如何來(lái)提高FTP服務(wù)器的安全性？

從兩個(gè)方向去做:

創(chuàng)新互聯(lián)建站企業(yè)建站,10年網(wǎng)站建設(shè)經(jīng)驗(yàn)，專注于網(wǎng)站建設(shè)技術(shù)，精于網(wǎng)頁(yè)設(shè)計(jì)，有多年建站和網(wǎng)站代運(yùn)營(yíng)經(jīng)驗(yàn)，設(shè)計(jì)師為客戶打造網(wǎng)絡(luò)企業(yè)風(fēng)格，提供周到的建站售前咨詢和貼心的售后服務(wù)。對(duì)于網(wǎng)站設(shè)計(jì)、成都網(wǎng)站建設(shè)中不同領(lǐng)域進(jìn)行深入了解和探索，創(chuàng)新互聯(lián)在網(wǎng)站建設(shè)中充分了解客戶行業(yè)的需求，以靈動(dòng)的思維在網(wǎng)頁(yè)中充分展現(xiàn)，通過對(duì)客戶行業(yè)精準(zhǔn)市場(chǎng)調(diào)研，為客戶提供的解決方案。

一、禁止系統(tǒng)級(jí)別用戶來(lái)登錄FTP服務(wù)器。

為了提高FTP服務(wù)器的安全，系統(tǒng)管理員最好能夠?yàn)閱T工設(shè)置單獨(dú)的FTP帳號(hào)，而不要把系統(tǒng)級(jí)別的用戶給普通用戶來(lái)使用，這會(huì)帶來(lái)很大的安全隱患。在VSFTP服務(wù)器中，可以通過配置文件vsftpd.ftpusers來(lái)管理登陸帳戶。不過這個(gè)帳戶是一個(gè)黑名單，列入這個(gè)帳戶的人員將無(wú)法利用其帳戶來(lái)登錄FTP服務(wù)器。部署好VSFTP服務(wù)器后，我們可以利用vi命令來(lái)查看這個(gè)配置文件，發(fā)現(xiàn)其已經(jīng)有了許多默認(rèn)的帳戶。其中，系統(tǒng)的超級(jí)用戶root也在其中。可見出于安全的考慮，VSFTP服務(wù)器默認(rèn)情況下就是禁止root帳戶登陸FTP服務(wù)器的。如果系統(tǒng)管理員想讓root等系統(tǒng)帳戶登陸到FTP服務(wù)器，則知需要在這個(gè)配置文件中將root等相關(guān)的用戶名刪除即可。不過允許系統(tǒng)帳戶登錄FTP服務(wù)器，會(huì)對(duì)其安全造成負(fù)面的影響，為此我不建議系統(tǒng)管理員這么做。對(duì)于這個(gè)文件中相關(guān)的系統(tǒng)帳戶管理員最好一個(gè)都不要改，保留這些帳號(hào)的設(shè)置。

如果出于其他的原因，需要把另外一些帳戶也禁用掉，則可以把帳戶名字加入到這個(gè)文件中即可。如在服務(wù)器上可能同時(shí)部署了FTP服務(wù)器與數(shù)據(jù)庫(kù)服務(wù)器。那么為了安全起見，把數(shù)據(jù)庫(kù)管理員的帳戶列入到這個(gè)黑名單，是一個(gè)不錯(cuò)的做法。

二、加強(qiáng)對(duì)匿名用戶的控制。

匿名用戶是指那些在FTP服務(wù)器中沒有定義相關(guān)的帳戶，而FTP系統(tǒng)管理員為了便于管理，仍然需要他們進(jìn)行登陸。但纖判是他們畢竟沒有取得服務(wù)器的授權(quán)，為了提高服務(wù)器的安全性，必須要對(duì)他們的權(quán)限進(jìn)行限制。在VSFTP服務(wù)器上也有很多參數(shù)可以用來(lái)控制匿名用戶的權(quán)限。系統(tǒng)管理員需要根據(jù)FTP服務(wù)器的安全級(jí)別，來(lái)做好相關(guān)的配置工作。需要說明的是，匿名用戶的權(quán)限控制的越嚴(yán)格，F(xiàn)TP服務(wù)器的安全性越高，但是同時(shí)用戶訪問的便利性也會(huì)降低。故最終系統(tǒng)管理員還是帶豎褲需要在服務(wù)器安全性與便利性上取得一個(gè)均衡。

