第一篇:合理配置IIS_提高FTP服务器的安全性.
《中国有线电视》2006(08 C H I N A D I G I T AL C ABL E TV#有线广角#中图分类号:TP393.093文献标识码:E文章编号:1007-7022(200608-0807-03 合理配置II S,提高 FTP服务器的安全性 t郝广鑫1,王可君2(1.濮阳市华龙国税局,河南濮阳457000;2.河南有线电视集团公司濮阳分公司,河南濮阳457000 摘要:FTP服务器是在互联网上提供存储空间的计算机,它们依照FTP协议提供服务。W i n do w s系统中的IIS提供了FTP的功能,阐述如何对II S进行合理的配置,以提高FTP服务器的安全性。
关键词:II S;FTP服务器;安全性
Rational A llocation of II S to I mprove FTP Servers Security t HAO Guang-x i n1,WANG Ke-j u n2(1.Puyang H ua l o ng State Adm i n istration of Taxati o n,H enan Puyang457000,Chi n a;2.H enan Cable Corpo ration Puyang Branch,H enan Puyang457000,Ch i n a Abst ract:FTP servers i s the co m puter prov i d i n g storage space i n Interne.t They pr ov i d e serv ices i n accor dance w it h the fil e transfer pr o toco.l IIS inW i n do
w s syste m pr ov i d es FTP serv ices,the article exp lai n ed ho w a rea-sonable IIS configuration to g reatl y enhance the security of the FTP servers.K ey w ords:IIS;FTP servers;security 一个厂家直销点,在锅面喷上/罗田广电0字样,将卫星接收机贴上/专卖0标记,在销售安装价格上按厂家定价适当加入管理费,这样既解决了管理与收费的矛盾,同时又方便了对非法销售和非法安装使用的管理。在实行/专卖0管理的同时,我们把全县划分为两大区域,即有线电视覆盖区域和非覆盖区域,在覆盖区域内严格禁止安装使用卫星天线,在非覆盖区域内,凡农户有使用卫星天线愿望的,必须由当地乡镇广播电视站把好初审关,并由农户写出书面申请,同时自愿签订用户责任保证书,由广播电视部门组织安装,并锁定卫星天线方位,接收境内电视节目。
6切实解决山区农民看电视难的问题
县广播电视局大力加强广播电视/村村通0和/户户通0工程建设,近几年来先后完成271个行政村的/村村通0工作,发展6000多个用户,同时投资800多万元建设乡村广播电视光纤网,连通了12个乡镇和256个行政村,发展农村有线电视用户近2万户,而在边远山区采用无线数字电视覆盖的方式,为群众提供高质量多套数字电视节目,这些措施从根本上消除了非法卫星电视接收设施滋生和蔓延的土壤。
上述管理措施取得明显效果,一是基本禁止了私自销售、安装卫星接收设施现象;二是群众依法使用卫星电视地面接收设施的意识增强,绝大部分用户都办理了相关证件;三是规范了使用程序;四是为有线电视进村入户拓展了市场,为农村广播电视事业的发展提供了有力保障。
[收稿日期:2006-02-06] 作者简介:郝广鑫(1979-,男,助理工程师,主要从事计算机网络安全管理及系统开发工作;
王可君(1977-,女,助理工程师,主要从事点播频道编辑制作及有线电视网络维护工作。
807 W indo w s Ser ver2003系统的II S(I nter net I nfor m ation Server提供了FTP服务功能,由于它与W i n do w s系统本身结合紧密,且简单易用,因此深受广大用户的喜爱。但是它的默认设置存在很多安全隐患,很容易成为黑客们的攻击目标,从而造成信息泄漏甚至系统崩溃。因此,须对II S进行合理配置,以提高其安全性。
1取消匿名访问功能
默认情况下,W i n do w s Server2003系统的FTP服务器是允许匿名访问的,虽然匿名访问为用户上传、下载文件提供方便,但却存在极大的安全隐患,用户不需要申请合法的账号就能访问FTP服务器,甚至还可以上传、下载文件,特别是对于一些存储重要资料的FTP 服务器,很容易出现泄密的情况,因此建议用户取消匿名访问功能。
在W i n do w s Server2003系统中,点击/开始→程序→管理工具→I nternet服务管理器0,弹出管理控制台窗口。然后展开窗口左侧的本地计算机选项,就能看到II S自带的FTP服务器,右键点击/默认FTP站点0项,在菜单中选择/属性0,弹出默认FTP站点属性对话框,切换到/安全账号0标签页,取消/允许匿名连接0前的勾选,最后点击/确定0按钮,这样用户就不能使用匿名账号访问FTP服务器了,必须拥有合法账号。
2启用日志记录
W i n dows日志记录着系统运行的一切信息,但很多管理员对日志记录功能不够重视,为了节省服务器资源,禁用了FTP服务器日志记录功能,这是万万要不得的。FTP服务器日志记录着所有用户的访问信息,如访问时间、客户机I P地址、使用的登录账号等,这些信息对于FTP服务器的稳定运行具有很重要的意义,一旦服务器出
现问题,就可以查看FTP日志,找到故障所在,及时排除。因此一定要启用FTP日志记录。
