传;
n=5:安全信息(用户登录信息等)
n=6:服务器响应的FTP 命令;
n=7:WinSock使用记录;
n=8:DLL文件访问记录
另外,括号中的“XXXX”是Serv-U 赋予每一个来访用户的一个唯一的数字标识。
5.设置登录和退出信息
细心的用户可能会发现在登录或退出某个FTP站点时,经常会出现一个窗口,显示一些包括系统设置,欢迎访问等在内的信息。那么如何在S erv-U 下实现这一功能呢?
首先,用户需要把要显示给用户的信息保存在一个文本文件中,然后选择“SETUP”菜单中的“MESSAGES”,在弹出的窗口中进行设置。
在位于窗口最上方的下来框中,用户需要选择将要使用登录和退出信息的IP地址。因为Serv-U 支持一台机器拥有多个IP,所以用户需要选择相应的IP地址。在下面的两个选项中分别输入用户事先已经建立好的包含登录和退出信息的文本文件的地址。
使用外部连接
所谓外部连接是指那些显示在某一目录下指向位于该目录之外的某一文件或目录的连接。在用户端看来,外部连接所指向的文件或目录就位于当前目录之下,但实际上他们只是一些起连接作用的虚拟指针。使用外部连接的一个最大好处就是能够把来访用户可能需要的所有资源都集中到一个目录之中,这样用户就可以通过不同的外部连接访问实际上位于不同磁盘或不同目录的分散信息。
为了充分利用Serv-U 提供的外部连接功能,用户首先需要生成一个文本文件保存所有可能会用到的外部连接。文件的具体格式如下:
LINK NAME | SOURCENAME
其中的“LINK NAME”是显示在用户当前目录下的外部连接的名称,而“SOURCENAME”则是该外部连接实际指向的磁盘或目录。
例如我们在一个名为“LINK.TXT”的文件中写入如下一条:
CD-ROM | F:\
这样在用户的当前目录中就会出现“CD-ROM”字样,点击之后,就可以直接访问FTP 服务器的光驱。
在配置好外部连接的文本文件之后,选择“FTLE”菜单中的“FTP SERVER”,在弹出的窗口中找到“PRIMARY FIEL CONTAINING LINK”,然后输入上述文本文件的完全路径。在“PRIMARY FIEL CONTAINING LINK”下方有一个“SECONDARY FILE CONTAINING LINK”,该项是用来设定起辅助作用的外部连接文件,可以参照上述方法生成。
设置上传和下载比例
如果用户希望自己FTP 站点的使用者不仅仅使用自己提供的资源,还能够上传一些有价值的东西供大家共享的话,可以通过使用Serv-U提供的“上传和下载比例”这一功能实现。
用户可以在“FILE”菜单中的“FTP-SERVER”,“USERS”和“GROUPS”的弹出窗口中找到名为“U/D RATIOS”的功能按钮,点击之后出现设置窗口。用户可以限制每个FTP 站点的使用者每上传一个文件后可以下载的文件数。例如,如果将某个用户的上传和下载比例设置为1/3,那么该用户每上传一个文件,就可以从F TP 站点下载3个文件。
Serv-U 支持在单个会话过程或全部会话过程的范围内,按照具体传输的文件数目或文件的大小,限制用户的上传和下载比例。
使用磁盘限额
随着用户数量的增加,一个非常实际的问题就是如何既能够确保每个用户都有足够的硬盘空间可用,同时又防止FTP 服务器吞食整个机器的硬盘资源。同样,在这个问题上Serv-U提供了有力的解决方案。
用户可以分别在“FILE”菜单中的“USERS”和“GROUPS”选项的弹出窗口中找到名为“QUATO”的功能按钮。点击之后出现设置窗口,用户可以首先检测某个用户帐号当前所使用的硬盘空间,然后根据具体的情况分别设置不同的用户帐号所能支配的最大硬盘空间,从而有效的解决硬盘空间不足的问题。
基于IP地址授予或拒绝访问权限
选择“FILE”菜单中的“IP ACCESS”选项,在弹出的窗口中进行设置。
用户可以在窗口的左边设置不同的访问规则,而当前所有的访问规则将会显示在右边的列表中。
Serv-U 提供了两种基本的访问规则,分别为“拒绝访问”规则和“允许访问”规则。在“拒绝访问”规则下,所有来自用户输入的IP地址的访问者都将被拒绝访问,而来自其它I P地址的用户都将被授予访问权限。同理,如果用户选择了“允许访问”规则,那么所有来自用户输入的IP地址的访问者都将被授予访问权限,而来自其它I P 地址的用户将无权访问FTP 服务器。
通过以上功能,用户可以针对不同的IP地址,设置不同的权限,从而有效的保障FTP 服务器免受非法访问者的侵害。
三.小节
Serv-U 是一款使用简单,功能强大,易学易用的FTP 服务器端软件。相信广大用户结合以上的介绍,再加上个人的实践,一定会在最短的时间内构建起自己的功能强大的FTP服务器。
❾ 怎么搭建FTP服务器
很简单的,只要装iis就可以了。会么?
然后,在添加删除组件里面
的
应用程序服务,internet选项里面的最后一个
ftp
打勾
。然后就下一步,装好以后,在管理工具里面找到iis.
