1. java ftp 和 sftp的区别
FTP是文件传输协议。在网站上,如果你想把文件和人共享,最便捷的方式莫过于把文件上传到FTP服务器上,其他人通过FTP客户端程序来下载所需要的文件。 FTP进行文件传输需要通过端口进行。一般所需端口为: 1. 控制链路—TCP端口21。控制器端。用于发送指令给服务器以及等待服务器响应。 2. 数据链路---TCP端口20。数据传输端口。用来建立数据传输通道的。主要用来从客户向服务器发送一个文件、从服务器向客户发送一个文件、从服务器向客户发送文件或目录列表。 FTP为了适应不同的网络环境,支持主动连接和被动连接两种模式。这两种模式都主要针对数据链路进行的,跟控制链路无关。 FTP的安全隐患: 一、FTP服务器软件漏洞。 二、明文口令。 三、FTP旗标。 四、通过FTP服务器进行端口扫描。 五、数据劫持。 FTP的安全策略: 一、使用较比安全的系统和FTP服务软件。 二、使用密文传输用户名和口令。 三、更改服务软件的旗标。 四、加强协议安全性。 SFTP是Secure File Transfer Protocol的缩写,是安全文件传送协议。可以为传输文件提供一种安全的加密方法。跟ftp几乎语法功能一样。 SFTP是SSH的一部分,是一种传输档案至Blogger服务器的安全方式。它...
2. 什么是FTP木马
木马下载者 Trojan-Downloader.Win32.QQHelper.ftp
病毒名称
Trojan-Downloader.Win32.QQHelper.ftp
捕获时间
2007年9月9日
病毒症状
该木马程序是一个用Delphi语言编写的木马,长度127,488 字节,无装饰性图标,发作后将自身和释放的库文件Vermin.dll插入explorer.exe及其子进程,在后台下载其他木马程序。
病毒分析
该木马是一个比较顽固的木马程序,触发后会拷贝自身文件到系统目录的inf文件夹下执行,并将其注册为服务名为"Windows Media Service"的系统服务以获得系统权限,服务描述"管理多媒体设备,如果服务被终止,音频设备及其音效将不能正常工作。如果此服务被禁用,任何依它的服务将无法启动";释放Vermin.dll监控系统消息;通过调试手段将自身映像和Vermin.dll模块注入到explorer.exe及其所有子进程中,在后台调用相关下载函数下载其他木马程序;通过查找窗口以及窗口类的方式获取某些安全软件的进程,尝试强行终止安全软件进程或通过发送消息强行关闭其窗口;使用IFEO映像劫持系统文件ctfmon.exe(即Windows任务栏的语言栏工具条)到病毒映像路径,使得木马会在开机时自动启动。
感染对象
Windows2000/Windows XP/Windows2003
传播途径
文件捆绑/网页木马传播
安全提示
已安装微点主动防御软件的用户,无论您是否已经升级到最新版本,微点主动防御都能够有效防御该木马程序。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您“发现未知木马”,请直接选择删除处理(如图1);
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现Trojan-Downloader.Win32.QQHelper.ftp”,请直接选择删除(如图2)。
使用其它杀毒软件的用户,请尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。由于该病毒的特殊性,会自动终止某些杀毒软件运行,如果您的杀毒软件已经无法正常运行,您也可以尝试安装微点解决。
没有安装微点主动防御软件的用户,建议您尽快安装使用微点主动防御软件查杀预防各类新病毒。
3. 如何保证文件传输服务器FTP的安全
,系统的安全性是非常重要的,这是建立
FTP服务器
