如何搭建自己的FTP服務(wù)器_負(fù)載集群教程
一、操作系統(tǒng)的選擇
FTP服務(wù)器首先是基于操作系統(tǒng)而運(yùn)作的,因而操作系統(tǒng)本身的安全性就決定了FTP服務(wù)器安全性的級別。雖然Windows 98/Me一樣可以架設(shè)FTP服務(wù)器,但由于其本身的安全性就不強(qiáng),易受攻擊,因而最好不要采用。Windows NT就像雞肋,不用也罷。最好采用Windows 2000及以上版本,并記住及時(shí)打上補(bǔ)丁。至于Unix、Linux,則不在討論之列。
二、使用防火墻
端口是計(jì)算機(jī)和外部網(wǎng)絡(luò)相連的邏輯接口,也是計(jì)算機(jī)的第一道屏障,端口配置正確與否直接影響到主機(jī)的安全,一般來說,僅打開你需要使用的端口,將其他不需要使用的端口屏蔽掉會比較安全。限制端口的方法比較多,可以使用第三方的個(gè)人防火墻,這里只介紹Windows自帶的防火墻設(shè)置方法。
1.利用TCP/IP篩選功能
在Windows 2000和Windows XP中,系統(tǒng)都帶有TCP/IP篩選功能,利用它可以簡單地進(jìn)行端口設(shè)置。以Windows XP為例,打開“本地連接”的屬性,在“常規(guī)”選項(xiàng)中找到“Internet協(xié)議(TCP/IP)”,雙擊它打開該協(xié)議的屬性設(shè)置窗口。點(diǎn)擊右下方的“高級”按鈕,進(jìn)入“高級TCP/IP設(shè)置”。在“選項(xiàng)”中選中“TCP/IP篩選”并雙擊進(jìn)入其屬性設(shè)置。這里我們可以設(shè)置系統(tǒng)只允許開放的端口,假如架設(shè)的FTP服務(wù)器端口為21,先選中“啟用TCP/IP篩選(所有適配器)”,再在TCP端口選項(xiàng)中選擇“只允許”,點(diǎn)“添加”,輸入端口號21,確定即可。這樣,系統(tǒng)就只允許打開21端口。要開放其他端口,繼續(xù)添加即可。這可以有效防止最常見的139端口入侵。缺點(diǎn)是功能過于簡單,只能設(shè)置允許開放的端口,不能自定義要關(guān)閉的端口。如果你有大量端口要開放,就得一個(gè)個(gè)地去手工添加,比較麻煩。
2.打開Internet連接防火墻
對于Windows XP系統(tǒng),自帶了“Internet連接防火墻”功能,與TCP/IP篩選功能相比,設(shè)置更方便,功能更強(qiáng)大。除了自帶防火墻端口開放規(guī)則外,還可以自行增刪。在控制面板中打開“網(wǎng)絡(luò)連接”,右擊撥號連接,進(jìn)入“高級”選項(xiàng)卡,選中“通過限制或阻止來自Internet的對此計(jì)算機(jī)的訪問來保護(hù)我的計(jì)算機(jī)和網(wǎng)絡(luò)”,啟用它。系統(tǒng)默認(rèn)狀態(tài)下是關(guān)閉了FTP端口的,因而還要設(shè)置防火墻,打開所使用的FTP端口。點(diǎn)擊右下角的“設(shè)置”按鈕進(jìn)入“高級設(shè)置”,選中“FTP服務(wù)器”,編輯它。由于FTP服務(wù)默認(rèn)端口是21,因而除了IP地址一欄外,其余均不可更改。在IP地址一欄中填入服務(wù)器公網(wǎng)ip,確定后退出即可即時(shí)生效。如果架設(shè)的FTP服務(wù)器端口為其他端口,比如22,則可以在“服務(wù)”選項(xiàng)卡下方點(diǎn)“添加”,輸入服務(wù)器名稱和公網(wǎng)IP后,將外部端口號和內(nèi)部端口號均填入22即可。
三、對IIS、Serv-u等服務(wù)器軟件進(jìn)行設(shè)置
除了依靠系統(tǒng)提供的安全措施外,就需要利用FTP服務(wù)器端軟件本身的設(shè)置來提高整個(gè)服務(wù)器的安全了。
1.IIS的安全性設(shè)置
