FTP管理妙招三招提高FTP服务器安全性

FTP是一种文件传输协议。有时我们称他为“文件交换中心”。FTP服务器的主要用途是提供文件存储室空，以便用户上传或下载所需文件。在企业中，往往会给客户提供一个特定的FTP空房间，方便与一些大文件的交流，比如几百兆的设计图纸等等。同时，FTP还可以作为企业文件的备份服务器，比如将数据库等关键应用应用到FTP服务器上，实现远程备份等等。
可见FTP服务器在企业中的应用非常广泛。因为它的功能太强大了，很多黑客和病毒都开始“关注”他了。他们试图利用FTP服务器作为跳板，作为传播木马和病毒的源头。同时，FTP服务器存储了企业很多有价值的内容。在经济利益的诱惑下，FTP服务器成了别人攻击的目标。
因此，FTP服务器的安全性变得越来越重要。作者使用的FTP服务器是基于林旭操作系统平台上的Vsftpd软件。今天笔者就以这款软件为例，谈谈如何设计FTP服务器的安全性。
一、谁可以访问FTP服务器？
在考虑FTP服务器的安全性时，首先要考虑的是谁可以访问FTP服务器。在Vsftpd服务器软件中，默认情况下提供三种类型的用户。不同的用户有不同的权限和操作模式。
一类是实账。这类用户指的是拥有FTP服务的帐户。当这些用户登录到FTP服务器时，他们的默认主目录是其帐户被命名的目录。但是，也可以将其更改为其他目录。例如系统的主目录等。
第二种类型的帐户是来宾用户。在FTP服务器中，我们经常为不同的部门或特定的用户设置一个帐户。但是，这个帐户有一个特点，它只能访问自己的主目录。通过这种方式，服务器可以确保FTP服务上其他文件的安全。这种帐户在Vsftpd软件中称为Guest用户。拥有此类用户的帐户只能访问其主目录下的目录，而不能访问主目录外的文件。
第三种账户是匿名用户，也就是我们通常所说的匿名访问。这类用户是指在FTP服务器中没有指定的账号，但仍然可以匿名访问一些公共资源。
在设置FTP服务器时，我们需要根据用户的类型对其进行分类。默认情况下，Vsftpd服务器会将所有已建立的帐户归属于真实用户。但是，这往往不能满足企业安全的需要。因为这样的用户不仅可以访问他们自己的主目录，还可以访问其他用户的目录。这会给其他用户所在的空房间带来一定的安全隐患。因此，企业应该根据实际情况修改用户的类别。
修改方法:
第一步:修改/etc/Vsftpd/vsftpd.conf文件。
默认情况下，只启用真实和匿名用户。如果我们需要启用来宾用户，我们需要启用该选项。修改/etc/Vsftpd/vsftpd.conf文件，删除“chroot_list_enable=YES”前面的注释符号。移除后，系统会自动启用真实类型帐户。
第二步:修改/etc/vsftpd.conf文件。
如果您想将FTP服务器的帐户作为来宾帐户，您需要将用户添加到该文件中。通常，该文件在FTP服务器上不可用，需要由用户手动创建。使用VI命令创建该文件后，可以将建立的FTP帐户添加到该文件中。在这种情况下，帐户是真正的用户。登录到FTP服务器后，他们只能访问自己的主目录，但不能更改它。
第三步:重新启动FTP服务器。
按照上述步骤完成配置后，需要重新启动FTP服务器，其配置才能生效。我们可以重启服务器，也可以直接使用Restart命令重启FTP服务。
在全心全意对用户进行分类的时候，作者有几个善意的提醒。
第一，尽量使用客人类型的用户，减少实班线的用户数量。一般来说，当我们建立一个FTP帐户时，用户只需要访问他们主目录中的文件。当给一个用户的权限过大时，会威胁到其他用户的文件安全。
第二，尽量不要用匿名账号。因为他们可以未经授权访问FTP服务器。虽然它获得资源的途径有限，但它仍然是危险的。因此，在没有特殊需要的情况下，匿名类型帐户是禁用的。