在默认FTP站点属性对话框中,切换到/FTP站点0标签页,选中/启用日志记录0选项,这样就可以在/事件查看器0中查看FTP日志记录了。
3正确设置用户访问权限
每个FTP用户账号都具有一定的访问权限,但对用户权限设置不合理,也能导致FTP服务器出现安全隐患。如服务器中的TOOL文件夹,只允许TOOLUS-ER账号对它有读、写、修改、列表的权限,禁止其他用户访问,但系统默认设置中,还是允许其他用户对TOOL文件夹有读和列表的权限,因此必须重新设置该文件夹的用户访问权限。
右键点击TOOL文件夹,在弹出菜单中选择/属性0,切换到/安全0标签页,删除Everyone用户账号,再点击/添加0按钮,将TOOLUSER账号添加到名称列表框中,然后在/权限0列表框中选中修改、读取及运行、列出文件夹目录、读取和写入选项,最后点击/确定0按钮。这样,TOOL文件夹只有TOOLUSER用户才能访问。
4为FTP站点配置虚拟文件夹
用一个虚拟文件夹来充当站点目录结构的一部分,它能够对用户实施有效的屏蔽,即当用户浏览这个站点或者从FTP命令行提交DI R命令时,它并不出现。用户可用这两种方式之一来连接到这个虚拟文件夹:在浏览器或FTP命令行中明确指定这个文件夹,或者使用一个同这个虚拟文件夹的别名相匹配的用户账号来连接。
打开II S控制台,在希望创建该文件夹的FTP站点上单击鼠标右键,然后选择新建->虚拟目录命令,根据向导提示输入文件夹别名、路径名和读写属性即可。5启用磁盘配额
FTP服务器的磁盘空间资源是宝贵的,无限制地让用户使用,势必造成巨大的浪费,因此要对每位FTP用户使用的磁盘空间进行限制。下面笔者以TOOL USER 用户为例,将其限制为只能使用100MB磁盘空间。
在资源管理器窗口中,右键点击TOOL文件夹所在的硬盘盘符,在弹出的菜单中选择/属性0,切换到/配额0标签页,选中/启用配额管理0复选框,激活/配额0标签页中的所有配额设置选项。为了不让某些FTP用户占用过多的服务器磁盘空间,一定要选中/拒绝将磁盘空间给超过配额限制的用户0复选框。然后在/为该卷上的新用户选择默认配额限制0框中选择/将磁盘空间限制为0单选项,在后面的栏中输入100,磁盘容量单位选择为/MB0,再进行警告等级设置,在/将警告等级设置为0栏中输入/960,容量单位也选择为/M B0,这样就完成了默认配额设置。此外,还要选中/用户超出配额限制时记录事件0和/用户超过警告等级时记录事件0复选框,以便将配额告警事件记录到W i n do w s日志中。
点击配额标签页下方的/配额项0按钮,打开磁盘配额项目对话框,点击/配额→新建配额项0,弹出选择用户对话框,选中TOOLUSER用户后,点击/确定0按钮,在/添加新配额项0对话框中为TOOLUSER用户设置配额参数,选择/将磁盘空间限制为0单选项,在后面的栏中输入/1000,在/将警告等级设置为0栏中输入/960,它们的磁盘容量单位均为/M B0,最后点击
808 郝广鑫等:合理配置IIS,提高FTP服务器的安全性《中国有线电视》2006年第08期
/确定0按钮,完成磁盘配额设置,这样TOOLUSER用户就只能使用100M B磁盘空间,超过96M B就会发出警告。
6TCP/I P访问限制
为保证FTP服务器的安全,我们还可以拒绝某些I P地址的访问。在默认FTP站点属性对话框中,切换到/目录安全性0标签页,选中/授权访问0单选项,在/以下所
列除外0框中点击/添加0按钮,弹出/拒绝以下访问0对话框,这里可以拒绝单个I P地址或一组I P 地址访问,以单个I P地址为例,选中/单机0选项,在/I P地址0栏中输入该机器的I P地址,最后点击/确定0按钮,这样添加到列表中的I P地址都不能访问FTP服务器了。
7合理设置组策略
通过对组策略项目的修改,也可以增强FTP服务器的安全性。在W indo w s Server2003系统中,进入/控制面板→管理工具0,运行本地安全策略工具。
(1审核账户登录事件
在本地安全设置窗口中,依次展开/安全设置→本地策略→审核策略0,在右侧的框体中找到/审核账户登录事件0项目,双击打开该项目,在设置对话框中选中/成功0和/失败0这两项,最后点击/确定0按钮。该策略生效后,FTP用户的每次登录都会被记录到日志中。
(2增强账号密码的复杂性
一些FTP账号的密码设置得过于简单,就有可能被破解。为了提高FTP服务器的安全性,必须强制用户设置复杂的账号密码。
在本地安全设置窗口中,依次展开/安全设置→账户策略→密码策略0,在右侧框体中找到/密码必须符合复杂性要求0项,双击打开后,选中/已启用0单选项,点击/确定0按钮。然后,打开/密码长度最小值0项,为FTP账号密码设置最短字符限制,这样密码的安全性就大大增强了。
(3账号登录限制
有些非法用户使用黑客工具,反复登录FTP服务器,来猜测账号密码。这是非常危险的,因此建议大家对账号登录次数进行限制。
依次展开/安全设置→账户策略→账户锁定策略0,在右侧框体中找到/账户锁定阈值0项,双击打开后,设置账号登录的最大次数,如果超过此数值,账号会被自动锁定。打开/账户锁定时间0项,设置FTP账号被锁定的时间,账号一旦被锁定,超过这个时间值才能重新使用。
8不使用FTP默认的端口号
FTP服务默认的端口号是21,这也是具有一定网络知识的人所熟知的,这个端口非常容易被黑客或木马所利用。在创建FTP服务器时应尽量不使用21作为FTP服务的端口号,这样就可以大大提高FTP服务器的安全性,有效避免网络恶意攻击。
通过以上合理配置,FTP服务器就会更加安全,但没有绝对的安全,我们还更应重视平时的维护工作,如:及时更新系统补丁阻塞漏洞、定期查看系统日志、做好重要数据的备份等等。
