网管员安全训练营——让FTP服务器更安全
一 取消匿名访问功能
默认情况下,windows 2000系统的ftp服务器是允许匿名访问的,虽然匿名访问为用户上传、下载文件提供方便,但却存在极大的安全隐患。用户不需要申请合法的账号,就能访问你的ftp服务器,甚至还可以上传、下载文件,特别对于一些存储重要资料的ftp服务器,很容易出现泄密的情况,因此建议用户取消匿名访问功能。
在windows 2000系统中,点击“开始→程序→管理工具→internet服务管理器”,弹出管理控制台窗口。然后展开窗口左侧的本地计算机选项,就能看到iis5.0自带的ftp服务器,下面笔者以默认ftp站点为例,介绍如何取消匿名访问功能。
右键点击“默认ftp站点”项,在右键菜单中选择“属性”,接着弹出默认ftp站点属性对话框,切换到“安全账号”标签页,取消“允许匿名连接”前的勾选(如图1),最后点击“确定”按钮,这样用户就不能使用匿名账号访问ftp服务器了,必须拥有合法账号。
图1 禁止匿名访问
二 启用日志记录
windows日志记录着系统运行的一切信息,但很多管理员对日志记录功能不够重视,为了节省服务器资源,禁用了ftp服务器日志记录功能,这是万万要不得的。ftp服务器日志记录着所有用户的访问信息,如访问时间、客户机ip地址、使用的登录账号等,这些信息对于ftp服务器的稳定运行具有很重要的意义,一旦服务器出现问题,就可以查看ftp日志,找到故障所在,及时排除。因此一定要启用ftp日志记录。
在默认ftp站点属性对话框中,切换到“ftp站点”标签页,一定要确保“启用日志记录”选项被选中,这样就可以在“事件查看器”中查看ftp日志记录了。
三 正确设置用户访问权限
每个ftp用户账号都具有一定的访问权限,但对用户权限的不合理设置,也能导致ftp服务器出现安全隐患。如服务器中的cce文件夹,只允许cceuser账号对它有读、写、修改、列表的权限,禁止其他用户访问,但系统默认设置,还是允许其他用户对cce文件夹有读和列表的权限,因此必须重新设置该文件夹的用户访问权限。
右键点击cce文件夹,在弹出菜单中选择“属性”,然后切换到“安全”标签页,首先删除everyone用户账号,接着点击“添加”按钮,将cceuser账号添加到名称列表框中,然后在“权限”列表框中选中修改、读取及运行、列出文件夹目录、读取和写入选项,最后点击“确定”按钮。这样一来,cce文件夹只有cceuser用户才能访问。
四 启用磁盘配额
ftp服务器磁盘空间资源是宝贵的,无限制的让用户使用,势必造成巨大的浪费,因此要对每位ftp用户使用的磁盘空间进行限制。下面笔者以cceuser用户为例,将其限制为只能使用100m磁盘空间。
在资源管理器窗口中,右键点击cce文件夹所在的硬盘盘符,在弹出的菜单中选择“属性”,接着切换到“配额”标签页(如图2),选中“启用配额管理”复选框,激活“配额”标签页中的所有配额设置选项,为了不让某些ftp用户占用过多的服务器磁盘空间,一定要选中“拒绝将磁盘空间给超过配额限制的用户” 复选框。
图2 限制ftp存储空间
然后在“为该卷上的新用户选择默认配额限制”框中选择“将磁盘空间限制为”单选项,接着在后面的栏中输入100,磁盘容量单位选择为“mb”,然后进行警告等级设置,在“将警告等级设置为”栏中输入“96”, 容量单位也选择为“mb”,这样就完成了默认配额设置。此外,还要选中“用户超出配额限制时记录事件”和“用户超过警告等级时记录事件”复选框,以便将配额告警事件记录到windows日志中。
点击配额标签页下方的“配额项”按钮,打开磁盘配额项目对话框,接着点击“配额→新建配额项”,弹出选择用户对话框,选中cceuser用户后,点击“确定”按钮,接着在“添加新配额项”对话框中为cceuser用户设置配额参数,选择“将磁盘空间限制为” 单选项,在后面的栏中输入“100”,接着在“将警告等级设置为”栏中输入“96”,它们的磁盘容量单位为“mb”,最后点击“确定”按钮,完成磁盘配额设置,这样cceuser用户就只能使用100 mb磁盘空间,超过96mb就会发出警告。
