如何提高FTP服務(wù)器安全性

FTP是一種文件傳輸協(xié)議。有時我們把他形象的叫做文件交流集中地。FTP文件服務(wù)器的主要用途就是提供文件存儲的空間，讓用戶可以上傳或者下載所需要的文件。在企業(yè)中，往往會給客戶提供一個特定的FTP空間，以方便跟可以進行一些大型文件的交流，如大到幾百兆的設(shè)計圖紙等等。同時，F(xiàn)TP還可以作為企業(yè)文件的備份服務(wù)器，如把數(shù)據(jù)庫等關(guān)鍵應(yīng)用在FTP服務(wù)器上實現(xiàn)異地備份等等。

專注于為中小企業(yè)提供網(wǎng)站制作、成都網(wǎng)站制作服務(wù),電腦端+手機端+微信端的三站合一,更高效的管理,為中小企業(yè)渦陽免費做網(wǎng)站提供優(yōu)質(zhì)的服務(wù)。我們立足成都，凝聚了一批互聯(lián)網(wǎng)行業(yè)人才，有力地推動了成百上千企業(yè)的穩(wěn)健成長，幫助中小企業(yè)通過網(wǎng)站建設(shè)實現(xiàn)規(guī)模擴充和轉(zhuǎn)變。

可見，F(xiàn)TP服務(wù)器在企業(yè)中的應(yīng)用是非常廣泛的。真是因為其功能如此的強大，所以，很多黑客、病毒也開始關(guān)注他了。他們企圖通過FTP服務(wù)器為跳板，作為他們傳播木馬、病毒的源頭。同時，由于FTP服務(wù)器上存儲著企業(yè)不少有價值的內(nèi)容。在經(jīng)濟利益的誘惑下，F(xiàn)TP服務(wù)器也就成為了別人攻擊的對象。

在考慮FTP服務(wù)器安全性工作的時候，第一步要考慮的就是誰可以訪問FTP服務(wù)器。在Vsftpd服務(wù)器軟件中，默認提供了三類用戶。不同的用戶對應(yīng)著不同的權(quán)限與操作方式。

一類是Real帳戶。這類用戶是指在FTP服務(wù)上擁有帳號。當這類用戶登錄FTP服務(wù)器的時候，其默認的主目錄就是其帳號命名的目錄。但是，其還可以變更到其他目錄中去。如系統(tǒng)的主目錄等等。

第二類帳戶實Guest用戶。在FTP服務(wù)器中，我們往往會給不同的部門或者某個特定的用戶設(shè)置一個帳戶。但是，這個賬戶有個特點，就是其只能夠訪問自己的主目錄。服務(wù)器通過這種方式來保障FTP服務(wù)上其他文件的安全性。這類帳戶，在Vsftpd軟件中就叫做Guest用戶。擁有這類用戶的帳戶，只能夠訪問其主目錄下的目錄，而不得訪問主目錄以外的文件。

在組建FTP服務(wù)器的時候，我們就需要根據(jù)用戶的類型，對用戶進行歸類。默認情況下，Vsftpd服務(wù)器會把建立的所有帳戶都歸屬為Real用戶。但是，這往往不符合企業(yè)安全的需要。因為這類用戶不僅可以訪問自己的主目錄，而且，還可以訪問其他用戶的目錄。這就給其他用戶所在的空間 帶來一定的安全隱患。所以，企業(yè)要根據(jù)實際情況，修改用戶雖在的類別。

修改方法：第一步：修改/etc/Vsftpd/vsftpd.conf文件。

默認情況下，只啟用了Real與Anonymous兩類用戶。若我們需要啟用Guest類用戶的時候，就需要把這個選項啟用。修改/etc/Vsftpd/vsftpd.conf文件，把其中的chroot_list_enable=YES這項前面的注釋符號去掉。去掉之后，系統(tǒng)就會自動啟用Real類型的帳戶。

第二步：修改/etc/vsftpd.conf文件。

若要把某個FTP服務(wù)器的帳戶歸屬為Guest帳戶，則就需要在這個文件中添加用戶。通常情況下，F(xiàn)TP服務(wù)器上沒有這個文件，需要用戶手工的創(chuàng)建。利用VI命令創(chuàng)建這個文件之后，就可以把已經(jīng)建立的FTP帳戶加入到這個文件中。如此的話，某個帳戶就屬于Real類型的用戶了。他們登錄到FTP服務(wù)器后，只能夠訪問自己的主目錄，而不能夠更改主目錄。

