如何提高ftp服务器的安全性

FTP文件传输协议。有时我们给他的形象文件交换集中的FTP文件服务器的主要目的是提供文件存储空间，用户可以上传或下载所需的文件。在企业中，他们经常为客户提供特定的FTP空间，让他们可以用一些大文件很容易沟通，如大型设计图纸上。同时，FTP也可以作为一个企业的文件备份服务器，如数据库和其他关键应用的FTP服务器上的关键应用，等等。

可以看出，在企业的FTP服务器上的应用是非常广泛的。这是因为它的功能很强大，很多黑客和病毒开始关注他。他们试图用FTP服务器作为跳板，作为传播木马和病毒的来源同时，企业的很多有价值的内容存储在FTP服务器。经济利益的诱惑下，FTP服务器也是别人的攻击对象。

所以，FTP服务器的安全工作越来越重要。我用FTP服务器是基于在linxu操作系统平台的vsftpd软件。我把这个软件为例，谈谈如何设计的FTP服务器的安全。

1。谁可以访问FTP服务器

当考虑到FTP服务器的安全性，考虑的第一步是谁可以访问FTP服务器，Vsftpd的服务器软件，三类用户提供默认。不同的用户对应不同的权利和运作方式。

一个类是真实帐户，这种类型的用户指的是在FTP服务上有一个帐户。当这些用户登录到FTP服务器时，默认主目录是由其帐户命名的目录。但是，它也可以被更改为其他目录，如系统的主目录等。

第二型帐户是一个真正的guest用户，FTP服务器，我们经常设置不同部门帐户或特定用户。然而，这个帐户有一个特点，它只能访问自己的主目录。服务器保证其他文件的安全在这样FTP服务。这种户口在Vsftpd被称为软件客用户。这样的一个帐户的用户只能访问其主目录下的目录，而不是访问主目录之外的文件。

第三种类型的帐户是匿名（匿名）用户，这就是我们通常称之为匿名访问。这种类型的用户引用FTP服务器中没有指定的帐户，但它仍然可以匿名访问某些公共资源。

当我们建立一个FTP服务器，我们需要根据用户的类型分类的用户，默认情况下，会将所有的vsftpd服务器建立账户的真实用户。但是，这往往不符合企业安全的需要。由于这类用户不仅可以访问自己的主目录，但也访问其他用户的目录。这带来了一定的安全隐患的空间，其他用户的位置。因此，企业应修改与实际情况按照用户类别。

改性的方法：

第一步：修改 / / / vsftpd.conf vsftpd等文件。

默认情况下，只有真正的和匿名的两类用户启用。如果我们要使客人类的用户，我们需要启用这个选项。修改 / / / vsftpd.conf vsftpd等文件删除chroot_list_enable = yes前面的注释。当系统删除，房型帐户将被自动启用。

第二步：修改 / / vsftpd.conf文件等。

如果你想指定一个FTP服务器的来宾帐户一个帐户，你需要将用户添加到该文件。通常，在FTP服务器上的文件，不需要用户手动创建。后与vi命令创建这个文件，你可以添加FTP帐户的建立文件。在这种情况下，一个账户是一种真正的用户，当他们登录到FTP服务器，他们只能访问自己的目录，可以在不改变主目录。

第三步：重新启动FTP服务器。

当按照上述步骤完成配置时，需要重新启动FTP服务器，使其配置生效。我们可以重启服务器，并直接使用重启命令重新启动FTP服务。

我有一些善意的提醒来分类用户。

一是尽可能使用用户的用户类型，减少真正的类用户，一般来说，当我们建立FTP帐号时，用户只需要访问自己主目录中的文件，当用户权限过大时，其他用户文件的安全性就会受到威胁。

二是尽量不要使用匿名类型的帐户，因为它们可以不经授权访问FTP服务器。虽然访问的资源有限，但仍然是危险的。因此，最好禁用无需特殊类型的匿名类型帐户。
两。哪些帐号不能访问FTP服务器

