隨著網絡信息化的不斷發展,越來越多的上傳、下載服務對文件傳輸提出了更高的要求,如何對文件便捷、安全高效的傳輸,成為提升網絡應用的一個新課題。Serv—U是一種跨平臺的FTPH~務器軟件,它幾乎支持所有的Windows系統,因為其支持實時多用戶連接,斷點續傳、遠程管理、安全性能出眾等優點作為FTP服務器被廣泛的應用。
1 Serv—U概述
FTP是文件傳輸協議(File Transfer Protoco1)的簡稱,服務器通過這個協議給客戶端提供文件傳輸服務。Serv—U是一款在Windows中應用最為廣泛的FTP)J~務端軟件,用戶可以通過網絡中的任何一臺計算機使用FTP協議與服務器相連,進行文件或文件夾的創建、復制、移動或刪除等操作達到資源共享的目的。Serv—U可以給每個用戶添加一個或多個可訪問的目錄,可以根據需要設置每個目錄的用戶訪問權限(Read、Write、Append、Delete、Execute List Create、Remove、Inherit)。
2 FTP工作模式
FTP是TCP/IP的一種具體應用,它工作在OSI模型的應用層,通過 三次握手 的過程實現面向連接的、可靠的通信傳輸。FTP需要2個端口,21端口是控制連接端口,用于發送指令給服務器以及等待服務器響應;另一個20端口是數據傳輸端口,是用來建立數據傳輸的通道。
FTP協議有兩種工作模式:主動模式(ACTIVE )和被動模式(PASSIVE ),兩種模式下首先都是通過21端口進行Three—Way Handshake建立控制信道,然后再進行數據連接傳輸。ACTIVE模式是一種預設模式,當兩端需要傳送數據時,用戶端用一個port command告知服務器,用戶端可以用另一個TCP port 做數據通道。然后服務器利用20端口與用戶端建立數據連接。連接方向是從服務器到客戶端,由客戶端返回一個帶ACK flag的確認分組,并完成數據連接過程。
在PASSIVE模式下當兩端需要傳送數據的時候,用戶端發送一個pasv command 給服務器,要求進入PASSIVE傳輸模式。然后通過服務器的2O端口與客戶端建立數據通道。
3 安全隱患及防范
3.1禁用匿名賬戶,防范非授權訪問
默認隋況下,Serv—U構建的FTP服務器是允許anonymotls匿名訪問,游客不需要申請合法的賬號就可以方便的上傳、下載文件,但同時也伴隨著的極大的安全隱患,游客可以隨意的進行訪問,既占用了服務器的網絡帶寬又侵犯了合法用戶的權限,甚至在安全策略設置不到位的情況下很容易出現泄密情況,因此禁止匿名訪問是非常有必要的。
3.2限制登錄次數,防范口令惡意破解
不加限制條件下,FTP服務器允許無數次的輸入口令,這就為惡意攻擊者提供了可乘之機,攻擊者通過口令字典暴力破解用戶口令,進而攻擊服務器。對待口令字典的暴力破解我們首先應該加強口令的復雜性,保證口令在8位以上,并目字母、數字、特殊符號兼有,避免使用簡單或具有特殊意義的單詞。其次要限制用戶口令錯誤登錄的次數,可以通過Serv—U的“賬戶鎖定策略”來實現。在用戶界面中依次打開“安全設置一賬戶策略一賬戶鎖定策略”,在右側框體中找到“賬戶鎖定閾值”項,雙擊打開后,設置賬號登錄的最大次數,如果超過此數值,賬號會被自動鎖定。接著打開“賬戶鎖定時間”項,設置FTP賬號被鎖定的時間,賬號一旦被鎖定,只有超過這個時間值后,才能可以重新使用。
3.3訪問IP限制,拒絕非法IP
為保證FTPN務器的安全,可以對IP作訪問限制。針對不同的文件目錄設置IP訪問的范圍,對于單位傳閱的內部資料把訪問IP設置在內網的IP范圍內,以防外來地址的訪問;對某些已知惡意的IP地址也可單獨進行IP限制,在FTP站點屙}生對話框中,切換到“目錄安全性”標簽頁,選中“授權訪問”單選項,然后在“以下所列除外”框中點擊“添加”按鈕,彈出“拒絕以下訪問”對話框,這里可以拒絕單個IP地址或一組IP地址的非法訪問。
3.4合理設置用戶權限,避免權限危機
在Serv—U中對文件的訪問權限定義有“讀取、寫入、追加、刪除、執行”,針對文件夾的訪問權限有“列表、創建、移除”,子文件夾還有“繼承”。在日常的管理中每個賬號對應文件或文件夾的訪問權限應該是不盡相同的,他們都有各自的訪問權限。用戶權限的不合理設置,將會導致FTPN務器出現嚴重的安全隱患,需謹慎的對賬號與訪問目錄進行設置,避免權限不當引發的安全危機。
3.5啟用日志記錄,做到訪問有跡可尋
在本地安全設置窗口中,依次展開“安全設置一本地策略一審核策略”,然后在右側的框體中找到“審核賬戶登錄事件”項目,雙擊打開該項目,在設置對話框中選中“成功”和“失敗”這兩項,最后點擊“確定”按鈕。該策略生效后,FTP用戶的每次登錄都會被記錄到Serv-U的系統曰志中。FTP服務器日志記錄著所有用戶的訪問信息,如登錄賬號、登陸時間、退出時間、客戶機IP地址等,這些信息:FTP服務器的穩定運行具有重要的意義,一旦服務器出現問題,就可以查看FTP日志,找到故障所在,及時排除,做到訪問有跡可尋。
4 小結
FTP服務器的安全隱患不限于此,還有很多,應對策略既要從全局上規劃又要從細節上設計,必須要針對特殊的環境、具體的應用配合防火墻、IIS等安全手段共同配置才能使文件傳輸起到安全、便捷的目的。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:基于Serv-U的FTP服務器安全及防范