宇塵網(wǎng)絡(luò)淺談服務(wù)器ftp安全技術(shù)，新手站長必看

由于FTP服務(wù)器常被用來做文件上傳與下載的工具，所以，其安全的重要性就不同一般。因為若其被不法攻擊者攻破的話，不但FTP服務(wù)器上的文件可能被破壞或者竊取；更重要的是，若它們在這些文件上下病毒、木馬，則會給全部的FTP用戶帶來潛在的威脅。所以，保護(hù)FTP服務(wù)器的安全已經(jīng)迫在眉睫。

　　策略一：口令的期限

　　有時候，FTP服務(wù)器不僅會給員工用，而且還會臨時給一個賬號給外部的合作伙伴使用。如銷售部門經(jīng)常會因為一些文件比較大，無法通過電子郵件發(fā)送，需要通過FTP 服務(wù)器把文件傳遞給客戶。所以，在客戶或者供應(yīng)商需要一些大文件的時候，就得給他們一個FTP服務(wù)器的臨時帳號與密碼。

　　現(xiàn)在的做法就是，在FTP服務(wù)器設(shè)置一個賬號，但是，其口令則是當(dāng)天有效，第二天就自動失效。如此的話，當(dāng)客戶或者供應(yīng)商需要使用FTP服務(wù)器的話，只需要更改一些密碼即可。而不需要每次使用的時候，去創(chuàng)建一個用戶；用完后再把它刪除。同時，也可以避免因為沒有及時注銷臨時帳戶而給服務(wù)器帶來安全上的隱患，因為口令會自動失效。

　　大多數(shù)FTP服務(wù)器，如微軟操作系統(tǒng)自帶的FTP服務(wù)器軟件，都具有口令期限管理的功能。一般來說，對于臨時的帳戶，就可以跟帳戶與口令的期限管理一起，來提高臨時帳戶的安全性。而對于內(nèi)部用戶來說，也可以通過期限管理，來督促員工提高密碼更改的頻率。

　　策略二：口令必須符合復(fù)雜性規(guī)則

　　現(xiàn)在由不少銀行，為了用戶帳戶的安全，進(jìn)行了一些密碼的復(fù)雜性認(rèn)證。如諸如888888等形式的密碼，已經(jīng)不在被接受。從密碼學(xué)上來說，這種形式的密碼是非常危險的。因為他們可以通過一些密碼破解工具，如密碼電子字典等等，非常輕松的進(jìn)行破解。

　　策略三：口令歷史紀(jì)錄

　　為了提高FTP服務(wù)器的安全，則為用戶指定一個不能重復(fù)口令的時間間隔，這也是非常必要的。如FTP服務(wù)器中有一個文件夾，是專門用來存放客戶的訂單信息，這方便相關(guān)人員在出差的時候，可以及時的看到這方面的內(nèi)容。這個文件夾中的資料是屬于高度機(jī)密的。若這些內(nèi)容泄露出去的話，則企業(yè)可能會失去大量的訂單，從而給企業(yè)帶來致命的影響。

　　所以，對于存放了這么敏感資料的FTP服務(wù)器，在安全性方面是不敢小視。為此，就啟用了口令歷史紀(jì)錄功能。根據(jù)這個策略，用戶必須每隔一個星期更改一次FTP服務(wù)器密碼。同時，用戶在60天之內(nèi)，不能夠重復(fù)使用這個密碼。也就是說，啟用了口令歷史紀(jì)錄功能之后，FTP服務(wù)器會紀(jì)錄用戶兩個月內(nèi)使用過的密碼。若用戶新設(shè)置的密碼在兩個月內(nèi)用過的話，則服務(wù)器就會拒絕用戶的密碼更改申請。

　　策略四：賬戶鎖定策略

　　從理論上來說，再復(fù)雜的密碼，也有被電子字典攻破的可能。為此，我們除了要采用以上這些策略外，還需要啟用“帳戶鎖定策略”。這個策略可以有效的避免不法之徒的密碼攻擊。

　　帳戶鎖定策略是指當(dāng)一個用戶超過了指定的失敗登陸次數(shù)時，服務(wù)器就會自動的鎖定這個帳號，并向管理員發(fā)出警告。通過這個策略，當(dāng)不法人士試圖嘗試不同的口令登陸FTP服務(wù)器時，由于其最多只能夠嘗試三次（假如管理員設(shè)置失敗的登陸次數(shù)最多為3），則這個帳號就會被鎖定。這就會讓他們的密碼攻擊無效。

　　在采用帳戶鎖定策略時，需要注意幾個方面的內(nèi)容。

　　一是采用手工解禁還是自動解禁。若采用手工解禁的話，則被鎖住的賬戶必須有管理員手工解禁。而若設(shè)置為自動解禁的話，則當(dāng)帳戶鎖住滿一定期限的時候，服務(wù)器會自動幫這個帳號進(jìn)行解鎖。若對于服務(wù)器的安全性要求比較高的話，則建議采用手工解禁的方式比較好。

　　二是錯誤登陸的次數(shù)設(shè)置。若這個次數(shù)設(shè)置的太多，不能夠起到保護(hù)的作用。若設(shè)置的太少的話，則用戶可能因為疏忽密碼輸入錯誤，而觸發(fā)帳戶鎖定，從而給服務(wù)器管理員憑空增加不少的工作量。為此，一般可以把這個次數(shù)設(shè)置為三到五次。這既可以保證安全性的需要，而且也給用戶密碼輸入錯誤提供了一定的機(jī)會。

　　三是遇到帳戶鎖定情況時，要能夠自動向服務(wù)器管理員發(fā)出警報。因為作為FTP服務(wù)器來說，其不能夠辨別這是惡意攻擊事件還是一個偶然事件。這需要服務(wù)器管理員根據(jù)經(jīng)驗來進(jìn)行判斷。FTP服務(wù)器只能夠提供暫時的保護(hù)作用。所以，當(dāng)出現(xiàn)帳戶鎖定的情況時，服務(wù)器要能夠向管理員發(fā)出警報，讓其判斷是否存在惡意攻擊。若存在的話，則就需采取相應(yīng)的措施來避免這種情況的再次發(fā)生。