在下列情况下，我们必须禁止这些帐户访问FTP服务器，以提高服务器的安全性。

一是一些系统帐户。如根帐户，这个帐户，默认情况下，是linxu系统管理员帐号，拥有系统最高运行和管理权限。如果允许用户登录该帐户的帐户名，用户可以访问所有的Linux系统资源，而且还可以配置系统。这明显是对FTP服务器的一个很大的伤害。因此，用户通常不允许用户登录到FTP服务器作为一个系统帐户，如根。

第二类是一些临时帐户。有时我们做一些临时性账户的暂时的需要。如果你需要在图纸和客户沟通，当绘画本身是比较大的，FTP服务器是一个很好的画图工具。在这种情况下，临时账户是客户的要求。当这些账户的使用，他们一般都加入黑名单。等到需要使用下一次。

在vstftpd服务器，它也很简单，添加一些用户列入黑名单。在Vsftpd的软件，有一个 / / vsftpd.user_lise等配置文件，该文件用于指定的帐户无法登录到服务器。我们使用vi命令来查看该文件，并在一般情况下，一些系统的帐户已被加入黑名单。FTP服务器管理员应该添加一些临时的或不再使用的账户实时黑名单。可以确保未经授权的帐户可以访问到FTP服务器的配置后，它通常没有必要重新启动FTP服务，和配置生效。

总的来说，然而，这并不影响当前会话。也就是说，当管理员管理FTP服务器，发现非法帐户登陆FTP服务器。在这一点上，管理员立即拉进黑名单的账户。但是，由于账户已经连接到FTP服务器，本届会议将不受影响。当它退出当前会话，下一次，它是连接，它将不被允许登录到FTP服务器。所以，如果你想在时间禁用此帐户，设置黑名单后，您需要手动关闭当前会话。

对于一些账户，不需要使用后，管理员不需要他加入黑名单，但它是很好的删除用户直接。同时，当用户被删除，你应该记得要删除用户的主目录。否则，越来越多的主目录将增加管理人员的工作量。在黑名单上，只有那些账户，可用于未来或不能用作FTP服务器登陆。这不仅可以减少服务器管理的工作量，而且提高FTP服务器的安全。
三，匿名帐户也可以上传文件。

系统的默认配置下，匿名类型的用户只能下载文件和上传文件。虽然这不是我们推荐的配置，但有时为了某种特殊需要，真的需要打开。例如，我用这个功能来备份用户终端档案在企业之前，设置方便，匿名访问FTP服务器上打开，和匿名帐户访问网络允许上传的文件在一个特定的文件夹。

为了允许匿名用户上传文件，首先设置一个目录，并将目录指定为具有更新权限的匿名用户。在将来，匿名用户需要上传文件时，只能在这个文件夹中传递文件，而不是像真实用户那样将文件上传到网络其他用户的文件夹中。

在文件目录设置， / / / vsftpd.conf vsftpd等配置文件被修改，匿名账户的作用下该文件启用。默认情况下，匿名账户的相关功能，如更新、目录、注释。管理员需要删除注释，和匿名帐户可以可以上传文件在一个特定的帐户。

笔者再次重申，在一般情况下，不建议用户打开一个匿名帐号文件上传功能，因为很难保证匿名账户上传，没有破坏性的程序，如病毒或木马，等。有时，虽然这个功能是打开的，它往往是有限的在IP，如果IP可以允许匿名访问和上传文件，其他账户不。这样，外部用户可以防止未经授权的访问企业的FTP服务器没有授权。如果用户拥有合法的帐户，它可以降落在外部网络的FTP服务器。

总之，在FTP服务器的安全管理中，主要涉及三个方面的问题：第一，未经授权的用户不能上传文件到FTP空间；二、用户不能访问未授权目录，并对这些目录文件进行更改，包括删除和上传。三，FTP服务器本身的稳定性，通过以上三种方法可以有效地解决以上三个问题中的前两部分，相信管理员可以灵活地使用上述方法，在保证企业应用的早期，提高FTP服务器的安全性。