者所考虑的
第一个问题
。其安全性主要包括以下几个方面:一、
未经授权的用户禁止在服务器上进行FTP操作。
二、
FTP用户不能读取未经系统所有者允许的文件或目录。
三、
未经允许,FTP用户不能在服务器上建立文件或目录。
四、
FTP用户不能删除服务器上的文件或目录。
只有在服务器的/etc/passwd文件中存在名为"FTP"的用户时,服务器才可以接受
匿名FTP
连接,匿名FTP用户可以使用"
anonymous
"或"FTP"作为用户名,自己的Internet
电子邮件地址
作为保密字。为了解决上述安全性的另外三个问题,应该对FTP主目录下的
文件属性
进行管理,建议对每个目录及其文件采取以下一些措施:FTP主目录:将这个目录的所有者设为"FTP",并且将属性设为所有的用户都不可写,防止不怀好意的用户删改文件。
FTP/bin目录:该目录主要放置一些
系统文件
,应将这个目录的所有者设为"root"(即
超级用户
),并且将属性设为所有的用户都不可写。为保证合法用户可显示文件,应将目录中的ls文件属性设为可执行。
FTP/etc目录:将这个目录的所有者设为"root",并且将属性设为所有的用户都不可写。将目录下的group文件和passwd文件的属性设为所有用户只读属性,并用编辑器将passwd文件中用户加过密的口令删掉。
###NextPage###FTP/pub目录:将这个目录的所有者置为"FTP",并且将它的属性设为所有用户均可读、写、执行。
这样经过设置,既保证了系统文件不被删改,又保证了FTP合法用户的正常访问。
作为Internet上的FTP服务器,系统的安全性是非常重要的,这是建立FTP服务器者所考虑的第一个问题。其安全性主要包括以下几个方面:一、
未经授权的用户禁止在服务器上进行FTP操作。
二、
FTP用户不能读取未经系统所有者允许的文件或目录。
三、
未经允许,FTP用户不能在服务器上建立文件或目录。
四、
FTP用户不能删除服务器上的文件或目录。
只有在服务器的/etc/passwd文件中存在名为"FTP"的用户时,服务器才可以接受匿名FTP连接,匿名FTP用户可以使用"anonymous"或"FTP"作为用户名,自己的Internet电子邮件地址作为保密字。为了解决上述安全性的另外三个问题,应该对FTP主目录下的文件属性进行管理,建议对每个目录及其文件采取以下一些措施:FTP主目录:将这个目录的所有者设为"FTP",并且将属性设为所有的用户都不可写,防止不怀好意的用户删改文件。
FTP/bin目录:该目录主要放置一些系统文件,应将这个目录的所有者设为"root"(即超级用户),并且将属性设为所有的用户都不可写。为保证合法用户可显示文件,应将目录中的ls文件属性设为可执行。
FTP/etc目录:将这个目录的所有者设为"root",并且将属性设为所有的用户都不可写。将目录下的group文件和passwd文件的属性设为所有用户只读属性,并用编辑器将passwd文件中用户加过密的口令删掉。
FTP/pub目录:将这个目录的所有者置为"FTP",并且将它的属性设为所有用户均可读、写、执行。
这样经过设置,既保证了系统文件不被删改,又保证了FTP合法用户的正常访问。
4. 网络应用层协议
(1)域名系统(Domain Name System,DNS):用于实现网络设备名字到IP地址映射的网
络服务。
(2)文件传输协议(File Transfer Protocol,FTP):用丁实现交互式文件传输功能。
(3)简单邮件传送协议(Simple Mail Transfer Protocol, SMTP):用于实现电子邮箱传送功能
(4)超文本传输协议(HyperText Transfer Protocol,HTTP):用于实现WWW服务。
(5)简单网络管理协议(simple Network Management Protocol,SNMP):用于管理与监视网络设备。
