義烏服務(wù)器-網(wǎng)管員安全訓(xùn)練營--讓FTP服務(wù)器更安全

Windows 2000系統(tǒng)的IIS5.0提供 了FTP服務(wù)功能，由于它的簡單易用，與Windows系統(tǒng)本身結(jié)合緊密，深受廣大用戶的喜愛。但使用IIS5.0架設(shè)的FTP服務(wù)器真的安全嗎？它的默認(rèn)設(shè)置其實存在很多安全隱患，很容易成為黑客們的攻擊目標(biāo)。如何讓FTP服務(wù)器更加安全，只要我們稍加改造，就能做到。

一 取消匿名訪問功能

默認(rèn)情況下，Windows 2000系統(tǒng)的FTP服務(wù)器是允許匿名訪問的，雖然匿名訪問為用戶上傳、下載文件提供方便，但卻存在極大的安全隱患。用戶不需要申請合法的賬號，就能訪問你的FTP服務(wù)器，甚至還可以上傳、下載文件，特別對于一些存儲重要資料的FTP服務(wù)器，很容易出現(xiàn)泄密的情況，因此建議用戶取消匿名訪問功能。

在Windows 2000系統(tǒng)中，點擊“開始→程序→管理工具→Internet服務(wù)管理器”，彈出管理控制臺窗口。然后展開窗口左側(cè)的本地計算機選項，就能看到IIS5.0自帶的FTP服務(wù)器，下面筆者以默認(rèn)FTP站點為例，介紹如何取消匿名訪問功能。

右鍵點擊“默認(rèn)FTP站點”項，在右鍵菜單中選擇“屬性”，接著彈出默認(rèn)FTP站點屬性對話框，切換到“安全賬號”標(biāo)簽頁，取消“允許匿名連接”前的勾選，最后點擊“確定”按鈕，這樣用戶就不能使用匿名賬號訪問FTP服務(wù)器了，必須擁有合法賬號。

二 啟用日志記錄

Windows日志記錄著系統(tǒng)運行的一切信息，但很多管理員對日志記錄功能不夠重視，為了節(jié)省服務(wù)器資源，禁用了FTP服務(wù)器日志記錄功能，這是萬萬要不得的。FTP服務(wù)器日志記錄著所有用戶的訪問信息，如訪問時間、客戶機IP地址、使用的登錄賬號等，這些信息對于FTP服務(wù)器的穩(wěn)定運行具有很重要的意義，一旦服務(wù)器出現(xiàn)問題，就可以查看FTP日志，找到故障所在，及時排除。因此一定要啟用FTP日志記錄。

在默認(rèn)FTP站點屬性對話框中，切換到“FTP站點”標(biāo)簽頁，一定要確?！皢⒂萌罩居涗洝边x項被選中，這樣就可以在“事件查看器”中查看FTP日志記錄了。

三 正確設(shè)置用戶訪問權(quán)限

每個FTP用戶賬號都具有一定的訪問權(quán)限，但對用戶權(quán)限的不合理設(shè)置，也能導(dǎo)致FTP服務(wù)器出現(xiàn)安全隱患。如服務(wù)器中的CCE文件夾，只允許CCEUSER賬號對它有讀、寫、修改、列表的權(quán)限，禁止其他用戶訪問，但系統(tǒng)默認(rèn)設(shè)置，還是允許其他用戶對CCE文件夾有讀和列表的權(quán)限，因此必須重新設(shè)置該文件夾的用戶訪問權(quán)限。

右鍵點擊CCE文件夾，在彈出菜單中選擇“屬性”，然后切換到“安全”標(biāo)簽頁，首先刪除Everyone用戶賬號，接著點擊“添加”按鈕，將CCEUSER賬號添加到名稱列表框中，然后在“權(quán)限”列表框中選中修改、讀取及運行、列出文件夾目錄、讀取和寫入選項，最后點擊“確定”按鈕。這樣一來，CCE文件夾只有CCEUSER用戶才能訪問。

四 啟用磁盤配額

FTP服務(wù)器磁盤空間資源是寶貴的，無限制的讓用戶使用，勢必造成巨大的浪費，因此要對每位FTP用戶使用的磁盤空間進行限制。下面筆者以CCEUSER用戶為例，將其限制為只能使用100M磁盤空間。

在資源管理器窗口中，右鍵點擊CCE文件夾所在的硬盤盤符，在彈出的菜單中選擇“屬性”，接著切換到“配額”標(biāo)簽頁（如圖2），選中“啟用配額管理”復(fù)選框，激活“配額”標(biāo)簽頁中的所有配額設(shè)置選項，為了不讓某些FTP用戶占用過多的服務(wù)器磁盤空間，一定要選中“拒絕將磁盤空間給超過配額限制的用戶” 復(fù)選框。