如何保證文件傳輸服務(wù)器FTP的安全

目前FTP 服務(wù)器面臨的安全隱患主要包括：

新民網(wǎng)站制作公司哪家好，找創(chuàng)新互聯(lián)！從網(wǎng)頁設(shè)計、網(wǎng)站建設(shè)、微信開發(fā)、APP開發(fā)、響應(yīng)式網(wǎng)站設(shè)計等網(wǎng)站項目制作，到程序開發(fā)，運營維護。創(chuàng)新互聯(lián)成立于2013年到現(xiàn)在10年的時間，我們擁有了豐富的建站經(jīng)驗和運維經(jīng)驗，來保證我們的工作的順利進行。專注于網(wǎng)站建設(shè)就選創(chuàng)新互聯(lián)。

1. 被用戶跳轉(zhuǎn)到了上級非授權(quán)的目錄（如 /root）；

2. 客戶端指定文件的類型和格式，但只通過擴展名判斷。

3. 無法判斷文件是否為帶毒。

4. 文件傳輸不做校驗，無法保證文件的完整性

5. 多人同用一個用戶時，文件下載無法追查。

友予安全FTP，在標準哪逗前FTP、SFTP基礎(chǔ)上，增加安全如下：

1. 服務(wù)端目錄限定：只允許用戶訪問設(shè)定的目錄，如不能指啟訪問C:、/root、FTP服務(wù)軟件本身的目錄，當(dāng)管理端添加用戶指定的目錄超出了限定，用戶無法訪問該目錄。

2. 深度文件類型識別：服務(wù)端設(shè)定的可上傳的類型，用友予Ftp客戶端，在客戶端中就會深度識別文件類型、修改擴展名無效，標準Ftp上傳時，服務(wù)端做深度判斷。

3. 文件病毒查殺：服務(wù)端支持卡巴斯基、比特凡德、GDATA、NOD32殺毒軟件，每個上傳的文件都調(diào)用殺毒軟件命令查殺，返回查殺結(jié)果。友予Ftp客戶端可顯示錯誤原因，標準FTP刪除文件，創(chuàng)建同名文件加錯誤原因。

4. MD5校驗：友予Ftp客戶端上傳、下載的文件與服務(wù)端生成的MD5對比，同時對比文件的字節(jié)數(shù)，當(dāng)都相同時才認定文件傳輸成功。

5. 下載文件限定：限定用戶可下載文件的類型，如重要的設(shè)計圖、代碼、視頻都可限定，限定的文件用戶查看不到。

6. 下載文件備份：重要的資料外流，但不可查，通過平臺，下載的文件會自動備份到指定的目錄，并有用戶、IP、時間、文件等信息記錄到日志中，結(jié)合備李清份文件可查外傳人員。

FTP管理妙招三招提高FTP服務(wù)器安全性

FTP是一種文件傳輸協(xié)議。有時我們把他形象的叫做“文件交流集中地”。FTP文件服務(wù)器的主要用途就是提供文件存儲的空間，讓用戶可以上傳或者下載所需要的文件。在企業(yè)中，往往會給客戶提供一個特定的FTP空間，以方便跟可以進行一些大型文件的交流，如大到幾百兆的設(shè)計圖紙等等。同時，F(xiàn)TP還可以作為企業(yè)文件的備份服務(wù)器，如把數(shù)據(jù)庫等關(guān)鍵應(yīng)用在FTP服務(wù)器上實現(xiàn)異地備份等等。

可見，F(xiàn)TP服務(wù)器在企業(yè)中的應(yīng)用是非常廣泛的。真是因為其功能如此的強大，所以，很多黑客、病毒也開始“關(guān)注”他了。他們企圖通過FTP服務(wù)器為跳板，作為他們傳播木馬、病毒的源頭。同時，由于FTP服務(wù)器上存儲著企業(yè)不少有價值的內(nèi)容。在經(jīng)濟利益的誘惑下，F(xiàn)TP服務(wù)器也就成為了別人攻擊的對象。