第三步：重新啟動FTP服務(wù)器。

按照上述步驟配置完成后，需要重新啟動FTP服務(wù)器，其配置才能夠生效。我們可以重新啟動服務(wù)器，也可以直接利用Restart命令來重新啟動FTP服務(wù)。

在對用戶盡心分類的時候，筆者有幾個善意的提醒。

一是盡量采用Guest類型的用戶，而減少Real類行的用戶。一般我們在建立FTP帳戶的時候，用戶只需要訪問自己的主目錄下的文件即可。當給某個用戶的權(quán)限過大時，會對其他用戶文件的安全產(chǎn)生威脅。

在以下幾種情況下，我們要禁止這些賬戶訪問FTP服務(wù)器，以提高服務(wù)器的安全。

一是某些系統(tǒng)帳戶。如ROOT帳戶。這個賬戶默認情況下是Linxu系統(tǒng)的管理員帳戶，其對系統(tǒng)具有最高的操作與管理權(quán)限。若允許用戶以這個賬戶為賬戶名進行登陸的話，則用戶不但可以訪問Linux系統(tǒng)的所有資源，而且，還好可以進行系統(tǒng)配置。這對于FTP服務(wù)器來說，顯然危害很大。所以，往往不允許用戶以這個Root等系統(tǒng)帳戶身份登陸到FTP服務(wù)器上來。

第二類是一些臨時賬戶。有時候我們出于臨時需要，為開一些臨時賬戶。如需要跟某個客戶進行圖紙上的交流，而圖紙本身又比較大時，F(xiàn)TP服務(wù)器就是一個很好的圖紙中轉(zhuǎn)工具。在這種情況下，就需要為客戶設(shè)立一個臨時賬戶。這些賬戶用完之后，一般就加入到了黑名單。等到下次需要再次用到的時候，再啟用他。

在vstftpd服務(wù)器中，要把某些用戶加入到黑名單，也非常的簡單。在Vsftpd軟件中，有一個/etc/vsftpd.user_lise配置文件。這個文件就是用來指定哪些賬戶不能夠登陸到這個服務(wù)器。我們利用vi命令查看這個文件，通常情況下，一些系統(tǒng)賬戶已經(jīng)加入到了這個黑名單中。FTP服務(wù)器管理員要及時的把一些臨時的或者不再使用的帳戶加入到這個黑名單中。從而才可以保證未經(jīng)授權(quán)的賬戶訪問FTP服務(wù)器。在配置后，往往不需要重新啟動FTP服務(wù)，配置就會生效。

不過，一般情況下，不會影響當前會話。也就是說，管理員在管理FTP服務(wù)器的時候，發(fā)現(xiàn)有一個非法賬戶登陸到了FTP服務(wù)器。此時，管理員馬上把這個賬戶拉入黑名單。但是，因為這個賬戶已經(jīng)連接到FTP服務(wù)器上，所以，其當前的會話不會受到影響。當其退出當前會話，下次再進行連接的時候，就不允許其登陸FTP服務(wù)器了。所以，若要及時的把該賬戶禁用掉的話，就需要在設(shè)置好黑名單后，手工的關(guān)掉當前的會話。

對于一些以后不再需要使用的帳戶時，管理員不需要把他加入黑名單，而是直接刪除用戶為好。同時，在刪除用戶的時候，要記得把用戶對應(yīng)的主目錄也一并刪除。不然主目錄越來越多，會增加管理員管理的工作量。在黑名單中，只保留那些將來可能利用的賬戶或者不是用作FTP服務(wù)器登陸的賬戶。這不但可以減少服務(wù)器管理的工作量，而且，還可以提高FTP服務(wù)器的安全性。

