《FTP服务器架设管理.doc》由会员分享,可在线阅读,更多相关《FTP服务器架设管理.doc(5页珍藏版)》请在三一办公上搜索。
1、FTP服务器架设管理安全详谈FTP服务器架设架设篇架设一台服务器其实很简单。首先,要保证你的机器能上网,而且有不低于 的网络速度。其次,硬件性能要能满足你的需要。最后,需要安装服务器端的软件,这类软件很多,可以使用微软的( 因特网信息服务系统),也可以使用专业软件。不同的软件提供的功能不同,适应的需求和操作系统也不同。一般来说,系统最低要求如下: 以上内存: 以上带宽: 以上至于操作系统, 均可,如果对服务器的性能和安全性要求很低,可以采用 和 。本文中,如无特殊说明,均以 专业版为操作系统,其余操作系统下服务器的架设及设置均大同小异。一、用架设如果只是想建个小型的同时在线用户数不超过个的服务
2、器,且不会同时进行大流量的数据传输,可以用 作为服务器软件来架设(只适用于 操作系统)。安装 默认安装时不安装组件,需要手工添加安装。进入控制面板,找到“添加删除程序”,打开后选择“添加删除组件”,在弹出的“组件向导”窗口中,将“信息服务()”项选中。在该选项前的“”背景色是灰色的,这是因为 默认并不安装服务组件。再点击右下角的“详细信息”,在弹出的“信息服务()”窗口中,找到“文件传输协议()服务”,选中后确定即可。安装完后需要重启。 和 的安装方法相同。设置电脑重启后,服务器就开始运行了,但还要进行一些设置。点击“开始所有程序管理工具信息服务”,进入“信息服务”窗口后,找到“默认站点”,右
3、击鼠标,在弹出的右键菜单中选择“属性”。在“属性”中,我们可以设置服务器的名称、端口、访问账户、目录位置、用户进入时接收到的消息等。)站点基本信息进入“站点”选项卡,其中的“描述”选项为该站点的名称,用来称呼你的服务器,可以随意填,比如“我的小站”;“地址”为服务器的,系统默认为“全部未分配”,一般不须改动,但如果在下拉列表框中有两个或两个以上的地址时,最好指定为公网;“端口”一般仍设为默认的端口;“连接”选项用来设置允许同时连接服务器的用户最大连接数;“连接超时”用来设置一个等待时间,如果连接到服务器的用户在线的时间超过等待时间而没有任何操作,服务器就会自动断开与该用户的连接。)设置账户及其
4、权限很多站点都要求用户输入用户名和密码才能登录,这个用户名和密码就叫账户。不同用户可使用相同的账户访问站点,同一个站点可设置多个账户,每个账户可拥有不同的权限,如有的可以上传和下载,而有的则只允许下载。)安全设定进入“安全账户”选项卡,有“允许匿名连接”和“仅允许匿名连接”两项,默认为“允许匿名连接”,此时服务器提供匿名登录。“仅允许匿名连接”是用来防止用户使用有管理权限的账户进行访问,选中后,即使是(管理员)账号也不能登录,只能通过服务器进行“本地访问”来管理。至于“站点操作员”选项,是用来添加或删除本服务器具有一定权限的账户。与其他专业的服务器软件不同,它基于用户账号进行账户管理,本身并不
5、能随意设定服务器允许访问的账户,要添加或删除允许访问的账户,必须先在操作系统自带的“管理工具”中的“计算机管理”中去设置用户账号,然后再通过“安全账户”选项卡中的“站点操作员”选项添加或删除。但对于 和 专业版,系统并不提供“站点操作员”账户添加与删除功能,只提供一个管理账号。提示:匿名登录一般不要求用户输入用户名和密码即可登录成功,若需要,可用“”作为用户名,以任意电子邮件地址为密码来登录。)设置用户登录目录最后设置主目录(即用户登录后的初始位置),进入“主目录”选项卡,在“本地路径”中选择好站点的根目录,并设置该目录的读取、写入、目录访问权限。“目录列表样式”中“”和“”的区别在于:假设将
