Windows 2000 的FTP 服务器作为IIS 5 的一部份,可以作为单独服务安装,管理十分灵活。利用服务器的其他的一些资源,管理员可以将他配置的更加安全。
在这里,我们将利用10种可行的方法来使windows 2000的ftp服务器更加安全。有 一些是相当简单的,而另外一些很有创造性。 此外,添加诸如VPNs 或SSH等服务,可以使密码在一个安全的通道中传输。
TIP # 1: 禁止匿名登陆
在windows 2000中,你最初安置的ftp服务默认是允许匿名登陆的。它是一种可以让没有用户帐户的人登陆你的ftp服务器的方法。
匿名登陆有可能很有效地为你的顾客服务,但有时候的允许匿名访问会导致您的站点被利用来传送非法文件和受著作权保护的材料。
取消匿名登陆,这样你的站点就只能由被预定义的用户帐号才能登陆。 配置被定义在FTP 主目录的ACLs [ 访问控制列表] 来进行访问控制,并使用NTFS 许可证。
图1: 取消站点的匿名访问,在ftp站点的属性中的“安全帐户”中清除“允许匿名访问”
TIP # 2: 设置访问日志
通过访问日志,您可以准确的得到 哪些IP 地址和用户访问了您的站点的一个准确纪录。定期维护日志能使您估计您的站点访问量和找出所有的安全威胁和漏洞。
图2: 使用访问日志,点击ftp 站点栏的“允许使用日志”。根据你所选择的格式就可创建日志,便于日后分析访问量和进行访问控制。
TIP # 3: 强化您的访问控制列表。
采用NTFS 访问许可,运用ACL[访问控制列表] 控制对您的FTP 目录的的访问。这应该被足够重视。 您的FTP 目录不应该让everyone组有充分的权限因为这将限制您控制user组访问你的ftp站点的能力。
图3: 您应该制约这个小组读,写,和列表[ 没有执行]的权限 但在盲人情况下投入配置(下面读) 您应该禁止读和列表的权限,并且只让其有写入的权限
TIP # 4: 设置你的站点为不可视
如果您只需要您的用户传送文件到您的服务器而不是从您的服务器下载文件,可以考虑配置您的站点为不可视 。 这意味着用户被允许从您的FTP 目录写入文件没有能力读取。 这样可以阻止未授权用户访问你的站点
要配置你的站点为不可视,应当在“站点”和“主目录”设置访问许可。
图4: 上图展示了怎么取消读出权限,可以 在站点属性的“主目录”里找到。
TIP # 5: 使用磁盘配额。
使用windows2000 来限制磁盘配额是一件很轻松的事情。磁盘配额可能有效地限制每个用户所使用的磁盘空间。授予用户对自己上传的文件的完全控制权。使用磁盘配额可以检查用户是否超出了使用空间,您能有效地限制你的站点被攻破所带来的破坏。 一个最坏的情况就是是文件被无限制的传送而撑爆你的站点。 这可能给磁盘上的其它独立于ftp站点的服务带来严重的后果。
并且,限制用户能拥有的磁盘空间,您的站点将不会成为那些寻找空间共享他们的媒体文件的黑客的目标。
[1] [2] [3] 下一页 |
|
10步打造安全的FTP服务器
网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)