参考文献: [1]周学毛.网站规划建设与管理维护[M].北京: 电子工业出版社,2001.[2]Jeffer y R fShapiro.W i n do w s Server2003宝典 [M].杨秀梅,林润生,盖江南,译.北京:电子工 业出版社,2003.[3]梁军,毛振寰.计算机网络与信息安全[M].北京:北京邮电大学出版社,2005.[4]程迎春.W i n dow s安全应用策略和实施方案手册 [M].北京:人民邮电出版社,2005.[收稿日期:2006-03-06] 敬告作者:投稿注意事项
1.请作者务必以电子邮件方式投稿,邮件地址为: E-m ai:l ccatvbjb@ma i.l x jtu.edu.cn。2.稿件正文字号以5号字为宜,不可再小。
3.除了维护维修技术一类的稿件,其余稿件均应有摘要、关键词、作者单位、作者简介、所在省市(县、邮编,并将文题、作者单位、摘要、关键词译为英文。
4.来稿必须注明作者通信地址、邮编、联系电话,以便投寄样刊。
809《中国有线电视》2006年第08期郝广鑫等:合理配置II S,提高FTP服务器的安全性
第二篇:FTP服务器优缺点分析
FTP服务器优缺点分析
1、FTP协议:
a)FTP 是File Transfer Protocol(文件传输协议)的英文简称,而中文简称为“文传协议”。用于Internet上的控制文件的双向传输。同时,它也是一个应用程序(Application)。用户可以通过它把自己的PC机与世界各地所有运行FTP协议的服务器相连,访问服务器上的大量程序和信息。FTP的主要作用,就是让用户连接上一个远程计算机(这些计算机上运行着FTP服务器程序)察看远程计算机有哪些文件,然后把文件从远程计算机上拷到本地计算机,或把本地计算机的文件送到远程计算机去。b)原理:FTP采用“客户机/服务器”方式,用户端要在自己的本地计算机上安装FTP客户程序。FTP客户程序有字符界面和图形界面两种。字符界面的FTP的命令复杂、繁多。图形界面的FTP客户程序,操作上要简洁方便的多。以文件下载为例:一台计算机上面开启一个FTP客户端,输入FTP服务器地址后,开始连接,服务器响应连接并返回端口信息,连接成功后,服务器返回你所拥有权限能够看到的文件列表,你可以通过FTP命令下载想要的文件,而FTP服务器就响应你下载文件的命令,然后将文件传输到你的客户端,客户端将其保存到电脑里面。
2、FTP能做什么?
a)是自己的电脑通过FTP客户端和互联网能连接到世界各地的FTP服务器,实现文件共享及资源共享。
b)别人也可以通过互联网访问你电脑上面搭建的FTP服务器,使你的信息及资料能够传播到世界各地。
c)是不同类型、不同系统、不同格式的电脑之间能够互换文件。
3、FTP的优点:
a)完全基于网络,覆盖范围广,操作更加灵活,能让更多的人知晓和获益。b)完善的用户权限管理,能指定每个登陆的用户能看到什么、做什么事情,如某个用户只能查看和下载A目录,但是某个用户不仅可以查看、下载,还可以删除、新建等。c)数据传输可以通过SSL、SSH2进行安全性加密,保证数据不被非法截取,安全性高。
d)使用TCP/IP协议,保证数据的准确到达。
e)传输速度快。当文件大于1M的时候,FTP的传输速率比HTTP更快,文件越大,速度越快。
4、FTP服务器种类:
a)IIS FTP:Windows系统自带,能实现简单的功能;
b)Serv-U:Windows下最强大、使用最广泛的FTP服务器; c)VsFTP:Linux下使用最广泛的FTP服务器;
d)ArGoSoft FTP:Windows平台下的FTP服务器,可控制; e)Secure FTP:主要在安全传输方面做的比较好;
f)CesarFTP:免费的、适用于一般用户的FTP服务器。g)„„
5、Serv-u服务器的三个版本
a)版本1:支持25个并发连接数,最多允许50个用户账号;根据用户数量收费。
b)版本2:支持最多100个并发连接数,最多允许250个用户账号。
c)版本3:支持无限并发、支持无限用户,支持SSL安全协议。此版本比较适合我们对并发的需求。
6、Serv-u服务器是Windows平台下最完善、用户量最大,最稳定,功能最强的FTP文件服务器,支持Windows 2000及以上系统版本。
7、IIS FTP只支持账户管理、目录权限设置、消息设置以及连接用户管理功能,功能比较简单,因此不在研究范围内。
8、Serv-u服务器的优势:
a)无限的连接数:这个功能与我们3G系统的数据中心并发需要比较符合,基本能够满足并发的需求。
b)支持文件续传:此功能能够保证我们的设备在断网后重新连接上的文件续传需求。
c)支持SSL加密验证规范,能够进行安全密钥验证,保证安全性。
d)配置简单,功能强大,通过简单的配置就能够完成强大的功能,满足我们3G系统的大部分需求。
9、Serv-u服务器对于3G系统的缺陷:
a)由于是FTP文件系统,所以任何数据都是以文件的方式进行上传和下载到,那么这样就要求3G系统的监护设备能够将收集的数据保存为文件的方式然后才能够进行上传,虽然AT指令可以进行FTP文件的上传,但是这个毕竟是硬件指令,所以功能不是太多,对于文件如何形成,如何上传比较麻烦,所以这一点硬件很困难,有很大的挑战。
b)我们的需求里面有一个是监护中心可以发送指令操纵监护设备发送数据,但是任何FTP服务器在客户端没有连接的情况下,都不可能主动去连接客户端的,所以这一点也是一个比较麻烦的地方;我想到一个折中的方法,就是如果要操作监护仪发送数据,那么就首先发送一条短信指令,然后监护仪接收这个短信指令后,操作监护仪主动去连接FTP服务器,然后上传文件。通过这个方法间接的实现类似于“专家关注”这样一个功能,但是这个方法比较麻烦,同样困难在监护仪方面。
c)使用FTP服务器接收到文件以后,虽然解决了并发性问题,但是依然不能解决服务器资源效率问题:因为接收到文件以后,由于都是片段文件,所以还需要进行融合,融合完成后,还必须进行分析,这里面涉及到服务器资源的利用问题。这些都是需要考虑的问题。