二、哪些账号不能访问FTP服务器？
在以下情况下，我们将禁止这些帐户访问FTP服务器，以提高服务器的安全性。
首先是一些系统账号。例如ROOT帐户。默认情况下，该帐户是林旭系统的管理员帐户，拥有对系统的操作和管理权限。如果允许用户使用这个帐户名登录，用户不仅可以访问Linux系统的所有资源，还可以配置系统。这对FTP服务器显然是有害的。因此，通常不允许用户以此根系统帐户登录FTP服务器。
第二类是一些临时账户。有时候我们会开一些临时账户，以备不时之需。如果你需要和一个客户就一张图纸进行交流，而图纸本身比较大，FTP服务器是一个很好的图纸传输工具。在这种情况下，有必要为客户设立一个临时账户。这些账号用完之后，一般都会被列入黑名单。等到下次需要再次使用时，再启用它。
在vstftpd服务器中，将一些用户添加到黑名单中也是非常简单的。在Vsftpd软件中，有一个/etc/vsftpd.user_lise配置文件。该文件用于指定哪些帐户不能登录到该服务器。我们使用vi命令来查看这个文件。通常，一些系统帐户已被添加到此黑名单中。FTP服务器管理员应及时将一些临时或未使用的帐户添加到此黑名单中。从而确保未经授权的帐户可以访问FTP服务器。配置完成后，往往不需要重启FTP服务，配置就会生效。
但是，一般来说，它不会影响当前会话。也就是说，管理员在管理FTP服务器时，发现有非法账号登录FTP服务器。此时，管理员立即将该账号列入黑名单。但是，由于此帐户连接到FTP服务器，其当前会话不会受到影响。当它退出当前会话并在下次再次连接时，不允许登录FTP服务器。所以如果想及时停用账号，需要在设置黑名单后手动关闭当前会话。
对于一些以后不再需要的账号，管理员不需要添加到黑名单中，直接删除用户比较好。同时，删除用户时，记得删除其对应的主目录。否则主目录会越来越多，增加管理员的工作量。在黑名单中，只保留那些以后可能会用到的或者不作为FTP服务器登录的账号。这不仅可以减少服务器管理的工作量，还可以提高FTP服务器的安全性。
三、匿名账号也可以上传文件
在系统默认配置下，匿名用户只能下载文件，不能上传。虽然这不是我们推荐的配置，但是有时候为了一些特殊的需求，还是需要开启这个功能。比如笔者之前用这个功能备份了企业中的用户终端文件。为了设置方便，FTP服务器上开启了匿名访问，允许上传账号网络中特定文件夹下的文件。
如果您希望匿名用户上传文件，您必须首先设置一个目录，并将该目录指定为具有更新权限的匿名用户。以后匿名用户需要上传文件时，只能上传到这个文件夹中。而是不能像真实用户一样上传其他用户文件夹里的文件。
设置文件目录后，修改/etc/vsftpd/vsftpd.conf配置文件。启用该文件下的匿名账户功能。默认情况下，与匿名帐户相关的功能(如更新和添加目录)被注释掉。管理员需要删除此注释符号，以便匿名帐户可以将文件上传到特定帐户。
我重申，一般情况下，不建议用户开启匿名账号的文件上传功能。因为很难保证匿名账号上传的文件不包含一些破坏性的程序，比如病毒或者木马。有时候虽然开启了这个功能，但往往在IP上受到限制。如果只允许企业内部IP匿名访问和上传文件，其他账号就不行。这样可以防止外部用户未经授权匿名访问企业的FTP服务器。如果用户有一个合法的帐户，他可以登录到外部网中的FTP服务器。
总之，FTP服务器的安全管理主要集中在三个方面。第一，未经授权的用户无法上传文件到FTP空；第二，不允许用户访问未经授权的目录，对这些目录的文件进行修改，包括删除和上传；第三，FTP服务器本身的稳定性。以上三个问题的前两个部分可以通过以上三种方法有效解决。相信管理员在企业应用初期可以灵活采用上述方法来提高FTP服务器的安全性。