1)及時(shí)安裝新補(bǔ)丁
對于IIS的安全性漏洞,可以說是“有口皆碑”了,平均每兩三個(gè)月就要出一兩個(gè)漏洞。所幸的是,微軟會根據(jù)新發(fā)現(xiàn)的漏洞提供相應(yīng)的補(bǔ)丁,這就需要你不斷更新,安裝最新補(bǔ)丁。
2)將安裝目錄設(shè)置到非系統(tǒng)盤,關(guān)閉不需要的服務(wù)
一些惡意用戶可以通過IIS的溢出漏洞獲得對系統(tǒng)的訪問權(quán)。把IIS安放在系統(tǒng)分區(qū)上,會使系統(tǒng)文件與IIS同樣面臨非法訪問,容易使非法用戶侵入系統(tǒng)分區(qū)。另外,由于IIS是一個(gè)綜合性服務(wù)組件,每開設(shè)一個(gè)服務(wù)都將會降低整個(gè)服務(wù)的安全性,因而,對不需要的服務(wù)盡量不要安裝或啟動。
3)只允許匿名連接
FTP最大的安全漏洞在于其默認(rèn)傳輸密碼的過程是明文傳送,很容易被人嗅探到。而IIS又是基于Windows用戶賬戶進(jìn)行管理的,因而很容易泄漏系統(tǒng)賬戶名及密碼,如果該賬戶擁有一定管理權(quán)限,則更會影響到整個(gè)系統(tǒng)的安全。設(shè)置為“只允許匿名連接”,可以免卻傳輸過程中泄密的危險(xiǎn)。進(jìn)入“默認(rèn)FTP站點(diǎn)”,在屬性的“安全賬戶”選項(xiàng)卡中,將此選項(xiàng)選中。
4)謹(jǐn)慎設(shè)置主目錄及其權(quán)限
IIS可以將FTP站點(diǎn)主目錄設(shè)為局域網(wǎng)中另一臺計(jì)算機(jī)的共享目錄,但在局域網(wǎng)中,共享目錄很容易招致其他計(jì)算機(jī)感染的病毒攻擊,嚴(yán)重時(shí)甚至?xí)斐烧麄(gè)局域網(wǎng)癱瘓,不到萬不得已,最好使用本地目錄并將主目錄設(shè)為NTFS格式的非系統(tǒng)分區(qū)中。這樣,在對目錄的權(quán)限設(shè)置時(shí),可以對每個(gè)目錄按不同組或用戶來設(shè)置相應(yīng)的權(quán)限。右擊要設(shè)置的目錄,進(jìn)入“共享和安全→安全”中設(shè)置,如非必要,不要授予“寫入”權(quán)限。
5)盡量不要使用默認(rèn)端口號21
啟用日志記錄,以備出現(xiàn)異常情況時(shí)查詢原因。
2.Serv-u的安全性設(shè)置
與IIS的FTP服務(wù)相比,Serv-u在安全性方面做得比較好。
1)對“本地服務(wù)器”進(jìn)行設(shè)置
首先,選中“攔截FTP_bounce攻擊和XP”。通常,當(dāng)使用FTP協(xié)議進(jìn)行文件傳輸時(shí),客戶端首先向FTP服務(wù)器發(fā)出一個(gè)“PORT”命令,該命令中包含此用戶的IP地址和將被用來進(jìn)行數(shù)據(jù)傳輸?shù)亩丝谔枺⻊?wù)器收到后,利用命令所提供的用戶地址信息建立與用戶的連接。大多數(shù)情況下,上述過程不會出現(xiàn)任何問題,但當(dāng)客戶端是一名惡意用戶時(shí),可能會通過在PORT命令中加入特定的地址信息,使FTP服務(wù)器與其它非客戶端的機(jī)器建立連接。雖然這名惡意用戶可能本身無權(quán)直接訪問某一特定機(jī)器,但是如果FTP服務(wù)器有權(quán)訪問該機(jī)器的話,那么惡意用戶就可以通過FTP服務(wù)器作為中介,仍然能夠最終實(shí)現(xiàn)與目標(biāo)服務(wù)器的連接。這就是FXP,也稱跨服務(wù)器攻擊。選中后就可以防止發(fā)生此種情況。
其次,在“高級”選項(xiàng)卡中,檢查“加密密碼”和“啟用安全”是否被選中,如果沒有,選擇它們。“加密密碼”使用單向Hash函數(shù)(MD5)加密用戶口令,加密后的口令保存在ServUDaemon。ini或是注冊表中。如果不選擇此項(xiàng),用戶口令將以明文形式保存在文件中:“啟用安全”將啟動Serv-u服務(wù)器的安全成功。