d)如果使用FTP服务器的话,那么任何网络上的任何用户,只要知道FTP服务器地址,那么都可以来访问我们的FTP服务器,这个安全问题暂时还没有好的办法解决。
e)FTP服务器的每一个用户连接,都会占用一定的带宽资源,虽然说Serv-u服务器对连接没有限制,但是带宽确实最大的显示,当同时连接的用户数量太多,那么带宽会被FTP服务器全部占用,任何其他使用网络的服务或者程序,将都会得不到任何网络带宽,直到FTP服务器释放出所占用的贷款资源。
f)现成的FTP服务器都可以通过简单的配置实现,但是这些配置就限制了
10、a)
b)
c)
d)我们扩展的能力,虽然短期内可以满足我们的需求,但是不利于长期发展。
个人的一些建议(仅仅是一些个人的看法,不对之处,望见谅!): 医疗软件行业的发展时间比较短,并且又是3G网络,所以这方面现阶段很少有完善的中间件软件产品或者框架;另外一方面,由于我们的3G系统需求比较特殊,除非是相关竞争公司,不然市面上很少有满足我们全部需求的软件产品,最多也是只能满足部分需求,所以想找一个完整的框架或者中间件非常困难,基本上可以说没有,除非我们可以弄到竞争公司的产品源码;并且,由于微软.NET框架的不断完善,也是造成了市面上面完善的框架或中间件比较少的重要原因。不管我们使用FTP服务器或者其他服务器也好,都是一套完整的服务器,一方面,只能满足我们自身部分的需求;另一方面,每个产品都有各自自身的优点和涉及的领域,不可能方方面面都顾及到;同时,也有自身的局限性,这样,使用这些成熟的产品,无疑就限制了我们系统的扩展性,不利于我们后期的发展。
使用别人已经成熟的产品,那么我们的系统最终是没有核心技术,缺乏核心竞争力的,任何人都可以模仿甚至复制,这样显然不是我们想要看到的。
自己写的程序比较有竞争力,虽然初期开始的时候可能不太稳定,问题比较多,但是不断的修改完善,时间久了,那么一套完善的、稳定的系统肯定可以开发出来,那么我们做到全国第一的目标也有可能去实现。如果从长远的打算来说,我比较倾向于自己开发整个系统,现有的完整的我们只是借鉴其中比较好的地方;但是如果3G系统时间上面比较急的话,使用FTP服务器虽然问题多多,但是也不是不能完成。
第三篇:FTP服务器架设实验报告
FTP(File Transfer Protocol)是文件传输协议的简称。FTP的主要作用就是让用户连接上一个远程计算机(这些计算机上运行着 FTP服务器程序)察看远程计算机有哪些文件,然后把文件从远程计算机上拷到本地计算机,或把本地计算机的文件送到远程计算机去。
FTP工作原理
当你启动 FTP从远程计算机拷贝文件时,你事实上启动了两个程序: 一个本地机上的 FTP客户程序:它向 FTP服务器提出拷贝文件的请求。另一个是启动在远程计算机的上的 FTP服务器程序,它响应你的请求把你指定的文件传送到你的计算机中。FTP采用 “客户机/服务器” 方式,用户端要在自己的本地计算机上安装 FTP客户程序。FTP客户程序有字符界面和图形界面两种。字符界面的 FTP的命令复杂、繁多。图形界面的 FTP客户程序,操作上要简洁方便的多。使用 FTP时必须首先登录,在远程主机上获得相应的权限以后,方可上载或下载文件。也就是说,要想同哪一台计算机传送文件,就必须具有哪一台计算机的适当授权。换言之,除非有用户 ID 和口令,否则便无法传送文件。匿名 FTP 是这样一种机制,用户可通过它连接到远程主机上,并从其下载文件,而无需成为其注册用户。系统管理员建立了一个特殊的用户 ID,名为 anonymous,Internet 上的任何人在任何地方都可使用该用户 ID。
FTP 服务器建立可以有两种方式,一是利用 Windows 2000 服务器系统,另一种通过 Serv-U 等 FTP服务器软件。
实验内容:
1、Windows 2000 服务器安装和配置 FTP 服务器
(1)安装好后一般会自动弹出以下界面,点击 NEXT。
(2)选择“YES”,然后点击“NEXT”。
(3)点击“NEXT”
(4)写入本机的 IP地址,可以不填,NEXT
(5)填写一个描述主机的名字,可以随便填写,然后点击 NEXT。
(6)是否安装系统服务,即在机器重新启动后可以作为系统服务自动运行,选择“YES”,然后点击 NEXT。
(7)创建匿名用户,根据自己设置 FTP需要来选择“YES”和“NO”。
一般说来,匿名访问是以 Anonymous 为用户名称登录的,无需密码;如果你想让用户登陆 FTP不能匿名登陆,就选择“NO”,这样只有许可用户才能登陆。
(8)创建认证用户。选“YES”,点击“NEXT”。
(9)创建用户名。
(10)创建该用户的密码。
(11)指定认证用户登录 FTP后的目录。
可以指定一个硬盘上已存在的目录,如下图,当用户登陆后就可以看到“F:上网工具”文件夹中的内容。
(12)是否锁定目录。
锁定后,用户将只能认为你所指定的目录(如 F:上网工具是根目录,也就是只能访问这个目录下的文件和文件夹,这个目录之外就不能访问。
(13)建立用户的权限,从上到下依次是:无权限,组管理员,域管理员,只读管理员和系统管理员。每项的权限各不相同,这里选择“只读管理员”。
(14)点击“Finish”完成配置。
3、FTP服务器测试。
方法一:用浏览器登陆:在浏览器的地址栏输入“ftp://用户名:用户密码@IP”,如:ftp://use:password@172.16.20.5
方法二:用软件登陆,ftp 软件有很多,较出名的有:cuteftp;leadftp;flashfxp 等。
六、小结
通过本次试验学会了配置和管理 Windows 2000 服务器的 FTP服务,掌握 了FTP服务器的安装与配置以及 FTP客户端软件的使用。