(6)远程登录协议(Telnet):用于实现远程登录功能。
5. FTP的防范与攻击如何实现
------------------------FTP安全考虑—RFC2577----------------------------------
1.简介
文件传输协议规范(FTP)[PR85]提供了一种允许客户端建立FTP控制连接并在两台
FTP服务器间传输文件的机制。这种“代理FTP”机制可以用来减少网络的流量,客户端命
令一台服务器传输文件给另一台服务器,而不是从第一台服务器传输文件给客户端,然后从
客户端再传输给第二台服务器。当客户端连接到网络的速度特别慢时,这是非常有用的。但
同时,代理FTP还带来了一个安全问题——“跳转攻击(bounce attack)”[CERT97:27]。除
了“跳转攻击”,FTP服务器还可以被攻击者通过强力来猜测密码。
本文档并不考虑当FTP和一些强壮的安全协议(比如IP安全)联合使用的情况。虽然
这些安全关注并不在本文档的考虑范围内,但是它们也应该被写成文档。
本文给FTP服务器的实现者和系统管理员提供了一些信息,如下所示。第二章描述了
FTP“跳转攻击”。第三章提供了减少“跳转攻击”的建议。第四章给基于网络地址限制访
问的服务器提供了建议。第五章提供了限制客户端强力“猜测密码”的建议。接着,第六章
简单的讨论了改善保密性的机制。第七章给出了阻止猜测用户身份的机制。第八章讨论了端
口盗用。最后,第九章讨论了其它跟软件漏洞有关而跟协议本身无关的FTP安全问题。
2.跳转攻击(Bounce Attack)
RFC959[PR85]中规定的FTP规范提供了一种攻击知名网络服务器的一种方法,并且使
攻击者很难被跟踪。攻击者发送一个FTP"PORT"命令给目标FTP服务器,其中包含该主机
的网络地址和被攻击的服务的端口号。这样,客户端就能命令FTP服务器发一个文件给被
攻击的服务。这个文件可能包括根被攻击的服务有关的命令(如SMTP,NNTP等)。由于是
命令第三方去连接到一种服务,而不是直接连接,就使得跟踪攻击者变得困难,并且还避开
了基于网络地址的访问限制。
例如,客户端上载包含SMTP命令的报文到FTP服务器。然后,使用正确的PORT命
令,客户端命令服务器打开一个连接给第三方机器的SMTP端口。最后,客户端命令服务
器传输刚才上载的包含SMTP命令的报文给第三方机器。这就使得客户端不建立任何直接
的连接而在第三方机器上伪造邮件,并且很难跟踪到这个攻击者。
3.避免跳转攻击
原来的FTP规范[PR85]假定使用TCP进行数据链接,TCP端口号从0到1023时报留给
一些众所周知的服务的,比如邮件,网络新闻和FTP控制链接。FTP规范对数据链接没有
限制TCP端口号。因此,使用代理FTP,客户端就可以命令服务器去攻击任何机器上众所
周知的服务。
为了避免跳转攻击,服务器最好不要打开数据链接到小于1024的TCP端口号。如果服
务器收到一个TCP端口号小于1024的PORT命令,那么可以返回消息504(对这种参数命
令不能实现)。但要注意这样遗留下那些不知名服务(端口号大于1023)易受攻击。
一些建议(例如[AOM98]和[Pis94])提供了允许使用除了TCP以外的其他传输协议来
建立数据连接的机制。当使用这些协议时,同样要注意采用类似的防范措施来保护众所周知
的服务。
另外,我们注意到跳转攻击一般需要攻击者首先上载一个报文到FTP服务器然后再下
载到准备攻击的服务端口上。使用适当的文件保护措施就可以阻止这种情况发生。然而攻击
者也可能通过从远程FTP服务器发送一些能破坏某些服务的数据来攻击它。
禁止使用PORT命令也是避免跳转攻击的一种方法。大多数文件传输可以仅通过PASV
命令来实现。但这样做的缺点就是丧失了使用代理FTP的能力,当然代理FTP并不是在所
有场合都需要的。
4.受限制的访问
