如何让FTP服务器更安全






　　Windows 2000体系的IIS5.0供给 了FTP服务功效，因为它的简略易用，与Windows系统自身联合严密，深受宽大用户的爱好。但应用IIS5.0架设的FTP服务器真的平安吗·它的默认设置实在存在良多保险隐患，很轻易成为黑客们的攻打目的。如何让FTP服务器更加安全，只有咱们稍加改革，就能做到。
　　
　　
一 取消匿名访问功能
　　默认情况下，Windows 2000系统的FTP服务器是容许匿名访问的，固然匿名访问为用户上传、下载文件提供便利，但却存在极大的安全隐患。用户不须要申请正当的账,，就能访问你的FTP服务器，甚至还可以上传、下载文件，特殊对一些存储主要材料的FTP服务器，很容易呈现泄密的情形，因而倡议用户取消匿名访问功能。
　　
　　在Windows 2000系统中，点击“开端→程序→管理工具→Internet服务管理器”，弹出管理节制台窗口。而后开展窗口左侧的本地盘算机选项，就能看到IIS5.0自带的FTP服务器，下面笔者以默认FTP站点为例，先容如何撤消匿名访问功能。
　　
　　右键点击“默认FTP站点”项，在右键菜单中选择“属性”，接着弹出默认FTP站点属性对话框，切换到“安全账,”标签页，取消“允许匿名衔接”前的勾选如图1，最后点击“确定”按钮，这样用户就不能使用匿名账,访问FTP服务器了，必须领有合法账,。
　　　
　　图1 制止匿名访问
　　
二 启用日志记录
　　Windows日志记录着系统运行的所有信息，但许多管理员对日志记录功能不够器重，为了节俭服务器资源，禁用了FTP服务器日志记录功能，这是万万要不得的。FTP服务器日志记录着所有用户的访问信息，如访问时光、客户机IP地址、使用的登录账,等，这些信息对于FTP服务器的稳固运行存在很重要的意思，一旦服务器涌现问题，就可以查看FTP日志，找到故障所在，及时消除。因此一定要启用FTP日志记录。
　　
　　在默认FTP站点属性对话框中，切换到“FTP站点”标签页，必定要确保“启用日志记载”选项被选中，这样就可以在“事件查看器”中查看FTP日志记载了。
　　
　　
三 准确设置用户访问权限
　　每个FTP用户账,都具备一定的访问权限，但对用户权限的分歧理设置，也能导致FTP服务器出现安全隐患。如服务器中的CCE文件夹，只许可CCEUSER账,对它有读、写、修改、列表的权限，禁止其他用户访问，但系统默认设置，仍是答应其余用户对CCE文件夹有读和列表的权限，因此必需从新设置该文件夹的用户访问权限。
　　
　　右键点击CCE文件夹，在弹出菜单中选择“属性”，然后切换到“安全”标签页，首先删除Everyone用户账,，接着点击“添加”按钮，将CCEUSER账,添加到名称列表框中，然后在“权限”列表框中选中修改、读取及运行、列出文件夹目录、读取和写入选项，最后点击“确定”按钮。这样一来，CCE文件夹只有CCEUSER用户才干访问。
　　
　　
四 启用磁盘配额
　　FTP服务器磁盘空间资源是可贵的，无穷制的让用户使用，势必造成宏大的挥霍，因此要对每位FTP用户使用的磁盘空间进行限制。下面笔者以CCEUSER用户为例，将其限制为只能使用100M磁盘空间。
　　
　　在资源管理器窗口中，右键点击CCE文件夹所在的硬盘盘符，在弹出的菜单中挑选“属性”，接着切换到“配额”标签页如图2，选中“启用配额管理”复选框，激活“配额”标签页中的所有配额设置选项，为了不让某些FTP用户占用过多的服务器磁盘空间，一定要选中“拒绝将磁盘空间给超过配额限制的用户” 复选框。
　　　
　　图2 限度FTP存储空间
　　然后在“为该卷上的新用户选择默认配额限制”框当选择“将磁盘空间限制为”单选项，接着在后面的栏中输入100，磁盘容量单位选择为“MB”，然落后行警告等级设置，在“将警告等级设置为”栏中输入“96”， 容量单位也选择为“MB”，这样就完成了默认配额设置。此外，还要选中“用户超越配额限制时记录事件”跟“用户超过警告等级时记录事件”复选框，以便将配额告警事件记录到Windows日志中。
　　
　　点击配额标签页下方的“配额项”按钮，翻开磁盘配额名目对话框，接着点击“配额→新建配额项”，弹出抉择用户对话框，选中CCEUSER用户后，点击“肯定”按钮，接着在“添加新配额项”对话框中为CCEUSER用户设置配额参数，取舍“将磁盘空间制约为” 单选项，在后面的栏中输入“100”，接着在“将忠告等级设置为”栏中输入“96”，它们的磁盘容量单位为“MB”，最后点击“确定”按钮，实现磁盘配额设置，这样CCEUSER用户就只能使用100 MB磁盘空间，超过96MB就会发出警告。
　　
　　
五 TCP/IP访问限制
　　为了保障FTP服务器的安全，我们还可以拒绝某些IP地址的访问。在默认FTP站点属性对话框中，切换到“目录安全性”标签页，选中“受权访问”单选项如图3，然后在“以下所列除外”框中点击“增加”按钮，弹出“谢绝以下访问”对话框，这里我们可以拒绝单个IP地址或一组IP地址访问，以单个IP地址为例，选中“单机”选项，然后在“IP地址”栏中输入该机器的IP地址，最后点击“断定”按钮。这样增添到列表中的IP地址都不能访问FTP服务器了。
　　　
　　图3 禁止该IP拜访FTP
　　
六 公道设置组策略
　　通过对组策略项目标修正，也能够加强FTP服务器的安全性。在Windows 2000系统中，进入到“把持面板→治理工具”，运行本地安全策略工具。
　　
　　1. 审核账户登录事件
　　
　　在本地安全设置窗口中，顺次展开“安全设置→本地策略→审核策略”，然后在右侧的框体中找到“审核账户登录事件”项目如图4，双击打开该项目，在设置对话框中选中“胜利”和“失败”这两项，最后点击“确定”按钮。该策略生效后，FTP用户的每次登录都会被记录到日志中。
　　
　　图4 记录用户登录信息