保護FTP 做好Serv-U安全防范

　　Serv-U是目前搭建FTP服務器使用最普遍的服務器軟件之一，因此如何用它搭建一個安全的FTP服務器是眾多用戶苦心鑽研的事情。下面就將筆者在日常使用中總地出來的防范經驗與大家一起共享。

　　一、安裝時的兩點注意

　　在安裝Serv-U時， 就應該注意盡量不要將其安裝在默認的C:\Program Files\Serv-U目錄下，應該更換一個不易被猜測到的目錄。其次在安裝時選擇安裝組件時，一般只要選中“Server program files”和“Administrator program files”兩項即可，而另外的“ReadMe and Version text files”和“Online help files”則是說明和在線幫助不需要安裝。相同的道理，在安裝其它應用軟件時，尤其是服務器類軟件時，應遵守“夠用”的原則，即只安裝需要使用的組件即 可。

　　二、初次設置尤重要

　　安裝好Serv-U初次運行時，會自動彈出創建域和賬戶操作向導窗口。由於使用向導創建的賬戶會帶來一些未知的安全問題，因此在這裡建議單擊“取消”按鈕，改用手工來創建。

　　在Serv-U處於運行狀態時，我們需要修改默認的管理口令。因為默認的口令為空，對此我們中需要單擊主界面上“設置/更改密碼”按鈕，在彈出的“設置或更改管理員密碼”窗口，此時在“新密碼”和“重復新密碼”窗口中連續輸入自己欲設置的口令，注意一定要設置的復雜一些（圖1）。這樣用戶在設置一些本地服務時將必須輸入口令才能完成。

　　三、賬戶設置須仔細

　　1.賬戶失效時間

　　對於新賬的賬戶，必須認真設置其權限。首先如果賬戶有使用時間限制，那麼一定需要在“帳號”標簽中設置帳戶自動“移除”的時間，這主要是針對一些臨時賬戶用戶。

　　2.防范大容量文件攻擊

　　其次為了防范大容量文件攻擊，IT8G.COM 提醒大家需要限制最大速度。切換到“常規”標簽，我們可以看到默認狀態下“最大上傳速度”和“最大下載速度”都是空白一片，則表示沒有限制，這樣一些黑客 就會這個漏洞傳送大容量的文件，從而導致FTP處理不過來使程序停止響應或自動關閉。因此，用戶可以根據需要填寫一個限制的速度，單位是KB/秒，一般填 寫1000KB/秒左右為宜。另外“空閒超時”和“會話超時”也建議設置一個數值，通常的10分鐘左右即可。

　　3.目錄訪問權限

　　一般來說，我們不需要將多余的權限授予用戶。因此，中需要根據其賬戶類型，在“目錄訪問”標簽中選擇相應的操作類型即可。但是有一點需要注意的 是，不管是什麼用戶，建議都不要授予其“運行”權限，因為在取得webshell後就可以很容易的運行攻擊程序來破壞Serv-U的正常工作。

　　4.限制訪問來源

　　通常情況下，用戶登錄FTP時的IP地址都相對固定，即使是使用ADSL這類撥號上網動態IP地址用戶，其用於自動分配的IP地址都是有一個相對固定的范圍的。對此，我們可以切換到“IP訪問”標簽，將“編輯規則”設為“允許訪問”，然後在“規則”中輸入允許訪問的IP地址或IP地址段，輸入之後單擊“添加”按鈕，可以添加多條規則。

　　另外我們也可以從系統日志中查找蛛絲馬跡，發現來明不明的IP地址，可以將其添加到“拒絕訪問”列表中。

　　四、啟用SSL

　　默認狀態下，Serv-U的數據傳輸都是以明文方式傳送的，這樣很容易被一些嗅探工具捕獲。對此，我們可以啟用SSL加密。

　　首先在Serv-U的管理窗口左側選擇“本地服務器”下的“設置”項，在右側選擇“SSL證書”標簽，然後在“普通名稱”中填入實際使用的FTP地址，其它的項目隨便填寫，填好後單擊“應用”按鈕完成SSL證書的創建。

　　接下來，我們就可以在域列表中選擇自己已經創建好的域，然後在右側的“安全性”下拉菜單中選中“只允許SSL/TLS進程”選項，再單擊“應用”按鈕即可啟用當前域的SSL加密功能了。

　　不過要注意的是，啟用SSL加密後，默認的FTP端口21將被改成990，對此需要告知用戶，否則無法成功連接到FTP服務器。

　　五、認真查閱日志

　　用戶訪問FTP服務器，Serv-U都會忠誠的做下詳實的記錄，這些記錄中包括用戶訪問的IP地址、連接時間、斷開時間、上傳下載的文件等。在 管理窗口左側選擇要查看的域，然後再選擇“活動”項，在右側選擇“域日志”，這樣在這裡即可顯示詳細的日志信息了。通過這些日志信息可以判斷是否有惡意攻 擊。