下面是我推薦的幾個(gè)針對(duì)匿名用戶的配置，大家若不清楚該如何配置的話，可以參考這些配置。這些配置兼顧了服務(wù)器的安全與用戶的使用便利。

一是參數(shù)anon_world_readable_only。這個(gè)參數(shù)主要用來(lái)控制匿名用戶是否可以從FTP服務(wù)器上下載可閱讀的文件。如果FTP服務(wù)器部署在企業(yè)內(nèi)部，主要供企業(yè)內(nèi)部員工使用的話，則最好把這個(gè)參數(shù)設(shè)置為YES。然后把一些企業(yè)常用表格等等可以公開的文件放置在上面，讓員工在匿名的情況下也可以下載這些文件。這即不會(huì)影響到FTP服務(wù)器的安全，而且也有利于其他員工操作的便利性上。

二是參數(shù)anon_upload_enable。這個(gè)參數(shù)表示匿名用戶能否在匿名訪問的情況下向FTP服務(wù)器上傳文件。通常情況下，應(yīng)該把這個(gè)參數(shù)設(shè)置為No。即在匿名訪問時(shí)不允許用戶上傳文件。否則的話，隨便哪個(gè)人都可以上傳文件的話，那對(duì)方若上傳一個(gè)病毒文件，那企業(yè)不是要遭殃了。故應(yīng)該禁止匿名用戶上蠢簡(jiǎn)傳文件。但是這也有例外。如有些企業(yè)通過FTP協(xié)議來(lái)備份文件。此時(shí)如果企業(yè)網(wǎng)絡(luò)的安全性有所保障的話，可以把這個(gè)參數(shù)設(shè)置為YES，即允許操作系統(tǒng)調(diào)用FTP命令往FTP服務(wù)器上備份文件。

謝謝，這是我的回答。

服務(wù)器部署怎么樣才安全，或者要加什么設(shè)備？

這個(gè)很難實(shí)現(xiàn)了，因?yàn)榉?wù)器的安全性受周圍環(huán)境的影響，更重要的不能斷電，你如果自己運(yùn)營(yíng)的話，由于公司或者家里電力供應(yīng) 的扒巖不穩(wěn)定，很可能因?yàn)橥蝗粩嚯妼?dǎo)致數(shù)據(jù)的丟失，所以服務(wù)器盡量找專業(yè) 的IDC 供應(yīng)商，一般那種機(jī)房都是有安防，電力世亮，技術(shù)等各方面的保護(hù)的。費(fèi)用也不貴，肯定會(huì)少于公司請(qǐng)一春返御個(gè)技術(shù)員支付的費(fèi)用的。

如何配置網(wǎng)絡(luò)服務(wù)器安全

配置網(wǎng)絡(luò)服務(wù)器安全一般需要做以下步驟：

1、安裝補(bǔ)丁程序任何操作系統(tǒng)都有漏洞，作為網(wǎng)絡(luò)系統(tǒng)管理員就有責(zé)任及時(shí)地將“補(bǔ)

丁”打上，安裝最新的升襪襲級(jí)包。

2、安裝和設(shè)置防火墻現(xiàn)在有許多基于硬件或軟件的防火墻，如華為、

神州數(shù)碼、聯(lián)想、瑞星等廠商的產(chǎn)品。對(duì)于企業(yè)內(nèi)部網(wǎng)來(lái)說，安裝防火墻是非常必要的。防火墻對(duì)于非法訪問具有很好的預(yù)防作用，但是并不是安裝了防火墻之后就

萬(wàn)事大吉了，而是需要進(jìn)行適當(dāng)?shù)脑O(shè)置才能起作用。如果對(duì)防火墻的設(shè)置不了解，需要請(qǐng)技術(shù)支持人員協(xié)助設(shè)置。

3、安裝網(wǎng)絡(luò)殺毒軟件現(xiàn)在網(wǎng)絡(luò)上

的病毒非常猖獗，這就需要在網(wǎng)絡(luò)服務(wù)器上安裝網(wǎng)絡(luò)版的殺毒軟件來(lái)控制病毒的傳播，目前，大多數(shù)反病毒廠商(如瑞星、冠群金辰、趨勢(shì)、賽門鐵克、熊貓等)都

已經(jīng)推出了網(wǎng)絡(luò)版的殺毒軟件。同時(shí)，在網(wǎng)絡(luò)版的殺毒告指兄軟件使用中，必須要定期或及時(shí)升級(jí)殺毒軟件。

4、賬號(hào)和密碼保護(hù)賬號(hào)和密碼保護(hù)可以說是系統(tǒng)的第一道防線，目前網(wǎng)上

的大部分對(duì)系統(tǒng)的攻擊都是從截獲或猜測(cè)密碼開始的。一旦黑客進(jìn)入了系統(tǒng)，那么前面的防衛(wèi)措施幾乎就沒有作用，所以對(duì)服務(wù)器系統(tǒng)管理員的賬號(hào)和密碼進(jìn)行管理