第四篇:linux ftp服务器的配置及各种知识点,本人亲自总结
ftp服务器的安装与配置 一。项目概要:
校园网提供了比较多的网络应用服务,如:办公系统,教学资源系统,教学管理系统,越来越多的老师和同学开始使用校园网提供的服务,他们希望校园网提供一些常用软件的下载服务,同时教师们也希望把一些教学资料放到服务器上,以便教师间交流,学生在课后能下载学习。
随着学习精品课程建设工作的推进,不少教师建设了课程网站,把教学资料放到网站上。还有一些教师建设了个人网站,以展示自己的科研成果。为了让这些网站真正发挥作用,需要提供一个统一的平台用于放置这些网站,供学生访问。
=========== 二。ftp协议
文件传输协议(File Transfer Protocol)定义了一个在远程计算机系统和本地计算机系统之间传输文件的标准。ftp运行在OSI参考模型的 应用层,利用传输控制协议TCP在不同的主机之间提供可靠的数据传输。
FTP服务是internet最早应用于主机之间进行数据传输的基本服务之一。它的特点:(1)ftp协议简化了文件传输的复杂性,弄够独立于平台,不受计算机和操作系统类型的限制。无论是PC、服务器,还是Windows、linux、unix操作系统,都可以作为ftp客户端和服务器。
(2)ftp实现了可靠的数据传输。ftp是运行在TCP上的,这就保证了数据传输的正确性,并在发生错误的情况下修正。
(3)支持端点续传功能,极大方便用户并减少CPU和网络开销。
FTP有两种常用的操作:
从ftp服务器上复制文件到本地计算机,成为“下载(download)”,若将文件从本机复制到服务器上,称为“上传(upload)”
=========== 三。FTP的传输模式 有两种:
(1)主动模式(PORT模式)。主动模式的ftp客户端发送PORT命令到ftp服务器。(2)被动模式(PASV模式)。
主动模式:ftp客户端随机开启一个大于1024的端口N向ftp服务器的TCP 21端口发起连接,通过这个通道发送PORT命令,port命令包含了客户端用于接受数据的端口N+1.在传输数据时,服务器通过TCP 20端口连接至客户端的N+1端口发送数据。在此模式下,数据传输通道是由服务器主动建立起来的。
被动模式:在建立控制通道的时候,ftp客户端随机开启一个大于1024的端口N向ftp服务器的TCP 21端口放弃连接,但建立连接后发送 的是PASV命令。ftp服务器收到PASV命令后,随机打开一个高端端口(端口号大于1024)并通过port命令通知客户端在在这个端口上有传送数据的请求。客户端连接ftp服务器此端口,然后ftp服务器通过这个端口进行数据传送。
=========== 四。FTP的用户
根据ftp服务器服务的对象不同,可以将ftp服务的使用者分为3类: 本地用户,虚拟用户和个人用户。
如果用户拥有提供ftp服务的服务器上的本地账号,则为本地用户。本地用户可以通过自己的账号和口令登陆服务器。当授权访问的本地用户登陆系统后,其登陆目录为自己的主目录($HOME)。本地用户既可以下载也可以上传。
如果用户仅拥有登陆服务器的远程账号,且此账号只能用于文件传输服务,则称之为虚拟用户。它可以通过自己的账号和口令登陆ftp服务器。当授权访问的虚拟用户登陆系统后,其登陆目录为服务器指定的目录。通常,虚拟用户既可上传也可下载。
如果用户在远程ftp服务器上没有账号,称此用户为匿名用户。若ftpfuwq通过匿名访问功能,则任何用户都可通过输入账号(anonmous)和口令(一般为用户自己的邮箱)进行登陆,登陆只能访问指定的目录。一般,匿名用户只具有下载功能。============ 五。FTP服务器软件和客户端软件(1)ftp服务器软件。
linux下最常用的服务器软件有Wu-ftpd、Proftpd、Pureftpd和vsftpd等。red hat enterprise linux 5内置了vsftpd windows下使用最广泛的ftp服务器软件是Serv-U,设置简单,功能强大,性能稳定。(2)ftp客户端软件
linux和windows都提供了登陆ftp服务器的命令行根据,linux下是lftp,windows下是ftp。windows下还有许多图形化的ftp工具,如CuteFTP, FlashFxP等。
另外,无论是linux还是windows,都可以在浏览器中通过ftp协议访问ftp服务器。==============六。安装和启动vsftpd服务
linux 5中的vsftpd不会默认安装,安装之前需要查看一下 #rpm-q vsftpd 若没有安装
#rpm-ivh vsftpd-2.0.5-10.3l5.i386.rpm 启动服务
#service vsftpd start #service vsftpd status 或者
#/etc/init.d/vsftpd start
可以使用ntsysv 让vsftpd服务在开机时自动加载 #chkconfig-level 35 vsftpd on ========== 七。配置vsftpd(1)vsftpd的配置文件
/etc/vsftpd/vsftpd.conf
vsftpd的主配置文件 /user/sbin/vsftpd
vsftpd的主程序 /etc/rc.d/init.d/vsftpd
启动脚本
/etc/vsftpd/ftpusers
禁止访问vsftpd的脚本文件
/etc/vsftpd/user_list
允许或禁止访问vsftpd的用户列表
文件
/var/ftp
匿名用户主目录
/ var/ftp/pub
匿名用户的下载目录,此目录需赋
权限 chmod 777 pub /etc/logrotate.d/vsftpd.log vsftpd的日志文件