所以，F(xiàn)TP服務(wù)器的安全性工作也逐漸顯得重要。筆者采用的FTP服務(wù)器是基于Linxu操作系統(tǒng)平臺上的Vsftpd軟件。筆者今天就以這個軟件為例，談?wù)勅绾稳粽誇TP服務(wù)器的安全設(shè)計。

一、誰可以訪問FTP服務(wù)器？

在考慮FTP服務(wù)器安全性工作的時候，第一步要考慮的就是誰可以訪問FTP服務(wù)器。在Vsftpd服務(wù)器軟件中，默認提供了三類用戶。不同的用戶對應(yīng)著不同的權(quán)限與操作方式。

一類是Real帳戶。這類用戶是指在FTP服務(wù)上擁有帳號。當(dāng)這類用戶登錄FTP服務(wù)器的時候，其默認的主目錄就是其帳號命名的目錄。但是，其還可以變更到其他目錄中去。如系統(tǒng)的主目錄等等。

第二類帳戶實Guest用戶。在FTP服務(wù)器中，我們往往會給不同的部門或者某個特定的用戶設(shè)置一個帳戶。但是，這個賬戶有個特點，就是其只能夠訪問自己的主目錄。服務(wù)器通過這種方式來保障FTP服務(wù)上其他文件的安全性。這類帳戶，在Vsftpd軟件中就叫做Guest用戶。擁有這類用戶的帳戶，只能夠訪問其主目錄下的目錄，而不得訪問主目錄以外的文件。

第三類帳戶是Anonymous（匿名）用戶，這也是我們通常所說的匿名訪問。這類用戶是指在FTP服務(wù)器中沒有指定帳戶，但是其仍然可以進行匿名訪問某些公開的資源。

在組建FTP服務(wù)器的時候，我們就需要根據(jù)用戶的類型，對用戶進行歸類。默認情況下，Vsftpd服務(wù)器會把建立的所有帳戶都歸屬為Real用戶。但是，這往往不符合企業(yè)安全的需要。因為這類用戶不僅可以訪問自己的主目錄，而且，還可以訪問其他用戶的目錄。這就給其他用戶所在的空間 帶來一定的安全隱患。所以，企業(yè)要根據(jù)實際情況，修改用戶雖在的類別。

修改方法：

第一步：修改/etc/Vsftpd/vsftpd.conf文件。

默認情況下，只啟用了Real與Anonymous兩類用戶。若我們需要啟用Guest類用戶的時候，就需要把這個選項啟用。修改/etc/Vsftpd/vsftpd.conf文件，把其中的“chroot_list_enable=YES”這項前面的注釋符號去掉。去掉之后，系統(tǒng)就會自動啟用Real類型的帳戶。

第二步：修改/etc/vsftpd.conf文件。

若要把某個FTP服務(wù)器的帳戶歸屬為Guest帳戶，則就需要在這個文件中添加用戶。通常情況下，F(xiàn)TP服務(wù)器上沒有這個文件，需要用戶手工的創(chuàng)建。利用VI命令創(chuàng)建這個文件之后，就可以把已經(jīng)建立的FTP帳晌饑戶加入到這個文件中。宴山返如此的話，某個帳戶就屬于Real類型的用戶了。他們登錄到FTP服務(wù)器后，只能夠訪問自己的主目錄，而不能夠更改主目錄。

第三步：重新啟動FTP服務(wù)器。

按照上述步驟配置完成唯跡后，需要重新啟動FTP服務(wù)器，其配置才能夠生效。我們可以重新啟動服務(wù)器，也可以直接利用Restart命令來重新啟動FTP服務(wù)。

在對用戶盡心分類的時候，筆者有幾個善意的提醒。

一是盡量采用Guest類型的用戶，而減少Real類行的用戶。一般我們在建立FTP帳戶的時候，用戶只需要訪問自己的主目錄下的文件即可。當(dāng)給某個用戶的權(quán)限過大時，會對其他用戶文件的安全產(chǎn)生威脅。