一些FTP服务器希望有基于网络地址的访问控制。例如,服务器可能希望限制来自某
些地点的对某些文件的访问(例如为了某些文件不被传送到组织以外)。在这种情况下,服
务器在发送受限制的文件之前应该首先确保远程主机的网络地址在本组织的范围内,不管是
控制连接还是数据连接。通过检查这两个连接,服务器就被保护避免了这种情况:控制连接
用一台可信任的主机连接而数据连接不是。同样的,客户也应该在接受监听模式下的开放端
口连接后检察远程主机的IP地址,以确保连接是由所期望的服务器建立的。
注意,基于网络地址的受限访问留下了FTP服务器易受“地址盗用(spoof)”攻击。在
spoof攻击中,攻击机器可以冒用在组织内的机器的网络地址,从而将文件下载到在组织之
外的未授权的机器上。只要可能,就应该使用安全鉴别机制,比如在[HL97]中列出的安全鉴
别机制。
5.保护密码
为了减少通过FTP服务器进行强力密码猜测攻击的风险,建议服务器限制尝试发送正
确的密码的次数。在几次尝试(3~5次)后,服务器应该结束和该客户的控制连接。在结束
控制连接以前,服务器必须给客户端发送一个返回码421(“服务不可用,关闭控制连接”
[PR85])。另外,服务器在相应无效的“PASS”命令之前应暂停几秒来消减强力攻击的有效
性。若可能的话,目标操作系统提供的机制可以用来完成上述建议。
攻击者可能通过与服务器建立多个、并行的控制连接破坏上述的机制。为了搏击多个并
行控制连接的使用,服务器可以限制控制连接的最大数目,或探查会话中的可疑行为并在以
后拒绝该站点的连接请求。然而上述两种措施又引入了“服务否决”攻击,攻击者可以故意
的禁止有效用户的访问。
标准FTP[PR85]在明文文本中使用“PASS”命令发送密码。建议FTP客户端和服务器
端使用备用的鉴别机制,这种鉴别机制不会遭受窃听。比如,IETF公共鉴别技术工作组开
发的机制[HL97]。
6.私密性
在FTP标准中[PR85]中,所有在网络上被传送的数据和控制信息(包括密码)都未被
加密。为了保障FTP传输数据的私密性,应尽可能使用强壮的加密系统。在[HL97]中定义
了一个这样的机制。
7.保护用户名
当“USER”命令中的用户名被拒绝时,在FTP标准中[PR85]中定义了相应的返回码530。
而当用户名是有效的但却需要密码,FTP将使用返回码331。为了避免恶意的客户利用USER
操作返回的码确定一个用户名是否有效,建议服务器对USER命令始终返回331,然后拒绝
对无效用户名合并用户名和密码。
8.端口盗用
许多操作系统以递增的顺序动态的分配端口号。通过合法的传输,攻击者能够观察当前
由服务器端分配的端口号,并“猜”出下一个即将使用的端口号。攻击者可以与这个端口建
立连接,然后就剥夺了下一个合法用户进行传输的能力。或者,攻击者可以盗取给合法用户
的文件。另外,攻击者还可能在从授权用户发出的数据流中插入伪造的文件。通过使FTP
客户和服务器随机的给数据连接分配端口号,或者要求操作系统随机分配端口号,或者使用
与系统无关的机制都可以减少端口盗用的发生。
9.基于软件的安全问题
本文档的重点是和协议相关的安全问题。另外还有一些成文的FTP安全问题是由于不
完善的FTP实现造成的。虽然这种类型的问题的细节超出本文档的范围,还是有必要指出
以下那些过去曾被误用,今后的实现应该慎重考虑的FTP特性。
? 匿名FTP
匿名FTP服务使客户端用最少的证明连接到FTP服务器分享公共文件。如果这样的用
户能够读系统上所有的文件或者能建立文件,那么问题就产生了。[CERT92:09] [CERT93:06]
? 执行远程命令
FTP扩展命令"SITE EXEC"允许客户端执行服务器上任意的命令。这种特性显然需要非
常小心的实现。已经有几个成文的例子说明攻击者利用FTP“SITE EXEC”命令可以破坏服
务器的安全性。[CERT94:08] [CERT95:16]