五 tcp/ip访问限制
为了保证ftp服务器的安全,我们还可以拒绝某些ip地址的访问。在默认ftp站点属性对话框中,切换到“目录安全性”标签页,选中“授权访问”单选项(如图3),然后在“以下所列除外”框中点击“添加”按钮,弹出“拒绝以下访问”对话框,这里我们可以拒绝单个ip地址或一组ip地址访问,以单个ip地址为例,选中“单机”选项,然后在“ip地址”栏中输入该机器的ip地址,最后点击“确定”按钮。这样添加到列表中的ip地址都不能访问ftp服务器了。
图3 阻止该ip访问ftp
六 合理设置组策略
通过对组策略项目的修改,也可以增强ftp服务器的安全性。在windows 2000系统中,进入到“控制面板→管理工具”,运行本地安全策略工具。
1. 审核账户登录事件
在本地安全设置窗口中,依次展开“安全设置→本地策略→审核策略”,然后在右侧的框体中找到“审核账户登录事件”项目(如图4),双击打开该项目,在设置对话框中选中“成功”和“失败”这两项,最后点击“确定”按钮。该策略生效后,ftp用户的每次登录都会被记录到日志中。
图4 记录用户登录信息
2. 增强账号密码的复杂性
一些ftp账号的密码设置的过于简单,就有可能被“不法之徒”所破解。为了提高ftp服务器的安全性,必须强制用户设置复杂的账号密码。
在本地安全设置窗口中,依次展开“安全设置→账户策略→密码策略”,在右侧框体中找到“密码必须符合复杂性要求”项,双击打开后,选中“已启用”单选项,最后点击“确定”按钮。
然后,打开“密码长度最小值”项,为ftp账号密码设置最短字符限制。这样以来,密码的安全性就大大增强了。
3. 账号登录限制
有些非法用户使用黑客工具,反复登录ftp服务器,来猜测账号密码。这是非常危险的,因此建议大家对账号登录次数进行限制。
依次展开“安全设置→账户策略→账户锁定策略”,在右侧框体中找到“账户锁定阈值”项,双击打开后,设置账号登录的最大次数,如果超过此数值,账号会被自动锁定。接着打开“账户锁定时间”项,设置ftp账号被锁定的时间,账号一旦被锁定,超过这个时间值,才能重新使用。
通过以上几步设置后,我们的ftp服务器就会更加安全,再也不用怕被非法入侵了。
()
- · Windows Server 2003实用技巧七则
- · Windows下的EXE文件大揭密
- · 轻松提高Win 2003的运行速度
- · FreeBSD服务器的安装与优化
- · Win 2000无盘工作站的配置
- · 注册表的灵活备份和快速恢复
- · 找回被隐藏的“共享和安全”
- · Windows XP网络故障轻松查
- · 亲密接触Windows错误代码
- · 拒绝恶作剧 搞定机房的“奇怪”故障一箩筐
- · 提高安全管理的效率:浅谈网络监控软件部署
- · 手工删除传奇新木马的方法
- · 四招加强Windows 2003安全性
- · 巧用IE浏览器解决乱码
- · 防止非法修改IE浏览器标题栏
- · IE搜索走捷径
- · IE个性化高级技巧
- · 给IE6下载速度加油!
- · 给浏览器请个安全顾问
- · 最快速的网络浏览器K-Meleon 0.8
- · 酷软:腾讯新版TT浏览器抢鲜体验
- · 超星数字图书阅览器新版抢先预览
- · 如何让IE浏览器窗口始终保持最大化
- · 破解电脑中密码的常规方法
- · 网络安全:IIS攻击大全
- · 警惕木马 木马藏身处大揭秘
- · 常见黑客攻击手段的简单介绍
- · 警惕DoS的路由器攻击
- · 警惕网络盗号—下载GHO文件一定要格外小心
- · 以假乱真的计算机名 隐藏电脑的IP地址
- · 个都不能少:全面认识IE插件
- · 添加IE浏览器工具栏按钮妙招三则
- · IP地址任我改—切换网络配置我有绝招
- · 什么软件可以做网页?
- · 为何无法浏览网页却能用QQ聊天?
- · 添加IE工具栏按钮三法
- · 局域网保镖—功能强大的FPort命令
- · 主引导记录工作原理