二是盡量不要采用匿名類型的帳戶。因為他們在沒有授權(quán)的情況下，就可以訪問FTP服務(wù)器。雖然其訪問的資源受到一定的限制，但是，仍然具有危險性。故在沒有特殊需要的情況下，把匿名類型帳戶禁用掉。

二、哪些帳號不可以訪問FTP服務(wù)器？

在以下幾種情況下，我們要禁止這些賬戶訪問FTP服務(wù)器，以提高服務(wù)器的安全。

一是某些系統(tǒng)帳戶。如ROOT帳戶。這個賬戶默認情況下是Linxu系統(tǒng)的管理員帳戶，其對系統(tǒng)具有的操作與管理權(quán)限。若允許用戶以這個賬戶為賬戶名進行登陸的話，則用戶不但可以訪問Linux系統(tǒng)的所有資源，而且，還好可以進行系統(tǒng)配置。這對于FTP服務(wù)器來說，顯然危害很大。所以，往往不允許用戶以這個Root等系統(tǒng)帳戶身份登陸到FTP服務(wù)器上來。

第二類是一些臨時賬戶。有時候我們出于臨時需要，為開一些臨時賬戶。如需要跟某個客戶進行圖紙上的交流，而圖紙本身又比較大時，F(xiàn)TP服務(wù)器就是一個很好的圖紙中轉(zhuǎn)工具。在這種情況下，就需要為客戶設(shè)立一個臨時賬戶。這些賬戶用完之后，一般就加入到了黑名單。等到下次需要再次用到的時候，再啟用他。

在vstftpd服務(wù)器中，要把某些用戶加入到黑名單，也非常的簡單。在Vsftpd軟件中，有一個/etc/vsftpd.user_lise配置文件。這個文件就是用來指定哪些賬戶不能夠登陸到這個服務(wù)器。我們利用vi命令查看這個文件，通常情況下，一些系統(tǒng)賬戶已經(jīng)加入到了這個黑名單中。FTP服務(wù)器管理員要及時的把一些臨時的或者不再使用的帳戶加入到這個黑名單中。從而才可以保證未經(jīng)授權(quán)的賬戶訪問FTP服務(wù)器。在配置后，往往不需要重新啟動FTP服務(wù)，配置就會生效。

不過，一般情況下，不會影響當(dāng)前會話。也就是說，管理員在管理FTP服務(wù)器的時候，發(fā)現(xiàn)有一個非法賬戶登陸到了FTP服務(wù)器。此時，管理員馬上把這個賬戶拉入黑名單。但是，因為這個賬戶已經(jīng)連接到FTP服務(wù)器上，所以，其當(dāng)前的會話不會受到影響。當(dāng)其退出當(dāng)前會話，下次再進行連接的時候，就不允許其登陸FTP服務(wù)器了。所以，若要及時的把該賬戶禁用掉的話，就需要在設(shè)置好黑名單后，手工的關(guān)掉當(dāng)前的會話。

對于一些以后不再需要使用的帳戶時，管理員不需要把他加入黑名單，而是直接刪除用戶為好。同時，在刪除用戶的時候，要記得把用戶對應(yīng)的主目錄也一并刪除。不然主目錄越來越多，會增加管理員管理的工作量。在黑名單中，只保留那些將來可能利用的賬戶或者不是用作FTP服務(wù)器登陸的賬戶。這不但可以減少服務(wù)器管理的工作量，而且，還可以提高FTP服務(wù)器的安全性。

三、匿名賬戶也可以上傳文件

在系統(tǒng)默認配置下，匿名類型的用戶只可以下載文件，而不能夠上傳文件。雖然這不是我們推薦的配置，但是，有時候出于一些特殊的需要，確實要開啟這個功能。如筆者以前在企業(yè)中，利用這個功能實現(xiàn)了對用戶終端文件進行備份的功能。為了設(shè)置的方便，就在FTP服務(wù)器上開啟了匿名訪問，并且允許匿名訪問賬戶網(wǎng)某個特定的文件夾中上傳某個文件。