? 调试代码
前面的一些跟FTP有关危及安全的问题是由于置入了调试特性的软件造成的。
[CERT88:01]
本文建议有这些功能的FTP服务器的实现者在发布软件之前参阅所有的CERT有关这
些问题的攻击以及类似机制的忠告。
10.结论
使用以上建议可以减少和FTP服务器有关的安全问题的发生,而不用删除其功能。
6. 网络安全漏洞含义
来源:趋势科技认证信息安全专员(TCSP)教材
网络安全漏洞主要表现在以下几个方面:
a. 系统存在安全方面的脆弱性:现在的操作系统都存在种种安全隐患,从Unix到Windows,五一例外。每一种操作系统都存在已被发现的和潜在的各种安全漏洞。
b. 非法用户得以获得访问权。
c. 合法用户未经授权提高访问权限。
d. 系统易受来自各方面的攻击。
漏洞分类
常见的漏洞主要有以下几类:
a. 网络协议的安全漏洞。
b. 操作系统的安全漏洞。
c. 用用程序的安全漏洞。
漏洞等级
按对目标主机的危害程度,漏洞可分为:
a. A级漏洞:允许恶意入侵者访问并可能会破坏整个目标系统的漏洞
b. B级漏洞:允许本地用户提高访问权限,并可能使其获得系统控制的漏洞
c. C级漏洞:允许用户终端、降低或阻碍系统操作的漏洞
安全漏洞产生的原因
安全漏洞产生的原因很多,主要有以下几点:
a. 系统和软件的设计存在缺陷,通信协议不完备。如TCP/CP协议既有很多漏洞。
b. 技术实现不充分。如很多缓存一处方面的漏洞就是在实现时缺少必要的检查。
c. 配置管理和使用不当也能产生安全漏洞。如口令过于简单,很容易被黑客猜中。
Internet服务的安全漏洞
网络应用服务,指的事在网络上所开放的一些服务,通常能见到如WEB、MAIL、FTP、DNS、TESLNET等。当然,也有一些非通用的服务,如在某些领域、行业中自主开发的网络应用程序。常见的Internet服务中都存在这样那样的安全漏洞。比如:
a. 电子邮件中的:冒名的邮件:匿名信:大量涌入的信件。
b. FTP中的:病毒威胁;地下站点。
FTP安全性分析
文件传输协议(File Transfer Protocol,FTP)是一个被广泛应用的协议,它使得我们能够在网络上方便地传输文件。早期FTP并没有设计安全问题,随着互联网应用的快速增长,人们对安全的要求也不断提高。
早期对FTP的定义指出,FTP是一个ARPA计算机网络上主机间文件传输的用户级协议。其主要功能是方便主机间的文件传输,并且允许在其他主机上方便的进行存储和文件处理;而现在FTP的应用范围则是Internet。根据FTP STD 9定义,FTP的目标包括:
a.促进文件(程序或数据)的共享。
b.支持间接或隐式地试用远程计算机。
c.帮助用户避开主机上不同的协议和防火墙。
d.可靠并有效地传输数据。
关于FTP的一些其他性质包括:FTP可以被用户在终端使用,但通常是给程序试用的。FTP中主要采用了传输控制协议(Transmission Control Protocol,TCP),以及Telnet协议。
防范反弹攻击(The Bounce Attack)
1.漏洞
FTP规范[PR85]定义了“代理FTP”机制,即服务器间交互模型。支持客户建立一个FTP控制连接,然后在两个服务器间传送文件,同时FTP规范中对试用TCPd端口号没有任何限制,从0~1023的TCP端口号保留用于各种各样的网络服务。所以,通过“代理FTP”,客户可以名利FTP服务器攻击任何一台机器上的网络服务。
2.反弹攻击
客户发送一个包含被攻击的机器和服务的网络地址和端口号的FTP“POST”命令。这时客户要求FTP服务器向被攻击的服务器发送一个文件,该文件应包含与被攻击的服务相关的命令(如SMTP,NNTP)。由于是命令第三方去连接服务,而不是直接连接,这样不仅使追踪攻击者变得困难,还能避开给予网络地址的访问限制。
3.防范措施