在系統(tǒng)默認配置下，匿名類型的用戶只可以下載文件，而不能夠上傳文件。雖然這不是我們推薦的配置，但是，有時候出于一些特殊的需要，確實要開啟這個功能。如筆者以前在企業(yè)中，利用這個功能實現(xiàn)了對用戶終端文件進行備份的功能。為了設(shè)置的方便，就在FTP服務(wù)器上開啟了匿名訪問，并且允許匿名訪問賬戶網(wǎng)某個特定的文件夾中上傳某個文件。

筆者再次重申一遍，一般情況下，是不建議用戶開啟匿名賬戶的文件上傳功能。因為很難保證匿名賬戶上傳的文件中，不含有一些破壞性的程序，如病毒或者木馬等等。有時候，雖然開啟了這個功能，但是往往會在IP上進行限制。如只允許企業(yè)內(nèi)部IP可以進行匿名訪問并上傳文件，其他賬戶則不行。如此的話，可以防止外部用戶未經(jīng)授權(quán)匿名訪問企業(yè)的FTP服務(wù)器。若用戶具有合法的賬戶，就可以在外網(wǎng)中登陸到FTP服務(wù)器上。

總之，在FTP服務(wù)器安全管理上，主要關(guān)注三個方面的問題。一是未經(jīng)授權(quán)的用戶不能往FTP空間上上傳文件；二是用戶不得訪問未經(jīng)授權(quán)的目錄，以及對這些目錄的文件進行更改，包括刪除與上傳；三是FTP服務(wù)器本身的穩(wěn)定性。以上三個問題中的前兩部分內(nèi)容，都可以通過上面的三個方法有效的解決。

文件服務(wù)器（FTP）怎么給用戶設(shè)置權(quán)限

1、對準開始鍵右擊-選擇第一個程序和功能-選擇（左邊小菜單）啟用或關(guān)閉Windows功能。在InternetInformationServices可承載的Web核心和InternetInformationServices子菜單把FTP打鉤。

2、同樣開始鍵右擊-計算機管理-服務(wù)和應(yīng)用程序-InternetInformationServices-網(wǎng)站右鍵-添加FTP站點。

3、改FTP的站點名稱和路徑。

4、選擇默認的IP地址下拉就有默認端口21-下一步。

5、身份驗證匿名基本都打鉤允許所有用戶訪問權(quán)限讀取-完成。

6、你的FTP服務(wù)器就建立出來了。

7、打開我的電腦-地址欄上打（剛才的選擇的IP地址）就可以登錄了。

FTP怎么設(shè)置

以設(shè)置FTP文件共享為例，具體操作步驟如下：

1、首先，打開控制面板并找到“程序－打開或關(guān)閉windows功能”選項，如下圖所示。

2、接下來，找到Internet信息服務(wù)項，并檢查其下面的所有子功能，如下圖所示。

3、然后，等待短期服務(wù)配置完成，右鍵單擊“我的電腦”打開“管理”，然后選擇“Internet信息服務(wù)”在正確的網(wǎng)站上添加FTP站點，如下圖所示。

4、接下來，在此頁面，設(shè)置FTP名稱和存儲共享文件的物理路徑，如下圖所示。

5、然后，如果需要密碼進行身份驗證，也可以選中“基本”，如下圖所示。

6、接下來，設(shè)置完成后，點擊右邊的高級設(shè)置，將UTF－8設(shè)置為false，就可以放置中文文件，如下圖所示。

7、最后，F(xiàn)TP共享文件可以通過輸入FTP路徑來實現(xiàn)，就可以完成效果圖了，如下圖所示。

服務(wù)器的FTP怎么設(shè)置

完全可以實現(xiàn),你用的ftp服務(wù)器是serv-u還是iis自帶的ftp服務(wù).

前者可以設(shè)置每個用戶的根目錄,然后設(shè)置里面的安全選項即可.

或者設(shè)置起來比較麻煩.