2)對域中的服務(wù)器進(jìn)行設(shè)置
前面說過,F(xiàn)TP默認(rèn)為明文傳送密碼,容易被人嗅探,對于只擁有一般權(quán)限的賬戶,危險(xiǎn)并不大,但如果該賬戶擁有遠(yuǎn)程管理尤其是系統(tǒng)管理員權(quán)限,則整個(gè)服務(wù)器都會被別人遠(yuǎn)程控制。Serv-u對每個(gè)賬戶的密碼都提供了以下三種安全類型:規(guī)則密碼、OTP S/KEY MD4和OTP S/KEY MD5。不同的類型對傳輸?shù)募用芊绞揭膊煌砸?guī)則密碼安全性最低。進(jìn)入擁有一定管理權(quán)限的賬戶的設(shè)置中,在“常規(guī)”選項(xiàng)卡的下方找到“密碼類型”下拉列表框,選中第二或第三種類型,保存即可。注意,當(dāng)用戶憑此賬戶登錄服務(wù)器時(shí),需要FTP客戶端軟件支持此密碼類型,如CuteFTP Pro等,輸入密碼時(shí)選擇相應(yīng)的密碼類型方可通過服務(wù)器驗(yàn)證。
與IIS一樣,還要謹(jǐn)慎設(shè)置主目錄及其權(quán)限,凡是沒必要賦予寫入等能修改服務(wù)器文件或目錄權(quán)限的,盡量不要賦予。最后,進(jìn)入“設(shè)置”,在“日志”選項(xiàng)卡中將“啟用記錄到文件”選中,并設(shè)置好日志文件名及保存路徑、記錄參數(shù)等,以方便隨時(shí)查詢服務(wù)器異常原因。
FTP服務(wù)器首先是基于操作系統(tǒng)而運(yùn)作的,因而操作系統(tǒng)本身的安全性就決定了FTP服務(wù)器安全性的級別。雖然Windows 98/Me一樣可以架設(shè)FTP服務(wù)器,但由于其本身的安全性就不強(qiáng),易受攻擊,因而最好不要采用。Windows NT就像雞肋,不用也罷。最好采用Windows 2000及以上版本,并記住及時(shí)打上補(bǔ)丁。至于Unix、Linux,則不在討論之列。
二、使用防火墻
端口是計(jì)算機(jī)和外部網(wǎng)絡(luò)相連的邏輯接口,也是計(jì)算機(jī)的第一道屏障,端口配置正確與否直接影響到主機(jī)的安全,一般來說,僅打開你需要使用的端口,將其他不需要使用的端口屏蔽掉會比較安全。限制端口的方法比較多,可以使用第三方的個(gè)人防火墻,這里只介紹Windows自帶的防火墻設(shè)置方法。
1.利用TCP/IP篩選功能
在Windows 2000和Windows XP中,系統(tǒng)都帶有TCP/IP篩選功能,利用它可以簡單地進(jìn)行端口設(shè)置。以Windows XP為例,打開“本地連接”的屬性,在“常規(guī)”選項(xiàng)中找到“Internet協(xié)議(TCP/IP)”,雙擊它打開該協(xié)議的屬性設(shè)置窗口。點(diǎn)擊右下方的“高級”按鈕,進(jìn)入“高級TCP/IP設(shè)置”。在“選項(xiàng)”中選中“TCP/IP篩選”并雙擊進(jìn)入其屬性設(shè)置。這里我們可以設(shè)置系統(tǒng)只允許開放的端口,假如架設(shè)的FTP服務(wù)器端口為21,先選中“啟用TCP/IP篩選(所有適配器)”,再在TCP端口選項(xiàng)中選擇“只允許”,點(diǎn)“添加”,輸入端口號21,確定即可。這樣,系統(tǒng)就只允許打開21端口。要開放其他端口,繼續(xù)添加即可。這可以有效防止最常見的139端口入侵。缺點(diǎn)是功能過于簡單,只能設(shè)置允許開放的端口,不能自定義要關(guān)閉的端口。如果你有大量端口要開放,就得一個(gè)個(gè)地去手工添加,比較麻煩。
2.打開Internet連接防火墻
