FTP服务器架设教程之安全篇（2）

三、对IIS、Serv-U等服务器软件进行设置

除了依靠系统提供的安全措施外，就需要利用FTP服务器端软件本身的设置来提高整个服务器的安全了。

1.IIS的安全性设置

1)及时安装新补丁

对于IIS的安全性漏洞，可以说是“有口皆碑”了，平均每两三个月就要出一两个漏洞。所幸的是，微软会根据新发现的漏洞提供相应的补丁，这就需要你不断更新，安装最新补丁。

2)将安装目录设置到非系统盘，关闭不需要的服务

一些恶意用户可以通过IIS的溢出漏洞获得对系统的访问权。把IIS安放在系统分区上，会使系统文件与IIS同样面临非法访问，容易使非法用户侵入系统分区。另外，由于IIS是一个综合 * 组件，每开设一个服务都将会降低整个服务的安全性，因而，对不需要的服务尽量不要安装或启动。

3)只允许匿名连接

FTP最大的安全漏洞在于其默认传输密码的过程是明文传送，很容易被人嗅探到。而IIS又是基于Windows用户账户进行管理的，因而很容易泄漏系统账户名及密码，如果该账户拥有一定管理权限，则更会影响到整个系统的安全。设置为“只允许匿名连接”，可以免却传输过程中泄密的危险。进入“默认FTP站点”，在属性的“安全账户”选项卡中，将此选项选中。

4)谨慎设置主目录及其权限

IIS可以将FTP站点主目录设为局域网中另一台计算机的共享目录，但在局域网中，共享目录很容易招致其他计算机感染的病毒攻击，严重时甚至会造成整个局域网瘫痪，不到万不得已，最好使用本地目录并将主目录设为NTFS格式的非系统分区中。这样，在对目录的权限设置时，可以对每个目录按不同组或用户来设置相应的权限。右击要设置的目录，进入“共享和安全→安全”中设置，如非必要，不要授予“写入”权限。

5)尽量不要使用默认端口号21

启用日志记录，以备出现异常情况时查询原因。

2.Serv-U的安全性设置

与IIS的FTP服务相比，Serv-U在安全性方面做得比较好。

1)对“本地服务器”进行设置

首先，选中“拦截FTP_bounce攻击和FXP”。什么是FXP呢?通常，当使用FTP协议进行文件传输时，客户端首先向FTP服务器发出一个“PORT”命令，该命令中包含此用户的IP地址和将被用来进行数据传输的端口号，服务器收到后，利用命令所提供的用户地址信息建立与用户的连接。大多数情况下，上述过程不会出现任何问题，但当客户端是一名恶意用户时，可能会通过在PORT命令中加入特定的地址信息，使FTP服务器与其它非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一特定机器，但是如果FTP服务器有权访问该机器的话，那么恶意用户就可以通过FTP服务器作为中介，仍然能够最终实现与目标服务器的连接。这就是FXP，也称跨服务器攻击。选中后就可以防止发生此种情况。

其次，在“高级”选项卡中，检查“加密密码”和“启用安全”是否被选中，如果没有，选择它们。“加密密码”使用单向hash函数(MD5)加密用户口令，加密后的口令保存在ServUDaemon.ini或是注册表中。如果不选择此项，用户口令将以明文形式保存在文件中;“启用安全”将启动Serv-U服务器的安全成功。

2)对域中的服务器进行设置

前面说过，FTP默认为明文传送密码，容易被人嗅探，对于只拥有一般权限的账户，危险并不大，但如果该账户拥有远程管理尤其是系统管理员权限，则整个服务器都会被别人远程控制。Serv-U对每个账户的密码都提供了以下三种安全类型：规则密码、OTP S/KEY MD4和OTP S/KEY MD5。不同的类型对传输的加密方式也不同，以规则密码安全性最低。进入拥有一定管理权限的账户的设置中，在“常规”选项卡的下方找到“密码类型”下拉列表框，选中第二或第三种类型，保存即可。注意，当用户凭此账户登录服务器时，需要FTP客户端软件支持此密码类型，如CuteFTP Pro等，输入密码时选择相应的密码类型方可通过服务器验证。

与IIS一样，还要谨慎设置主目录及其权限，凡是没必要赋予写入等能修改服务器文件或目录权限的，尽量不要赋予。最后，进入“设置”，在“日志”选项卡中将“启用记录到文件”选中，并设置好日志文件名及保存路径、记录参数等，以方便随时查询服务器异常原因。

好了，开通你的FTP吧。

告诉大家：你当站长了。