若要讓匿名用戶上傳文件，則首先要建立一個目錄，并且把這個目錄指定為匿名用戶具有更新的權(quán)限。以后匿名用戶需要上傳文件的時候，只能夠王這個文件夾中傳。而不能夠像Real用戶那樣，網(wǎng)其他用戶的文件夾中上傳文件。

文件目錄設(shè)置好之后，再修改/etc/vsftpd/vsftpd.conf配置文件。把這個文件下的有關(guān)匿名賬戶的功能啟用。默認情況下，跟匿名賬戶相關(guān)的功能，如更新、增加目錄等功能都是被注釋掉的。管理員需要把這個注釋符號去掉，匿名賬戶才能夠網(wǎng)特定的賬戶中上傳文件。

筆者再次重申一遍，一般情況下，是不建議用戶開啟匿名賬戶的文件上傳功能。因為很難保證匿名賬戶上傳的文件中，不含有一些破壞性的程序，如病毒或者木馬等等。有時候，雖然開啟了這個功能，但是往往會在IP上進行限制。如只允許企業(yè)內(nèi)部IP可以進行匿名訪問并上傳文件，其他賬戶則不行。如此的話，可以防止外部用戶未經(jīng)授權(quán)匿名訪問企業(yè)的FTP服務(wù)器。若用戶具有合法的賬戶，就可以在外網(wǎng)中登陸到FTP服務(wù)器上。

總之，在FTP服務(wù)器安全管理上，主要關(guān)注三個方面的問題。一是未經(jīng)授權(quán)的用戶不能往FTP空間上上傳文件；二是用戶不得訪問未經(jīng)授權(quán)的目錄，以及對這些目錄的文件進行更改，包括刪除與上傳；三是FTP服務(wù)器本身的穩(wěn)定性。以上三個問題中的前兩部分內(nèi)容，都可以通過上面的三個方法有效的解決。相信管理員靈活采用如上的方法，可以在保障企業(yè)應(yīng)用的前期下，提高FTP服務(wù)器的安全性。

如何來提高FTP服務(wù)器的安全性？

從兩個方向去做:

一、禁止系統(tǒng)級別用戶來登錄FTP服務(wù)器。

為了提高FTP服務(wù)器的安全，系統(tǒng)管理員最好能夠為員工設(shè)置單獨的FTP帳號，而不要把系統(tǒng)級別的用戶給普通用戶來使用，這會帶來很大的安全隱患。在VSFTP服務(wù)器中，可以通過配置文件vsftpd.ftpusers來管理登陸帳戶。不過這個帳戶是一個黑名單，列入這個帳戶的人員將無法利用其帳戶來登錄FTP服務(wù)器。部署好VSFTP服務(wù)器后，我們可以利用vi命令來查看這個配置文件，發(fā)現(xiàn)其已經(jīng)有了許多默認的帳戶。其中，系統(tǒng)的超級用戶root也在其中?？梢姵鲇诎踩目紤]，VSFTP服務(wù)器默認情況下就是禁止root帳戶登陸FTP服務(wù)器的。如果系統(tǒng)管理員想讓root等系統(tǒng)帳戶登陸到FTP服務(wù)器，則知需要在這個配置文件中將root等相關(guān)的用戶名刪除即可。不過允許系統(tǒng)帳戶登錄FTP服務(wù)器，會對其安全造成負面的影響，為此我不建議系統(tǒng)管理員這么做。對于這個文件中相關(guān)的系統(tǒng)帳戶管理員最好一個都不要改，保留這些帳號的設(shè)置。

如果出于其他的原因，需要把另外一些帳戶也禁用掉，則可以把帳戶名字加入到這個文件中即可。如在服務(wù)器上可能同時部署了FTP服務(wù)器與數(shù)據(jù)庫服務(wù)器。那么為了安全起見，把數(shù)據(jù)庫管理員的帳戶列入到這個黑名單，是一個不錯的做法。