首先由建立n各帳戶,然后磁盤必須設(shè)置成ntfs格式,然后去掉文件夾選項 查看里的 簡單文件共享

由于本人口較笨,就從知道上找了一點資料你看看

在桌面上右擊“我的電腦”，執(zhí)行“管理”命令，在“計算機管理”窗口的左窗格中依次展開“系統(tǒng)工具”→“本地用戶和組”目錄，單擊選中“用戶”選項。在右側(cè)窗格中單擊右鍵，執(zhí)行“新用戶”命令。在打開的“新用戶”對話框中填寫用戶名（如hanjiang），并設(shè)定密碼。然后取消“用戶下次登錄時需更改密碼”復選框，并勾選“用戶不能更改密碼”和“密碼永不過期”復選框，單擊“創(chuàng)建”按鈕完成該用戶的添加。重復這一過程添加其他用戶，最后單擊“關(guān)閉”按鈕即可。

為方便對這些用戶的管理，最好將他們放入一個專門的組中。例如我們可以創(chuàng)建一個“FTPUsers”組：在“計算機管理”窗口的目錄樹中單擊選中“組”選項，然后在右側(cè)窗格中單擊右鍵，執(zhí)行“新建組”命令，并將該組命名為“FTPUsers”。接著依次單擊“添加”→“高級”→“立即查找”按鈕，將剛才創(chuàng)建的用戶全部添加進來，最后依次單擊“創(chuàng)建”→“結(jié)束”按鈕。

然而事情并沒有完，因為上述創(chuàng)建的用戶默認隸屬于“Users”組，也就是說他們擁有對大部分資源的瀏覽權(quán)限。為了實現(xiàn)對特定資源的有效管理，需要將這些用戶從“Users”組中刪除。在“計算機管理”窗口的右側(cè)窗格中雙擊“Users”選項，用鼠標拖選所有剛添加的用戶并單擊“刪除”按鈕即可。

設(shè)置獨立權(quán)限

這里的權(quán)限設(shè)置需要分兩部分來進行，即對FTP服務(wù)器主目錄的權(quán)限設(shè)置和對各個用戶文件夾的權(quán)限設(shè)置。假設(shè)FTP服務(wù)器的主目錄路徑為“G:/FTPServer”，我們先來取消“FTPUsers”組的用戶對“FTPServer”文件夾的“寫入 ”權(quán)限。右擊“FTPServer”文件夾，執(zhí)行“屬性”命令。在打開的“FTPServer 屬性”對話框中切換至“安全”選項卡下，然后依次單擊“添加”→“高級”→“立即查找”按鈕，單擊選中“FTPUsers”組并依次單擊“確定”按鈕回到“FTPServer 屬性”對話框。接著在“FTPUsers的權(quán)限”列表框中勾選“拒絕寫入”復選框。為了使“拒絕寫入”權(quán)限僅對“FTPServer”文件夾有效，還需要單擊“高級”按鈕，在“FTPServer的高級安全設(shè)置”對話框中雙擊“權(quán)限列表”中的“拒絕FTPUsers寫入”選項，打開“FTPServer的權(quán)限設(shè)置”對話框。在“應(yīng)用到”下拉列表中選中“只有該文件夾”選項，連續(xù)單擊“確定”按鈕完成設(shè)置（如圖1）。

接著我們?yōu)槊總€用戶創(chuàng)建獨立的文件夾（以用戶名命名），并針對每個文件夾賦予相應(yīng)用戶適當?shù)臋?quán)限。以文件夾“hanjiang”為例，在“hanjiang 屬性”對話框的“安全”選項卡下將用戶“hanjiang”添加進來，并賦予其讀取和寫入的權(quán)限。同理，對于其他文件夾，也只賦予相應(yīng)用戶讀取和寫入的權(quán)限。

小提示：需要受到權(quán)限保護的文件夾必須在NTFS分區(qū)中創(chuàng)建，F(xiàn)AT32分區(qū)內(nèi)的資源無法設(shè)置權(quán)限。

至此，設(shè)置工作就全部結(jié)束了。在任意一臺機器上以用戶“hanjiang”的身份登錄FTP服務(wù)器，你會發(fā)現(xiàn)該用戶只能在“hanjiang”文件夾中任意讀寫，而無法看到主目錄和其他用戶目錄的內(nèi)容。

網(wǎng)頁名稱：服務(wù)器開啟ftp安全設(shè)置 服務(wù)器開啟ftp安全設(shè)置權(quán)限
網(wǎng)頁URL：http://chinadenli.net/article28/dogedjp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站收錄、手機網(wǎng)站建設(shè)、小程序開發(fā)、Google、網(wǎng)站改版、外貿(mào)網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)