里面会有ftp站点,新建站点,把你要共享的文件夹选中就好了。
人家共享的时候
只要
ftp://你的ip。就ok了。
不像楼上说的那么麻烦,还要dns
❿ 如何建设FTP
ftp全称file transfer protocol,文件传输协议,ftp不仅是一项协议,还是一种服务一种应用,可供用户在不同的设备之间复制文件,用户即可以下载文件又可以上传文件。
方法一:
利用IIS架设ftp
如果已经安装了IIS可以再添加ftp服务,具体方法:
1.进 控制面板-〉添加或删除程序-〉添加/删除windows组件
2.此时Internet信息服务(IIS)选项已被选中,点击Internet信息服务(IIS)选项,然后查看详细信息,将文件传输协议(FTP)服务选项选中,确定后将系统安装盘放入光驱,然后点击下一步安装ftp服务。
如果没有安装IIS请参考“如何在自己的爱机上架设自己的个人网站”,并在安装IIS前执行上面第2步
设置IIS中的FTP站点属性
1.进入 控制面板-〉性能维护(分类视图)-〉管理工具-〉Internet信息服务 打开IIS窗口
2.展开“本地计算机”前面的+号,看到“FTP站点”,继续展开看到"默认FTP站点"
3.右键"默认FTP站点"-〉新建-〉虚拟目录... 打开创建虚拟目录的向导,这个要创建的虚拟目录就是登录ftp后看到的目录。点击向导的下一步,在别名中键入想要创建的目录的名字,例如:myftp,然后下一步
4.向导要求输入内容所在的目录的路径,此路径就是你想共享的文件夹的路径,比如你想共享g盘下的movie文件夹,那么就在浏览中选择这个文件夹,文本框中就显示g:\movie\,然后点击下一步
5.此时向导要求你设置此文件夹也就是myftp文件夹的访问权限,“读取”是登陆的用户可以看到并下载文件,"写入"是用户可以上传文件,设置方访问权限后,完成虚拟目录的创建
6.此时展开"默认FTP站点",便可看到刚才创建的文件夹
7.同IIS中“网站”的wwwroot一样,“ftp站点”也有一个ftproot,默认地址是c:\inetpub\ftproot(详细说明看“如何在自己的爱机上架设自己的个人网站”),在第5步中建立myftp虚拟文件夹后,还需要在ftproot中建立一个同虚拟文件夹同名的文件夹,此例中需要在c:\inetpub\ftproot\中建立myftp文件夹
8.至此,ftp就架设好了,并建立了第一个文件夹myftp,要想建立其他目录步骤同上
方法二:下载Server-U的安装软件(网上注册版和破解版的很多,网络一下你就看到好多好多),安装软件,然后在“开始―>程序”中可以看到“Server-U FTP Server”的菜单,选择“Server-U Administrator”,就可以看到配置界面。
在配置界面的左侧是配置菜单,除了有默认的本地服务器,还可以添加新的服务器。
组建一个FTP服务器,首先要在本地服务器下面的域中添加一个新的域,在“域”这个菜单上单击右键选择“新建域”,然后选择一个可用的IP地址,如果选空,那么就是说本机的所有IP地址都可以用,在设置IP地址之后,输入该域的域名、端口等,就可以添加新的域了。
添加新的域之后,还需要对该域做一些设置,例如用户的设置、访问IP的限制等设置。
在设置好的域下面,有设置、活动、用户、组四个菜单,点击设置可以设置访问的范围等内容,比如不允许IP地址192.168.0.3访问该服务器,那么就可以在设置的IP访问中进行设置。
其实,这些设置都可以不做的,主要是对用户的设置。在用户这个菜单上单击右键,选择“新建用户”,然后输入要建立的用户的名字、密码、访问的目录等内容,其中可以把该用户锁定在要访问的目录上,不允许访问服务器的其他内容。在新建用户之后,选中该用户,在界面右侧就会出现关于该用户的一些设置的内容,可以对这个用户的帐号进行一些设置。
如果不需要设置用户来访问,任何人都可以访问,那么还可以设置为匿名访问,使用anonymous来访问,密码是邮件地址。
在配置完软件之后,用户可以直接在浏览器中输入ftp://域来访问,如果在Server-U中配置的时候,设置了匿名访问,那么用户也可以不用用户名和密码来访问的。或者也可以用FTP的客户端软件来访问FTP服务器,例如用LeapFTP、CuteFTP等软件。
如何登陆ftp
方法一:用IE登录ftp
打开IE,在地址栏中键入[url] ftp://xxx.xxx.xxx.xxx(xx[/url]表示你的ip),便可登陆
方法二:用专用ftp登录软件(推荐使用)
登录ftp的软件很多,有cuteFTP,FlashFXP,这里以FlashFXP为例介绍如何登陆ftp
flashftp界面介绍:界面有两个窗口,默认情况下左面是本地窗口即你机子的文件夹,右面的是ftp窗口即远程计算机的文件夹,按窗口上面的小图标可以转换本地窗口和远程窗口
快速连接ftp站点:Ftp->Quick Connect 在Server or URL中输入ftp站点的域名或ip,如果想登陆你自己的ftp就输入你自己的Ip,在username/password中输入用户名和密码,如果 ftp站点是匿名登陆则不需要填写,填完后connect连接(另一种简单的方法是点击ftp窗口上面的闪电图标进行快速连接)
站点管理器site manager:菜单sites->sites manager,然后new site并填写相关ftp信息,apply后既保存了,以后点击ftp窗口上面的闪电图标,可以看到你新建的站点,点击就可快速连接。