二、加強對匿名用戶的控制。

匿名用戶是指那些在FTP服務(wù)器中沒有定義相關(guān)的帳戶，而FTP系統(tǒng)管理員為了便于管理，仍然需要他們進行登陸。但纖判是他們畢竟沒有取得服務(wù)器的授權(quán)，為了提高服務(wù)器的安全性，必須要對他們的權(quán)限進行限制。在VSFTP服務(wù)器上也有很多參數(shù)可以用來控制匿名用戶的權(quán)限。系統(tǒng)管理員需要根據(jù)FTP服務(wù)器的安全級別，來做好相關(guān)的配置工作。需要說明的是，匿名用戶的權(quán)限控制的越嚴格，F(xiàn)TP服務(wù)器的安全性越高，但是同時用戶訪問的便利性也會降低。故最終系統(tǒng)管理員還是帶豎褲需要在服務(wù)器安全性與便利性上取得一個均衡。

下面是我推薦的幾個針對匿名用戶的配置，大家若不清楚該如何配置的話，可以參考這些配置。這些配置兼顧了服務(wù)器的安全與用戶的使用便利。

一是參數(shù)anon_world_readable_only。這個參數(shù)主要用來控制匿名用戶是否可以從FTP服務(wù)器上下載可閱讀的文件。如果FTP服務(wù)器部署在企業(yè)內(nèi)部，主要供企業(yè)內(nèi)部員工使用的話，則最好把這個參數(shù)設(shè)置為YES。然后把一些企業(yè)常用表格等等可以公開的文件放置在上面，讓員工在匿名的情況下也可以下載這些文件。這即不會影響到FTP服務(wù)器的安全，而且也有利于其他員工操作的便利性上。

二是參數(shù)anon_upload_enable。這個參數(shù)表示匿名用戶能否在匿名訪問的情況下向FTP服務(wù)器上傳文件。通常情況下，應(yīng)該把這個參數(shù)設(shè)置為No。即在匿名訪問時不允許用戶上傳文件。否則的話，隨便哪個人都可以上傳文件的話，那對方若上傳一個病毒文件，那企業(yè)不是要遭殃了。故應(yīng)該禁止匿名用戶上蠢簡傳文件。但是這也有例外。如有些企業(yè)通過FTP協(xié)議來備份文件。此時如果企業(yè)網(wǎng)絡(luò)的安全性有所保障的話，可以把這個參數(shù)設(shè)置為YES，即允許操作系統(tǒng)調(diào)用FTP命令往FTP服務(wù)器上備份文件。

謝謝，這是我的回答。

注重設(shè)置讓FTP服務(wù)器共享更安全

為了方便員鎮(zhèn)歲嫌工之間相互交流和傳輸信息，不少單位都利用Windows服務(wù)器系統(tǒng)自帶的FTP功能架設(shè)了FTP服務(wù)器，這樣一來員工就能把自己的信息上傳到FTP服務(wù)器中讓其他人下載使用了。不過，不同部門的員工共享使用同一臺FTP服務(wù)器，往往會存在部門信息被輕易外泄的危險；為了有效避免這種風(fēng)險，讓FTP服務(wù)器共享訪問更安全，我們可以從設(shè)置出發(fā)，來讓不同部門的員工訪問FTP服務(wù)器時只能看到本部門的信息，而不能看到其他部門的信息，這樣一來就能實現(xiàn)多部門、多用戶共享使用FTP服務(wù)器的目的了！

架設(shè)FTP服務(wù)器

假設(shè)某單位為了便于統(tǒng)一管理FTP服務(wù)器，希望能讓不同的部門共享使用相同的一臺FTP服務(wù)器，并希望不同部門用戶登錄進FTP服務(wù)器后，只能訪問到本部門上傳發(fā)布的信息，并且僅對這些信息進行讀取或修改，而不能看到其他部門的上傳信息。比方說，我們假設(shè)指定“D:\aaa”文件夾作為單位FTP服務(wù)器的主目錄，并在該目錄下創(chuàng)建兩個名稱分別為“bbb”與“ccc”的文件夾，現(xiàn)在我們要讓B部門的員工以“bbb”用戶帳號登錄FTP服務(wù)器時，只能訪問和讀取“bbb” 文件夾中的信息，而不能看到和訪問“ccc” 文件夾中的信息，那樣一來多部門共享一臺FTP服務(wù)器的安全性就能得到有效保證了。要實現(xiàn)上面的設(shè)置目的，我們不妨按照如下步驟進行設(shè)置：