========== 八。主配置文件vsftpd.conf
vsftpd的主配置文件/etc/vsftpd/vsftpd.conf包含了很多配置选项,每个选项设置为一行,格式为“option=value”,注意“=”两边不能留空格。vsftpd.conf 文件以“#”开头的是注释行。
常用的配置选项有:
listen_address=ip address 提供FTP服务的IP地址
listen_port=port_value 控制连接的监听端口,默认为21
ftp_data_port=port number FTP服务器传输端口值,默认为20
port_enable=yes|NO
是否允许使用主动模式,默认为YES pasv_enable=YES|NO
是否允许使用被动模式,默认为YES ascii_upload_enable=YES|NO 是否允许使用ASCII模式上传文件,默认为NO ascii_download_enable=YES|NO
max_clients=value FTP服务器最大的连发并列数,默认值为0,表示不限最大数 max_per_ip=value 每个IP地址最大的连接并发数目,默认值为0,表示不限最大数 anonymous_enable=YES|NO 是否允许匿名登陆,默认为NO
no_anon_password=YES|N0 匿名用户登陆时是否需要密码,默认为NO anon_world_readable_only=YES|NO 是否只允许匿名用户下载可阅读文挡
local_enable=YES|NO
本地用户是否可以登陆vsftpd,默认值为YES
guest_enable=YES|NO 虚拟用户是否可以登陆VSFTPD,默认值为NO
userlist_deny=yes|NO 禁止还是只允许由user_list设置文件中的用户登录FTP服务器。此选项在user_list=yes时生效。yes,默认值,禁止文件中的用户登录,同时也不向这些用户发出输入口令信息。no,只允许在文件中的用户登录
write_enable=yes|no 是否可以使用任何可以修改文件的FTP的指令,比如,STOR,DELE,RNFR,RNTO,MKD,RMD,APPE以及SITE,默认值为no
dirlist_enable=yes|no 是否允许用户列目录,默认值为yes
download_enable=yes
chroot_local_user=yes|no 是否将本地用户限制在家目录,默认值为NO
anon_max_rate=value 匿名用户的最大传输速率,单位是B/s,默认值为0,表示不限制
local_max_rate=value 本地用户的最大传输速率,单位是B/s,默认值为0,表示不限
data_connection_timeout=value 空闲的数据连接超时时间,默认值为300s
idle_session_timeout=value 空闲用户的超时时间,默认值为300s
tcp_wrappers=yes|no 在vsftpd中使用tcp_wrappers远程访问控制机制,默认值为yes------------------架设允许匿名用户上传的FTP服务器
<一> 外语系的老师为了共享教学资料,需架设一个FTP服务器,允许所有老师以匿名用户登录FTP服务器,可以浏览文件,上传文件和创建文件夹,但不允许删除和修改文件。操作步骤如下:(1)
打开vsftpd主配置文件vsftpd.conf #vi /etc/vsftpd/vsftpd.conf(2)添加匿名用户支持
在主配置文件vsftpd.conf添加一行,打开vsftpd服务器对匿名用户的支持
anonymous _enable=yes(3)设置匿名用户权限
write_enable=yes
anon_upload_enable=yes
anon_mkdir_write_enable=yes
anon_world_readable_only=no
anon_other_write_enable=yes(4)添加匿名用户本地写权限
在/var/ftp文件夹下创建一个名为share德文件夹,并添加写权限。#mkdir /var/ftp/share #chmod 0+w /var/ftp/share(5)重启ftpd服务器 #service vsftpd restart =========================================== <二>架设用于维护网站内容的FTP服务器 软件系为了维护ftp服务器,需架设一台ftp服务器,希望通过这台ftp服务器远程上传文件,创建目录,更新网页内容等操作。ftp服务器设置设置两个账号soft1和soft2。要求仅允许soft1和soft2账号登陆ftp服务器,但不能登陆本地系统,并将两个根目录限制为/var/www/web,不能进入该目录以外的任何目录。
步骤如下:(1)
建立维护网站内容的soft1和soft2,并禁止本地登陆,然后设置其登陆口令。#useradd-a /sbin/nologin soft1 #passwd soft1 #useradd-a /sbin/nologin soft2 #passwd soft2(2)打开主配置文件vsftpd.conf(3)
配置vsftpd.conf 设置允许本地用户登录,禁止匿名登陆,并设置本地用户的根目录。anonymous_enable=no local_enable=yes local_root=/var/www/web chroot_list_enable=yes //文件中的名单可以调用 chroot_list_file=/etc/vsftpd/chroot_list