最简单的办法就是封住漏洞。首先,服务器最好不要建立TCP端口号在1024以下的连接。如果服务器收到一个包含TCP端口号在1024以下的POST命令,服务器可以返回消息504中定义为“对这种参数命令不能实现”)。其次,禁止试用POST命令,也是一个可选的防范反弹攻击的方案。大多数的文件传输只需要PASV命令。这样做的缺点事失去了试用“代理FTP”的可能性,但是在某些环境中并不需要“代理FTP”。
4.遗留问题
仅仅是控制1024以下的连接,仍会使用户定义的服务(TCP端口号在1024以上)遭受反弹攻击。
未完,待续……
7. FTP可否算是传输协议吗
文件传输协议FTP是基于TCP / IP的应用层协议,其主要功能是提供文件的共享、支持远距离计算机间接或直接连接、保护用户不因各类主机文件存储器系统的差异而受影响、进行可靠且有效的数据传输等,应用非常广泛。但是传统的FTP有不少的安全漏洞,例如明文传输、缺乏对数据的机密性和完整性保护,对通信双方也没有可靠的认证措施等。针对FTP的安全漏洞,近年来也出现了一些不需要对F IP协议自身做完全更改的协议扩展模块,如FTP SSL /TLS Extension。SSL ( Secure Sockets Layer)是用于对TCP / IP数据流进行加密的协议,同时还包括了身份认证和数据完整性校验等内容。显然,基于SSL /TLS的FTP克服了明文传输的致命弱点,但是无可否认的是,在开放式的互联网环境下FTP服务器受到恶意攻击的可能性还是很大,而且协议数据的安全性还是未得到保障。安全的本质是在信息的安全期内保证其在网络上流动的或 者静态存放时不被非授权用户非法访问,但授权用户却可以访问。基于这一概念,本文在SSL 的基础上设计了一个安全FTP系统,从认证、传输、存储三个方面大大提高了FTP的安全性。
8. 谁知道Serv-U FTP Server v6.3 for WinSock ready版本的FTP是否有漏洞
FTP简介
FTP的全称是File Transfer Protocol(文件传输协议)。顾名思义,就是专门用来传输文件的协议。而FTP服务器,则是在互联网上提供存储空间的计算机,它们依照FTP协议提供服务。当它们运行时,用户就可以连接到服务器上下载文件,也可以将自己的文件上传到FTP服务器中。因此,FTP的存在,大大方便了网友之间远程交换文件资料的需要,充分体现了互联网资源共享的精神。现在许多朋友都已经用上了宽带网,而且硬盘也有足够的空间,完全可以通过软件手段把自己的电脑变为一台FTP服务器,和网络中的朋友们一起分享大家各自收藏的好东东!
用Serv-U架设个人FTP
架设FTP服务器,其实并没有技术难度,只需用Serv-U这个软件就可轻松搞定了。Serv-U支持所有版本的Windows操作系统,可以设定多个FTP服务器,可以限定登录用户的权限、登录目录及服务器空间大小,功能非常完善。以下笔者就以Serv-U汉化版为例,给大家讲讲架设个人FTP的具体步骤。
首先下载安装Serv-U,运行,将出现“设置向导”窗口,我们就来跟随着这个向导的指引,一步步进行操作。
1. 设置Serv-U的IP地址与域名
一路单击“下一步”跳过系统提示信息,来到“您的IP地址”窗口(如图1),这里要求输入本机的IP地址。
图1 输入你的IP地址
如果你的电脑有固定的IP地址,那就直接输入;如果你只有动态IP(例如拨号用户),那该处请留空,Serv-U在运行时会自动确定你的IP地址。
下一步,进行“域名”设定。这个域名只是用来标识该FTP域,没有特殊的含义,比如笔者输入“ftp.wxxi520.com”。
接下来的“系统服务”选项必须选“是”,这样当你的电脑一启动,服务器也会跟着开始运行。
2.设置匿名登录
匿名访问就是允许用户以Anonymous为用户名,无需特定密码即可连接服务器并拷贝文件。如果你不想让陌生人随意进入你的FTP服务器,或想成立VIP会员区,就应该在“匿名账号”窗口中选“否”,这样就只有经过你许可的用户才能登录该FTP。鉴于匿名登录尚有一定的实用需求,笔者在此选“是”(如图2)。
