网管员安全训练营,第1张

Windows 2000系统的IIS5.0提供了FTP服务功能。由于其简单易用,与Windows系统本身紧密结合,深受用户喜爱。但是用IIS5.0设置的FTP服务器真的安全吗?它的默认设置其实有很多安全隐患,很容易被黑客盯上。如何让FTP服务器更安全,只要我们稍加修改,就可以做到。

取消匿名访问功能

默认情况下,Windows 2000系统的FTP服务器允许匿名访问。匿名访问虽然为用户上传和下载文件提供了便利,但存在很大的安全隐患。用户不需要申请合法账号就可以访问你的FTP服务器,甚至可以上传下载文件。特别是一些存储重要信息的FTP服务器,很容易泄露,建议用户取消匿名访问功能。

在Windows 2000系统中,单击开始→程序→管理工具→Internet服务管理器,会弹出管理控制台窗口。然后展开窗口左侧的本地计算机选项,可以看到IIS5.0自带的FTP服务器,这里作者以默认FTP站点为例介绍如何取消匿名访问功能。

右键“默认FTP站点”,在右键菜单中选择“属性”,会弹出默认FTP站点属性对话框,切换到“安全账号”的标签页,取消选中“允许匿名连接”前的框(如图1),最后点击“确定”按钮,这样用户就不能用匿名账号访问FTP服务器,必须有合法账号。


图1 禁止匿名访问
图1禁止匿名访问

2.启用日志记录

Windows日志记录了系统运行的所有信息,但许多管理员对日志功能不够重视。为了节省服务器资源,他们禁用了FTP服务器的日志功能,这是绝对不能接受的。FTP服务器日志记录了所有用户的访问信息,如访问时间、客户端IP地址、登录账号等。,这对FTP服务器的稳定运行具有重要意义。一旦服务器出现问题,可以查看FTP日志,找到故障,及时排除。因此,必须启用FTP日志记录。

在默认的FTP站点属性对话框中,切换到“FTP站点”选项卡,并确保选择了“启用日志记录”选项,以便您可以在事件查看器中查看FTP日志记录。

第三,正确设置用户访问权限。

每个FTP用户账号都有一定的访问权限,但是用户权限设置的不合理也会导致FTP服务器的安全隐患。比如服务器中的CCE文件夹,只允许CCEUSER账号对其进行读写、修改、列表等操作,禁止其他用户访问。但是,系统默认设置仍然允许其他用户读取和列出CCE文件夹,因此必须重置该文件夹的用户访问权限。

右键单击CCE文件夹,在弹出菜单中选择属性,然后切换到安全选项卡。首先删除Everyone用户账号,然后点击添加将CCEUSER账号添加到名称列表框中,然后在权限列表框中选择修改、读取和运行、列出文件夹目录、读取和写入选项,最后点击确定。这样,CCE文件夹只能由CCEUSER用户访问。

2.启用日志记录

Windows日志记录了系统运行的所有信息,但许多管理员对日志功能不够重视。为了节省服务器资源,他们禁用了FTP服务器的日志功能,这是绝对不能接受的。FTP服务器日志记录了所有用户的访问信息,如访问时间、客户端IP地址、登录账号等。,这对FTP服务器的稳定运行具有重要意义。一旦服务器出现问题,可以查看FTP日志,找到故障,及时排除。因此,必须启用FTP日志记录。

在默认的FTP站点属性对话框中,切换到“FTP站点”选项卡,并确保选择了“启用日志记录”选项,以便您可以在事件查看器中查看FTP日志记录。

第三,正确设置用户访问权限。

每个FTP用户账号都有一定的访问权限,但是用户权限设置的不合理也会导致FTP服务器的安全隐患。比如服务器中的CCE文件夹,只允许CCEUSER账号对其进行读写、修改、列表等操作,禁止其他用户访问。但是,系统默认设置仍然允许其他用户读取和列出CCE文件夹,因此必须重置该文件夹的用户访问权限。

右键单击CCE文件夹,在弹出菜单中选择属性,然后切换到安全选项卡。首先删除Everyone用户账号,然后点击添加将CCEUSER账号添加到名称列表框中,然后在权限列表框中选择修改、读取和运行、列出文件夹目录、读取和写入选项,最后点击确定。这样,CCE文件夹只能由CCEUSER用户访问。
四。启用磁盘配额

FTP磁盘空之间的资源是宝贵的,用户无限制的使用必然会造成巨大的浪费,所以需要对每个FTP用户使用的磁盘空进行限制。笔者以CCEUSER为例,限定为100M磁盘空。

  在资源管理器窗口中,右键点击CCE文件夹所在的硬盘盘符,在弹出的菜单中选择“属性”,接着切换到“配额”标签页(如图2),选中“启用配额管理”复选框,激活“配额”标签页中的所有配额设置选项,为了不让某些FTP用户占用过多的服务器磁盘空间,一定要选中“拒绝将磁盘空间给超过配额限制的用户” 复选框

  然后在“为该卷上的新用户选择默认配额限制”框中选择“将磁盘空间限制为”单选项,接着在后面的栏中输入100,磁盘容量单位选择为“MB”,然后进行警告等级设置,在“将警告等级设置为”栏中输入“96”, 容量单位也选择为“MB”,这样就完成了默认配额设置。此外,还要选中“用户超出配额限制时记录事件”和“用户超过警告等级时记录事件”复选框,以便将配额告警事件记录到Windows日志中。在资源管理器窗口中,右键单击CCE文件夹所在的硬盘盘符,在弹出菜单中选择属性,然后切换到配额选项卡(如图2所示),选中启用配额管理复选框,激活配额选项卡中的所有配额设置选项。为了防止某些FTP用户占用过多的服务器磁盘空,请务必选中“拒绝磁盘空给超过配额限制的用户”复选框
,然后在“为该卷上的新用户选择默认配额限制”框中选择“限制磁盘空为”单选选项,然后在下一列中输入100,磁盘容量单位被选择为另外, 选中“用户超过配额限制时记录事件”和“用户超过警告级别时记录事件”复选框,在Windows日志中记录配额警报事件。

点击配额选项卡底部的配额项目按钮,打开磁盘配额项目对话框,然后点击配额→新建配额项目,打开选择用户对话框。选择CCEUSER后,点击确定,然后在新增配额项对话框中为CCEUSER设置配额参数,选择“将磁盘空限制为”选项。然后,在“将警告级别设置为”一栏中输入“96”,它们的磁盘容量单位为“MB”。最后点击“确定”按钮完成磁盘配额设置,这样CCEUSER用户只能使用100 MB磁盘空,磁盘容量超过96MB会发出警告。

TCP/IP访问限制

为了保证FTP服务器的安全,我们还可以拒绝某些IP地址的访问。在默认的FTP站点属性对话框中,切换到目录安全选项卡,选择“授权访问”选项(如图3),然后点击“下面列出的除外”框中的“添加”按钮,弹出对话框。在这里,我们可以拒绝对单个IP地址或一组IP地址的访问。以单个IP地址为例,选择“单机”选项,然后通过这种方式,所有添加到列表中的IP地址都无法访问FTP服务器。

位律师回复
DABAN RP主题是一个优秀的主题,极致后台体验,无插件,集成会员系统
白度搜_经验知识百科全书 » 网管员安全训练营

0条评论

发表评论

提供最优质的资源集合

立即查看 了解详情