Chroot_list_file=/任意指定的路径/VSftpd.chroot.list(4)建立/etc/chroot_list文件 #touch /etc/vsftpd/chroot_list #vi /etc/vsftpd/chroot_list
添加 soft1 soft2(5)开启禁用SElinux的ftp传输审核功能 #setsebool-p allow_ftpd_anon_write #setsebool-p ftpd_disable_trans on(6)重启
#service vsftpd restart(7)修改本地目录权限
#chmod-r o+w /var/www/web =====
第五篇:ftp服务器的配置管理报告
第9章 搭建FTP服务器
FTP是File Transfer Protocol(文件传输协议)的缩写,顾名思义,FTP专门用于文件传输服务。FTP服务也是最重要、并且应用最多的Internet服务之一,主要被用于文件下载、Web网站维护、文件交换与共享。从某种意义上讲,在Web网站上必须搭建FTP服务,否则,将无法实现网站文件的更新。
9.1 FTP服务概述
9.2 FTP服务器的安装与配置
9.3 客户端的配置与使用
9.2 FTP服务器的安装与配置
与Windows 2000 Server一样,Windows Server 2003也内置有FTP服务模块,作为IIS(Internet Information Service)的重要组成部分。虽然IIS中的FTP服务安装较为简单,但是,对用户访问权限和使用磁盘容量的限制,却都需要借助于NTFS文件夹权限和磁盘配额实现,因此,不太适合于复杂的网络应用。
9.2.1 安装FTP服务器
FTP服务并不是应用程序程序器的默认组件,所以,在以应用程序服务器搭建Web服务时,并不会自动安装FTP服务,因此,必须采用添加Windows组件方式单独安装。
9.2.2 设置IP地址和端口
1.修改站点标识
在【FTP站点】选项卡的【说明】栏中可以设置该FTP站点的标识。该标识对于客户端的访问没有任何意义,其作用只是当服务器中安装有多个FTP服务器时,便于网络管理员进行区分,也就是说,站点标识将作为FTP服务器的名称显示在【Internet 信息服务】窗口目录树中。例如,当【说明】框中为【默认FTP站点】时,则显示在目录树中的也是【默认FTP站点】;而如果将其修改为【主FTP站点】时,则该服务器将在目录树中显示为【主FTP站点】。
2.指定IP地址
在【IP地址】下拉列表中可以设置该FTP站点的IP地址。由于Windows Server 2003可安装多块网卡,并且每块网卡可绑定多个IP地址,因此,服务器拥有多个IP地址是一件非常自然的事。如果不为该FTP网站指定特定的IP地址,即采用默认的【全部未分配】时,该站点将响应所有指定到该计算机并且没有指定到其他站点的IP地址,也就是说,使用任何一个该计算机绑定的IP地址,都能成功访问该FTP网站。例如,当该服务器拥有3个IP地址192.168.0.1、172.16.0.1和10.0.0.1时,那么,在FTP客户端利用其中的任何一个IP地址都可以访问该FTP服务器。默认值为【全部未分配】。
当服务器拥有两个以上IP地址时,若欲只为该FTP服务器指定一个IP地址,可在【IP地址】下拉列表中选择用于访问该FTP服务器的IP地址。
3.TCP 端口
FTP默认的端口号为【21】。虽然可以将该端口更改为任意唯一的TCP端口号,但是,客户
必须事先知道请求该端口号,否则其请求将无法连接到该FTP服务器。也就是说,当采用默认值【21】时,用户只需通过客户端打开ftp://ipaddress,如ftp://192.168.0.1,即可实现对该网站的访问,而如果指定了非【21】的端口号时,必须打开ftp://ipaddress:port,如ftp://192.168.0.1:1100,才能实现对该网站的访问。需要注意的是,端口号是必需的,因此,【TCP端口】文本框不能置空。
9.2.3 设置主目录
所谓主目录是指映射为FTP根目录的文件夹,FTP站点中的所有文件全部保存在该文件夹,而且当用户访问FTP站点时,也只有该文件夹(即主目录)中的内容可见,并且作为该FTP站点的根目录。在安装FTP服务时,将创建一个默认主目录,其绝对路径为C:InetPubFtproot。
1.修改主目录位置
此计算机上的目录 选中【此计算机上的目录】单选按钮,并在【本地路径】文本框中键入目录路径,也可以单击【浏览】按钮进行选择。建议将主目录设置在非引导分区,以确保系统安全和正常运行。需要注意的是,在使用本地硬盘中的文件夹时,应键入完整路径,例如D:FtpsiteFreeware。另外,网站主目录既可以是某个文件夹,也可以是某个磁盘或卷集。推荐以该方式指定Web服务器的主目录。
另一计算机上的共享位置 选中【另一计算机上的共享位置】单选按钮,可以将新的主目录指定为其他计算机中的文件夹。但是,当采用该选项时,另一台计算机必须已经连入网络并能够实现网络共享,而且必须将欲使用的文件目录设置为共享。对于网络共享,必须使用统一命名约定(UNC,Universal Naming Convention)服务器和共享名,即【服务器名共享名】。例如,欲将计算机Server2003中的Freeware文件夹作为本FTP服务器的主目录,则需先将文件夹Freeware设置为共享文件夹,并在【网络目录】中键入
【Server2003Freeware】。
2.修改访问权限
读取 选中【读取】复选框,允许用户查看或下载存储在主目录或虚拟目录中的文件。如果只允许用户下载文件,建议只选择该复选框。
写入 选中【写入】复选框,允许用户向服务器中已启用的目录上传文件。如果该站点允许所有登录用户上传文件,那么,可以选中该复选框。否则,应当只取消该复选框,而只启用