對于Windows XP系統(tǒng),自帶了“Internet連接防火墻”功能,與TCP/IP篩選功能相比,設(shè)置更方便,功能更強(qiáng)大。除了自帶防火墻端口開放規(guī)則外,還可以自行增刪。在控制面板中打開“網(wǎng)絡(luò)連接”,右擊撥號連接,進(jìn)入“高級”選項(xiàng)卡,選中“通過限制或阻止來自Internet的對此計(jì)算機(jī)的訪問來保護(hù)我的計(jì)算機(jī)和網(wǎng)絡(luò)”,啟用它。系統(tǒng)默認(rèn)狀態(tài)下是關(guān)閉了FTP端口的,因而還要設(shè)置防火墻,打開所使用的FTP端口。點(diǎn)擊右下角的“設(shè)置”按鈕進(jìn)入“高級設(shè)置”,選中“FTP服務(wù)器”,編輯它。由于FTP服務(wù)默認(rèn)端口是21,因而除了IP地址一欄外,其余均不可更改。在IP地址一欄中填入服務(wù)器公網(wǎng)ip,確定后退出即可即時(shí)生效。如果架設(shè)的FTP服務(wù)器端口為其他端口,比如22,則可以在“服務(wù)”選項(xiàng)卡下方點(diǎn)“添加”,輸入服務(wù)器名稱和公網(wǎng)IP后,將外部端口號和內(nèi)部端口號均填入22即可。
三、對IIS、Serv-u等服務(wù)器軟件進(jìn)行設(shè)置
除了依靠系統(tǒng)提供的安全措施外,就需要利用FTP服務(wù)器端軟件本身的設(shè)置來提高整個(gè)服務(wù)器的安全了。
1.IIS的安全性設(shè)置
1)及時(shí)安裝新補(bǔ)丁
對于IIS的安全性漏洞,可以說是“有口皆碑”了,平均每兩三個(gè)月就要出一兩個(gè)漏洞。所幸的是,微軟會根據(jù)新發(fā)現(xiàn)的漏洞提供相應(yīng)的補(bǔ)丁,這就需要你不斷更新,安裝最新補(bǔ)丁。
2)將安裝目錄設(shè)置到非系統(tǒng)盤,關(guān)閉不需要的服務(wù)
一些惡意用戶可以通過IIS的溢出漏洞獲得對系統(tǒng)的訪問權(quán)。把IIS安放在系統(tǒng)分區(qū)上,會使系統(tǒng)文件與IIS同樣面臨非法訪問,容易使非法用戶侵入系統(tǒng)分區(qū)。另外,由于IIS是一個(gè)綜合性服務(wù)組件,每開設(shè)一個(gè)服務(wù)都將會降低整個(gè)服務(wù)的安全性,因而,對不需要的服務(wù)盡量不要安裝或啟動。
3)只允許匿名連接
FTP最大的安全漏洞在于其默認(rèn)傳輸密碼的過程是明文傳送,很容易被人嗅探到。而IIS又是基于Windows用戶賬戶進(jìn)行管理的,因而很容易泄漏系統(tǒng)賬戶名及密碼,如果該賬戶擁有一定管理權(quán)限,則更會影響到整個(gè)系統(tǒng)的安全。設(shè)置為“只允許匿名連接”,可以免卻傳輸過程中泄密的危險(xiǎn)。進(jìn)入“默認(rèn)FTP站點(diǎn)”,在屬性的“安全賬戶”選項(xiàng)卡中,將此選項(xiàng)選中。
4)謹(jǐn)慎設(shè)置主目錄及其權(quán)限
IIS可以將FTP站點(diǎn)主目錄設(shè)為局域網(wǎng)中另一臺計(jì)算機(jī)的共享目錄,但在局域網(wǎng)中,共享目錄很容易招致其他計(jì)算機(jī)感染的病毒攻擊,嚴(yán)重時(shí)甚至?xí)斐烧麄(gè)局域網(wǎng)癱瘓,不到萬不得已,最好使用本地目錄并將主目錄設(shè)為NTFS格式的非系統(tǒng)分區(qū)中。這樣,在對目錄的權(quán)限設(shè)置時(shí),可以對每個(gè)目錄按不同組或用戶來設(shè)置相應(yīng)的權(quán)限。右擊要設(shè)置的目錄,進(jìn)入“共享和安全→安全”中設(shè)置,如非必要,不要授予“寫入”權(quán)限。
5)盡量不要使用默認(rèn)端口號21
啟用日志記錄,以備出現(xiàn)異常情況時(shí)查詢原因。
2.Serv-u的安全性設(shè)置
與IIS的FTP服務(wù)相比,Serv-u在安全性方面做得比較好。
