網管員安全訓練營--讓FTP服務器更安全
Windows 2000系統的IIS5.0提供了FTP服務功能,由於它的簡單易用,與Windows系統本身結合緊密,深受廣大用戶的喜愛。但使用IIS5.0架設的FTP服務器真的安全嗎?它的默認設置其實存在很多安全隱患,很容易成為黑客們的攻擊目標。如何讓FTP服務器更加安全,只要我們稍加改造,就能做到。一 取消匿名訪問功能
默認情況下,Windows 2000系統的FTP服務器是允許匿名訪問的,雖然匿名訪問為用戶上傳、下載文件提供方便,但卻存在極大的安全隱患。用戶不需要申請合法的賬號,就能訪問你的FTP服務器,甚至還可以上傳、下載文件,特別對於一些存儲重要資料的FTP服務器,很容易出現洩密的情況,因此建議用戶取消匿名訪問功能。
在Windows 2000系統中,點擊「開始→程序→管理工具→Internet服務管理器」,彈出管理控制台窗口。然後展開窗口左側的本地計算機選項,就能看到IIS5.0自帶的FTP服務器,下面筆者以默認FTP站點為例,介紹如何取消匿名訪問功能。
右鍵點擊「默認FTP站點」項,在右鍵菜單中選擇「屬性」,接著彈出默認FTP站點屬性對話框,切換到「安全賬號」標籤頁,取消「允許匿名連接」前的勾選,最後點擊「確定」按鈕,這樣用戶就不能使用匿名賬號訪問FTP服務器了,必須擁有合法賬號。
二 啟用日誌記錄
Windows日誌記錄著系統運行的一切信息,但很多管理員對日誌記錄功能不夠重視,為了節省服務器資源,禁用了FTP服務器日誌記錄功能,這是萬萬要不得的。FTP服務器日誌記錄著所有用戶的訪問信息,如訪問時間、客戶機IP地址、使用的登錄賬號等,這些信息對於FTP服務器的穩定運行具有很重要的意義,一旦服務器出現問題,就可以查看FTP日誌,找到故障所在,及時排除。因此一定要啟用FTP日誌記錄。
在默認FTP站點屬性對話框中,切換到「FTP站點」標籤頁,一定要確保「啟用日誌記錄」選項被選中,這樣就可以在「事件查看器」中查看FTP日誌記錄了。
三 正確設置用戶訪問權限
每個FTP用戶賬號都具有一定的訪問權限,但對用戶權限的不合理設置,也能導致FTP服務器出現安全隱患。如服務器中的CCE文件夾,只允許 CCEUSER賬號對它有讀、寫、修改、列表的權限,禁止其他用戶訪問,但系統默認設置,還是允許其他用戶對CCE文件夾有讀和列表的權限,因此必須重新設置該文件夾的用戶訪問權限。
右鍵點擊CCE文件夾,在彈出菜單中選擇「屬性」,然後切換到「安全」標籤頁,首先刪除Everyone用戶賬號,接著點擊「添加」按鈕,將 CCEUSER賬號添加到名稱列表框中,然後在「權限」列表框中選中修改、讀取及運行、列出文件夾目錄、讀取和寫入選項,最後點擊「確定」按鈕。這樣一來,CCE文件夾只有CCEUSER用戶才能訪問。
四 啟用磁盤配額
FTP服務器磁盤空間資源是寶貴的,無限制的讓用戶使用,勢必造成巨大的浪費,因此要對每位FTP用戶使用的磁盤空間進行限制。下面筆者以CCEUSER用戶為例,將其限製為只能使用100M磁盤空間。
在資源管理器窗口中,右鍵點擊CCE文件夾所在的硬盤盤符,在彈出的菜單中選擇「屬性」,接著切換到「配額」標籤頁(如圖2),選中「啟用配額管理」複選框,激活「配額」標籤頁中的所有配額設置選項,為了不讓某些FTP用戶佔用過多的服務器磁盤空間,一定要選中「拒絕將磁盤空間給超過配額限制的用戶」 複選框。
頁:
[1]