是保證系統(tǒng)安全非常重要的措施。

5、監(jiān)測(cè)系統(tǒng)日志通過運(yùn)行系統(tǒng)日志程序，系統(tǒng)會(huì)記錄下所有用戶使用系統(tǒng)的逗褲情形，包括最近登錄時(shí)間、使用的賬號(hào)、進(jìn)行的活動(dòng)

等。日志程序會(huì)定期生成報(bào)表，通過對(duì)報(bào)表進(jìn)行分析，你可以知道是否有異常現(xiàn)象。

6、關(guān)閉不需要的服務(wù)和端口服務(wù)器操作系統(tǒng)在安裝的時(shí)候，會(huì)啟動(dòng)一些不

需要的服務(wù)，這樣會(huì)占用系統(tǒng)的資源，而且也增加了系統(tǒng)的安全隱患。對(duì)于假期期間完全不用的服務(wù)器，可以完全關(guān)閉;對(duì)于假期期間要使用的服務(wù)器，應(yīng)關(guān)閉不需

要的服務(wù)，如Telnet等。另外，還要關(guān)掉沒有必要開的TCP端口。

7、定期對(duì)服務(wù)器進(jìn)行備份為防止不能預(yù)料的系統(tǒng)故障或用戶不小心的非法操作，必須對(duì)

系統(tǒng)進(jìn)行安全備份。除了對(duì)全系統(tǒng)進(jìn)行每月一次的備份外，還應(yīng)對(duì)修改過的數(shù)據(jù)進(jìn)行每周一次的備份。

8、如果服務(wù)器與客戶端傳輸?shù)臄?shù)據(jù)都比較敏感，例如涉及到金錢交易的網(wǎng)站，那很有必要安裝一個(gè)SSL證書，去易維信-EVTrust 申請(qǐng)一個(gè)SSL證書，使網(wǎng)站實(shí)現(xiàn)"https"加密傳輸。

如何提高服務(wù)器的安全性？

1、系統(tǒng)漏洞的修復(fù)

安裝好的御咐系統(tǒng)都會(huì)有系統(tǒng)漏洞需要進(jìn)行補(bǔ)丁，一些高危漏洞是需要我們及時(shí)補(bǔ)丁的, 否則黑客容易利用漏洞進(jìn)行服務(wù)器攻擊。

2、系亮缺統(tǒng)賬號(hào)優(yōu)化

我們服務(wù)器的密碼需要使用強(qiáng)口令，同時(shí)有一些來(lái)賓賬戶例如guest一定要禁用掉。

3、目錄權(quán)限優(yōu)化

對(duì)于不需要執(zhí)行與寫入權(quán)限的服務(wù)器我們要進(jìn)行權(quán)限修改，確保不把不該出現(xiàn)的的權(quán)限暴露給攻擊者讓攻擊者有機(jī)可趁。

例如我們的windows文件夾權(quán)限，我們給的就應(yīng)該盡可能的少，對(duì)于用戶配置信息文件夾，不要給予everyone權(quán)限。

4、數(shù)據(jù)庫(kù)優(yōu)化

針對(duì)數(shù)據(jù)密碼和數(shù)據(jù)庫(kù)端口訪問都要進(jìn)行優(yōu)化，不要將數(shù)據(jù)庫(kù)暴露在公網(wǎng)訪問環(huán)境。

5、系統(tǒng)服務(wù)優(yōu)化

去除一些不必要的系統(tǒng)服務(wù)，可以優(yōu)化我們系統(tǒng)性能，同時(shí)優(yōu)化系統(tǒng)服務(wù)可以提升系統(tǒng)安全性。

6、注冊(cè)表優(yōu)化

注冊(cè)表優(yōu)化可以提升網(wǎng)絡(luò)并發(fā)能力，去除不必要的端口，幫助抵御snmp攻擊，優(yōu)化網(wǎng)絡(luò)，是我們優(yōu)化服務(wù)器不可缺少的環(huán)節(jié)。

7、掃描垃圾文件

垃圾文件冗余可能會(huì)造成我們的服務(wù)器卡敬拆辯頓，硬盤空間不足，需要我們定期進(jìn)行清理。

文章名稱：怎么部署服務(wù)器的安全 服務(wù)器安裝與部署
網(wǎng)站URL：http://vcdvsql.cn/article0/ddpedoo.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供電子商務(wù)、用戶體驗(yàn)、虛擬主機(jī)、網(wǎng)站設(shè)計(jì)、云服務(wù)器、App開發(fā)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)