图2 允许匿名登录
之后就要为匿名账户指定FTP上传或下载的主目录,这是匿名用户登录到你的FTP服务器后看到的目录。设定后,向导还会继续询问你是否将匿名用户锁定于此目录中,从安全的角度考虑,建议选“是”。这样匿名登录的用户将只能访问你指定的主目录及以下的各级子目录,而不能访问上级目录,便于保证硬盘上其他文件的安全。
3.创建新账户
除了匿名用户,我们一般还需要建立有密码的专用账号,也就是说可以让指定用户以专门的账号和密码访问你的服务器,这样做适用于实行会员制下载或只让好友访问。在“命名的账号”窗口中将“创建命名的账号吗”选为“是”,进入“账号名称”设置,填入你制定的账号名称,而后在“账号密码”窗口输入该账号的密码。
单击“下一步”,会要求你指定FTP主目录,并询问是否将用户锁定于主目录中,选“是”,作用与匿名账户设定基本相同,不再赘述。
紧接着要设置该账户的远程管理员权限,分为“无权限”、“组管理员”、“域管理员”、“只读管理员”和“系统管理员”五种选项,每项的权限各不相同,可根据具体情况进行选择。
至此,我们已拥有了一个域——ftp.wxxi520.com及两个用户——Anonymous和wxxi520。点击“完成”退出向导,稍等片刻Serv-U软件主界面将自动弹出,我们还要在此进行一些管理员设置。
4.管理员设置
图3为Serv-U管理员界面,每个Serv-U引擎都能用来运行多个虚拟的FTP服务器,而虚拟的FTP服务器就称为“域”。
图3 Serv-U管理员界面
对FTP服务器来说,建立多个域是非常有用的,每个域都有各自的用户、组和相关的设置。以下笔者就简要说说管理器界面上必要的各项设置。
★ 首先点击窗体左方的“本地服务器”,勾选右边的“自动开始(系统服务)”。
★ 选择左方的“域→活动”,这里记载了该域下所有用户的活动情况,是非常重要的监控数据。
★ “域→组”:在此可自建一些用户组,把各类用户归到相应的组中,便于管理。
★ “域→用户”:这里有我们刚建立的两个账号,其中的细节设置十分重要,具体如下。
账号:如果有用户违反FTP的规定,你可以点击此处的“禁用账号”,让该用户在一段时间内被禁止登录。另外此处的“锁定用户于主目录”一定要勾选,否则你硬盘的绝对地址将暴露。
常规:根据自身的实际需要,在此设置最大的下载和上传速度、登录到本服务器的最大用户数、同一IP的登录线程数等。
IP访问:你可以在此拒绝某个讨厌的IP访问你的FTP服务器,只要在“编辑规则”处填上某个IP地址,以后该IP的访问将会全部被拦下。
配额:勾选“启用磁盘配额”,在此为每位FTP用户设置硬盘空间。点击“计算当前”,可知当前的所有已用空间大小,在“最大”一栏中设定最大的空间值。
最后,请在有改动内容的标签卡上点击右键,选择“应用”,如此才能使设置生效!
好了!现在,一个简单的个人FTP服务器就已经完整地呈现在你面前了。不过这时还要测试一下能否成功地下载和上传。
下载和上传
要使用FTP服务器下载和上传,就要用到FTP的客户端软件。常用的FTP客户端软件有CuteFTP、FlashFXP、FTP Explorer等等。对于它们的具体使用,这里就不细讲了。基本上只要在这些软件的“主机名”处中填入你庙宇的FTP服务器IP地址,而后依次填入用户名,密码和端口(一般为21),点击连接,只要能看到你设定的主目录并成功实现文件的下载和上传,就说明这个用Serv-U建立起来的FTP服务器能正常使用了!
9. 应用层的一般协议(HTTP、FTP等)最普遍的安全问题是什么
浅谈应用层协议的安全问题
我们常用的一些网络应用,例如电子商务就是在网络应用层进行的.那么在应用层协议,我们是如何保证安全的呢?这方面,我们主要讨论一下set协议.首先,我们来了解一下有关于因特网上的安全协议环境.