1)對“本地服務(wù)器”進(jìn)行設(shè)置
首先,選中“攔截FTP_bounce攻擊和XP”。通常,當(dāng)使用FTP協(xié)議進(jìn)行文件傳輸時(shí),客戶端首先向FTP服務(wù)器發(fā)出一個(gè)“PORT”命令,該命令中包含此用戶的IP地址和將被用來進(jìn)行數(shù)據(jù)傳輸?shù)亩丝谔枺⻊?wù)器收到后,利用命令所提供的用戶地址信息建立與用戶的連接。大多數(shù)情況下,上述過程不會出現(xiàn)任何問題,但當(dāng)客戶端是一名惡意用戶時(shí),可能會通過在PORT命令中加入特定的地址信息,使FTP服務(wù)器與其它非客戶端的機(jī)器建立連接。雖然這名惡意用戶可能本身無權(quán)直接訪問某一特定機(jī)器,但是如果FTP服務(wù)器有權(quán)訪問該機(jī)器的話,那么惡意用戶就可以通過FTP服務(wù)器作為中介,仍然能夠最終實(shí)現(xiàn)與目標(biāo)服務(wù)器的連接。這就是FXP,也稱跨服務(wù)器攻擊。選中后就可以防止發(fā)生此種情況。
其次,在“高級”選項(xiàng)卡中,檢查“加密密碼”和“啟用安全”是否被選中,如果沒有,選擇它們。“加密密碼”使用單向Hash函數(shù)(MD5)加密用戶口令,加密后的口令保存在ServUDaemon。ini或是注冊表中。如果不選擇此項(xiàng),用戶口令將以明文形式保存在文件中:“啟用安全”將啟動Serv-u服務(wù)器的安全成功。
2)對域中的服務(wù)器進(jìn)行設(shè)置
前面說過,F(xiàn)TP默認(rèn)為明文傳送密碼,容易被人嗅探,對于只擁有一般權(quán)限的賬戶,危險(xiǎn)并不大,但如果該賬戶擁有遠(yuǎn)程管理尤其是系統(tǒng)管理員權(quán)限,則整個(gè)服務(wù)器都會被別人遠(yuǎn)程控制。Serv-u對每個(gè)賬戶的密碼都提供了以下三種安全類型:規(guī)則密碼、OTP S/KEY MD4和OTP S/KEY MD5。不同的類型對傳輸?shù)募用芊绞揭膊煌砸?guī)則密碼安全性最低。進(jìn)入擁有一定管理權(quán)限的賬戶的設(shè)置中,在“常規(guī)”選項(xiàng)卡的下方找到“密碼類型”下拉列表框,選中第二或第三種類型,保存即可。注意,當(dāng)用戶憑此賬戶登錄服務(wù)器時(shí),需要FTP客戶端軟件支持此密碼類型,如CuteFTP Pro等,輸入密碼時(shí)選擇相應(yīng)的密碼類型方可通過服務(wù)器驗(yàn)證。
與IIS一樣,還要謹(jǐn)慎設(shè)置主目錄及其權(quán)限,凡是沒必要賦予寫入等能修改服務(wù)器文件或目錄權(quán)限的,盡量不要賦予。最后,進(jìn)入“設(shè)置”,在“日志”選項(xiàng)卡中將“啟用記錄到文件”選中,并設(shè)置好日志文件名及保存路徑、記錄參數(shù)等,以方便隨時(shí)查詢服務(wù)器異常原因。
相關(guān)負(fù)載集群教程:
- 介紹服務(wù)器安全熱點(diǎn)12項(xiàng)技術(shù)
- Web網(wǎng)關(guān)的安全和性能
- 避免危害DNS服務(wù)器安全部署的七宗罪
- web中緩存的使用方法
- 服務(wù)器管理最容易犯的十大錯誤
- 自定義FTP 體驗(yàn)極速的下載快感
- RAID0、RAID1、RAID5磁盤陣列的區(qū)別
- 圖文詳解服務(wù)器返回的各狀態(tài)碼
- 利用OpenIPMI監(jiān)控服務(wù)器溫度
- DNS高級服務(wù)器選項(xiàng)
- apache防盜鏈的兩種實(shí)現(xiàn)方法
- 在多臺服務(wù)器上簡單實(shí)現(xiàn)Redis的數(shù)據(jù)主從復(fù)制
- 相關(guān)鏈接:
- 教程說明:
負(fù)載集群教程-如何搭建自己的FTP服務(wù)器
。