首先以超級管理員身份登錄進FTP服務(wù)器所在的主機系統(tǒng)，并在該系統(tǒng)桌面中用鼠標逐一單擊“開始”、“設(shè)置”、“控制面板”命令，在其后彈出的窗口中用鼠標雙擊“管理工具”圖標，之后再雙擊“計算機管理”圖標，打開主機系統(tǒng)的計算機管理窗口；在該管理窗口的左側(cè)顯示區(qū)域，用鼠標依次展開“本地用戶和組”/“用戶”分支選項，打開計算機用戶管理窗口，在該窗口的右側(cè)空白區(qū)域單御手擊鼠標右鍵，從彈出的右鍵菜單中執(zhí)行“用戶”命令，來為B部門和C部門的員工分別創(chuàng)建好登錄FTP服務(wù)器的用戶帳號名稱“bbb”和“ccc”，同時為這兩個用戶帳號設(shè)置好合適的密碼信息。

接著打開服務(wù)器系統(tǒng)的資源管理器窗口，找到該主機D盤下雀芹面的“aaa”文件夾，然后用鼠標雙擊該文件夾圖標，在其后的文件夾窗口中用鼠標右擊空白區(qū)域，并依次執(zhí)行快捷菜單中的“新建”/“文件夾”命令，來在“aaa”文件夾下面分別創(chuàng)建好“bbb”與“ccc”文件夾，這兩個文件夾就作為B部門和C部門員工的信息上傳目錄。

下面返回到服務(wù)器系統(tǒng)桌面中，并依次單擊“開始”/“設(shè)置”/“控制面板”命令，在其后的窗口中用鼠標依次雙擊“管理工具”、“Internet服務(wù)管理器”圖標，打開Internet信息服務(wù)窗口，在該窗口的左側(cè)顯示區(qū)域，用鼠標右鍵單擊服務(wù)器主機名稱，從彈出的快捷菜單中依次執(zhí)行“新建”/“FTP站點”命令，然后在彈出的向?qū)Т翱谥幸勒仗崾荆ㄈ鐖D1所示）， 設(shè)置好FTP服務(wù)器的站點名稱、IP地址，以及指定好FTP站點所用的主目錄路徑，這樣就能順利完成FTP服務(wù)器站點的架設(shè)操作了。

小提示：當(dāng)我們在Internet信息服務(wù)窗口的左側(cè)顯示區(qū)域中無法找到“FTP站點”選項時，那表明當(dāng)前服務(wù)器系統(tǒng)還沒有安裝FTP文件傳輸協(xié)議功能，此時我們可以按照前面步驟打開系統(tǒng)的控制面板窗口，并在其中雙擊“添加/刪除程序”命令，然后選擇“添加/刪除Windows組件”項目，打開Windows組件安裝向?qū)Т翱?；選中該窗口列表中的“應(yīng)用程序服務(wù)器”選項，并單擊“詳細信息”按鈕，之后選中應(yīng)用程序服務(wù)器列表窗口中的“Internet信息服務(wù)（IIS）”子組件，再單擊一下“詳細信息”按鈕，打開如圖2所示的列表界面， 選中其中的“文件傳輸協(xié)議（FTP）服務(wù)”，最后單擊“確定”按鈕，那樣一來服務(wù)器系統(tǒng)的FTP文件傳輸協(xié)議功能就能被正確安裝成功了。

本文名稱：ftp服務(wù)器的安全設(shè)置 ftp服務(wù)器的配置與管理
網(wǎng)頁URL：http://jinyejixie.com/article28/ddpihcp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供全網(wǎng)營銷推廣、手機網(wǎng)站建設(shè)、App開發(fā)、定制開發(fā)、面包屑導(dǎo)航、網(wǎng)站內(nèi)鏈

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)