开放的因特网上处理电子商务,保证买卖双方传输数据的安全成为电子商务的重要的问题。为了克服ssl安全协议的缺点,满足电子交易持续不断地增加的安全要求,为了达到交易安全及合乎成本效益的市场要求,visa国际组织及其它公司如master card、micro soft、ibm等共同制定了安全电子交易(set:secure electronic transactions)公告。
这是一个为在线交易而设立的一个开放的、以电子货币为基础的电子付款系统规范,它采用公钥密码体制和x.509数字证书标准,主要应用于b to c模式中保障支付信息的安全性。set在保留对客户信用卡认证的前提下,又增加了对商家身份的认证,这对于需要支付货币的交易来讲是至关重要的。由于设计合理,set应用层协议得到了许多大公司和消费者的支持,己成为全球网络的工业标准,其交易形态将成为未来“电子商务"的规范。
1.set应用层协议的描述
安全电子交易规范,为在因特网上进行安全的电子商务提供了一个开放的标准。set主要使用电子认证技术,其认证过程使用rsa和des算法,因此,可以为电子商务提供很强的安全保护。可以说,set规范是目前电子商务中最重要的协议,它的推出必将大大促进电子商务的繁荣和发展。set将建立一种能在因特网上安全使用银行卡进行购物的标准。安全电子交易规范是一种为基于信用卡而进行的电子交易提供安全措施的规则,是一种能广泛应用于因特网的安全电子付款协议,它能够将普遍应用的信用卡使用起始点从目前的商店扩展到消费者家里,扩展到消费者的个人计算机中。
set安全电子交易协议是一种基于消息流的协议,该协议主要是为了解决用户、商家和银行之间通过信用卡在线支付而设计的,以保证支付信息的机密、支付过程的完整、持卡人的合法身份以及可操作性。set中的核心技术主要有公开密钥加密、数字签名、数字信封、数字证书等。set应用层协议的工作原理和流程如下图所示:
2.set应用层协议要达到的的目标主要有五个:
(1)保证电子商务参与者信息的相互隔离。客户的资料加密或打包后边过商家到达银行,但是商家不能看到客户的帐户和密码信息;
(2)保证信息在因特网上安全传输,防止数据彼黑客或被内部人员窃取;
(3)解决多方认证问题,不仅要对消费者的信角卡认证,而且要对在线商店的信誉程度认证,同时还有消费看、在线商店与银行间的认证;
(4)保证了网上交易的实时性,使所有的支付过程都是在线的;
(5)规范协议和消息格式,促使不同厂家开发的软件具有兼容性和互操作功能,并且可以运行在不同的硬件和操作系统平台上。
10. 网络漏洞的网络漏洞出现
在商业世界,漏洞主要是因为设计和实施中出现错误所致,造成信息完整性、可获得性和保密性受损。错误通常在软件中,也存在于各个信息系统层,从协议规格到设计到物理硬件。网络漏洞还可能是恶意用户或自动恶意代码故意为之。重要系统或网络中单个漏洞可能会严重破坏一个机构的安全态势。
美国国防部对“漏洞”一词的定义是易受攻击性或“利用信息安全系统设计、程序、实施或内部控制中的弱点不经授权获得信息或进入信息系统。”这里的关键词是“弱点”。任何系统或网络中的弱点都是可防的。
但是,系统或网络中的弱点表明解决方案是已知的,能够实施的。有许多系统和网络漏洞分析器,包括自动漏洞检测系统和TIGER系统。网络攻击向量是对某一或多个具体目标实施攻击的明确的路径。自动漏洞检测系统和TIGER系统利用模拟网络攻击分析网络的整个态势,常规失败概率很低。
网络专家利用的其他类似工具有安全管理员网络集成工具(SAINT)和网络映射器(NMAP)——基于漏洞的评估工具,既快又可靠。由于NMAP携带方便、操作简单,黑客也常常使用。它有用于Linux, UniX和微软Windows平台的多种版本,能轻松扫描包含成百上千个系统和服务器的巨型网络。SAINT和NMAP能对网络的端口或服务系统进行扫描,显然也能被恶意和非恶意者利用。攻击特征和地址性质决定了新的攻击或攻击向量能躲过大多数漏洞评估工具。
例如,如果端口21——文件传输协议(FTP)的默认端口正在运行的话,对网络服务器进行快速漏洞检查能发现潜在的问题。传统的FTP程序不提供数据加密,用户认证级别很低,因此传输中相对容易窃取未加密数据。由于用户认证系统功能不强,黑客如果能诱骗系统认为他是FTP服务器的合法用户,就能进入系统,这就出现了另外一个问题。解决这些漏洞就是应用加密技术。Secure-shell (SSH)FTP或SFTP通过加密保证数据的完整性和保密性。SFTP利用SSH进行可靠的数据连接保证远程文档安全传输。该协议使用端口22,系统管理员不用传统的FTP服务器,因此不需要使用端口21.令人惊讶的是,当他们运行SFTP时,有几个管理员错误地忘记关掉FTP,这样为黑客留下可利用的后门。
漏洞评估工具是双向的。尽管它们提供管理员评估系统和网络状态非常需要的能力,但这些工具也为恶意黑客提供了扫描能力。任何端口扫面工具能远程刺探网络服务器,决定哪个端口是对外部开发的。黑客还能发现这些开发的端口是否可以利用。