【读取】权限。另外,再创建虚拟目录或虚拟网站,只对特权用户开放【写入】权限。日志访问 若欲将对目录的访问活动记录在日志文件中,需选中【日志访问】复选框。只有对此FTP站点启用了日志记录,才能记录访问活动。默认情况下日志是被启用的。若欲关闭日志,只需清除【启用日志】复选框即可。
3.目录列表风格
只是修改显示给用户的目录列表风格,对访问权限没有任何影响。
MS-DOS 系统默认值为【MS-DOS】方式,MS-DOS目录列表风格以2位数格式显示年份。UNIX UNIX目录列表风格以4位数格式显示年份,如果文件日期与FTP服务器相同,则不会返回年份。
9.2.4 其他高级配置
1.限制连接数量
当服务器配置较低、性能较差时,由于不能满足大访问量的需要而往往导致连接超时,甚至是死机的发生,因此,对于这类服务器,最好还是限制一下连接数量才是。另外,当一台计算机上安装有若干FTP站点时,或者兼作Web服务器时,也应当适当限制一下访问数量,否则,仅有的网络带宽将全部被FTP所占用。
2.设置欢迎和提示消息
在【属性】对话框中选择【消息】标签,即可对该FTP站点的欢迎等消息进行编辑和修改,当用户访问该FTP站点时会将这些消息显示给用户。
9.2.5 设置访问安全
由于FTP站点中往往存储着非常重要的文件或应用程序,甚至是Web网站的全部内容,所以,FTP站点的访问安全显得尤其重要。因此,对于一些比较特殊的FTP站点,必须进行用户身份验证,并限制允许访问该FTP服务的IP地址,从而确保FTP站点安全无恙。
1.禁止匿名访问
默认状态下,FTP站点允许用户匿名连接,也就是说,用户无需经过身份认证,即可读取FTP站点中的内容,对于安全性要求较高的站点而言,这无疑是无法接受的。选择【安全账户】选项卡,取消对【允许匿名连接】复选框的选中,即可禁止用户匿名访问该FTP站点。当禁止匿名用户连接后,只有服务器或活动目录中有效的注册用户,才能借助于用户名和密码访问该FTP服务器。
2.限制IP地址
通过对IP地址的限制,可以只允许某些特定范围内的计算机访问该FTP站点,基本上可以避免来自外界的恶意攻击。该方式与用户验证相互结合,可以取得非常好的效果。选择【目录安全性】标签,设置该FTP站点的IP地址访问列表。
选择【拒绝访问】单选按钮,单击【添加】按钮,即可在【授权访问】对话框设置允许访问的IP地址列表。
当只授予某台或某几台计算机以访问权限时,可选择【一台计算机】,并键入授权计算机的IP地址。若欲授予一批或几批计算机以访问权限时,则应当选择【一组计算机】,并分别键入这些计算机的网络号和子网掩码。
有关设置策略和详细操作,请参见本书【Web服务】中的相关内容,此处不复赘述。
3.磁盘限额
当赋予用户写入权限时,往往会导致用户权限的滥用。许多用户可能会无视网络管理员的警告,将大量文件保存在FTP服务器,从而导致硬盘空间迅速被占用。因此,限制每个用户写入的数据量就成为一种必要。NTFS文件系统的磁盘限额功能可以非常好地实现这一目的,所以,在赋予用户写入权限的同时,最好启用磁盘限额功能。当然,这要求磁盘分区必须采用NTFS格式,FAT32无法进行磁盘配额设置。
9.2.6 虚拟站点
当欲利用FTP实现对众多Web站点内容的更新时,仅有一个FTP站点显然是不够的,因此,建立虚拟FTP站点和虚拟目录就成为一种必要。利用虚拟FTP站点,可以很方便地将各单位的Web站点交由其操作员独立管理,真正实现Web网站的分级管理,并大大减轻网络管理员的劳动强度。虚拟FTP站点与默认FTP站点几乎没有任何区别,拥有自己的IP地址和主目录,可以单独进行配置和管理,可以独立启动、暂停和停止,并且能够建立虚拟目录。利用虚拟FTP站点可以将敏感信息进行有效地分离,从而提高数据的安全性,并便于数据的管理。
1.创建前的准备工作
在创建虚拟FTP站点之前,应当做好以下准备工作:绑定多个IP地址、设置默认FTP站点的IP地址、创建并共享文件夹。
2.创建虚拟FTP站点
3.虚拟FTP站点的配置与管理
虚拟FTP站点的配置与管理,与默认FTP站点完全相同。只是不再右击【默认FTP站点】,而是右击欲配置的虚拟FTP站点,并在快捷菜单中选择【属性】。详细操作,请参见上述相关内容。
需要注意的是,新创建虚拟FTP站点的属性完全继承其父FTP站点的属性,因此,在创建虚拟FTP站点前,最好在相似设置的FTP站点上创建。
9.2.7 虚拟目录
再大的硬盘也有装满时候,特别是对于那些提供软件下载的FTP站点而言。由于几乎每时每刻都有新的软件或版本问世,而这些软件可都是吃硬盘没商量的主儿。当一块硬盘被塞满了以后怎么办?再插一块硬盘并添加一个虚拟目录就成了。另外,也可以利用虚拟目录的方式为FTP站点设置拥有不同权限(只读、可写)虚拟目录,从而在更大程度上增加了FTP站点管理的灵活性和数据的安全性。
1.创建虚拟目录
需要注意的是,由于每个虚拟目录都可以分别设置不同的访问权限,因此,非常适宜于不同用户对不同目录拥有不同权限的情况,使得在进行分级管理时拥有更大程度的灵活性。所以,也可被用于Web虚拟站点和虚拟目录的维护。这在实现上非常简单,只需将欲维护的Web站点的主目录或虚拟目录所在文件夹设置为FTP虚拟目录的文件夹即可。
2.虚拟目录的管理与设置
虚拟目录建立后,也将自动开始运行。虚拟目录的配置方式与默认FTP站点基本相同,也是在【Internet信息服务】窗口的树形目录中进行。
右击欲设置的虚拟目录,在快捷菜单中选择【属性】,将显示【新建虚拟目录属性】对话框。该对话框与FTP站点对话框有所不同,因为该对话框中只包含2个属性页,分别是虚拟目录(相当于FTP站点中的【FTP站点】属性页)和目录安全性。不过,在设置方法和设置技巧上却与Web站点的设置完全相同,因此,可以参照前述相关内容进行必要的设置。
点击咨询 