6、设为站点根目录,则当用户登录后,前者会使主目录显示为“”,后者显示为“”。设置完成后,服务器就算真正建成了。如果前面地址为,则用户使用客户端软件(用来登录服务器的上传下载软件,如、等,如无特别说明,本文中所称客户端软件均以 为例)时,主机处填,端口填,此服务器的地址表述为:。虽然安装简单,设置较简便,但功能不强,管理也很麻烦,尤其是连新建一个基本的授权访问账户都要进行繁杂的设置,而且本身的安全性也比较差,容易受到诸如“红色代码”等专门针对漏洞进行攻击的病毒侵袭,因而很多人都喜欢使用第三方的服务器软件来架设。FTP服务器架设管理篇架设好服务器后,怎样才能更好地管理自己的,使它性能稳定并合理占用机
7、器资源和分配带宽呢?不同的服务器软件提供的管理方式、功能有所不同。一、 服务器的管理虽然安装简单,但管理功能不强,只有简单的账户管理、目录权限设置、消息设置、连接用户管理。账户管理与不同,对账户的管理按照用户账户方式进行。如果要给服务器添加一个用户名和密码均为的授权账户,首先得在中添加该账户。)在“管理工具”中打开“计算机管理”,找到“本地用户和组”下的“用户”,右击鼠标,选择“新用户”。)在弹出的“新用户”窗口中输入用户名和密码,确定后就会创建该用户。)在“管理工具”中打开“信息服务”,进入“默认站点”的“属性”设置窗口,在“安全账户”选项卡中找到“站点操作员”。在这里可以看到,系统已经默认
8、“”组所有成员为授权账户。如果你用的是 服务器版,可以点旁边的“添加”按钮,将账户添加进去,如果不是,则“添加”和“删除”按钮为灰色,不可选。能不能将账户添加进去呢?当然可以。)回到“计算机管理”,右击刚才创建的用户名,打开“属性”设置,在“隶属于”选项卡中先将默认的“”组删除,再点“添加”,在弹出的“选择组”窗口中点“高级立即查找”(图),在搜索结果中选择“”组,然后确定就可以了。)要删除某个账户,直接在“计算机管理”中删除即可。提示:这样做的缺点在于如果不是 服务器版,则你每添加一个账户,该账户就自动拥有系统管理员“”的所有权限。可以想象,一旦账户密码失窃将带来很大的安全隐患。目录管理)设
9、置虚拟目录很多时候,上传的文件多了,架设服务器当初设定的主目录所在盘空间往往就不够了,怎么办?这就需要设置虚拟目录。虚拟目录就是将其他目录以映射的方式虚拟到该服务器的主目录下,这样,一个服务器的主目录实质上就可以包括很多不同盘符、不同路径的目录,而不会受到所在盘空间的限制了。当用户登录到主目录下,还可以根据该账户的权限对它进行相应的操作,就像操作主目录下的子目录一样。如果用户被锁定在主目录下,这项功能将允许他们访问主目录之外的其它目录。这里我们假设要将目录设为目录下的虚拟目录。在“信息服务”中右击“默认站点”,选“新建虚拟目录”进行设置。在“虚拟目录别名”中填入“”,在“站点内容目录”中选择“
10、”,在“访问权限”中将“读取”和“写入”打上钩,完成后退出。以的账户登录到看看,是不是多了个“”的目录?接下来就可以往该目录里上传或下载文件了。)读写权限设置的权限设置比较简单,对每个目录只提供了三种权限:读取(允许下载)、写入(允许上传)和记录访问(在日志中记录用户对此目录的访问)。对主目录可以在“默认站点”的属性中设置,对于虚拟目录可以在虚拟目录的“属性”中设置。提示:主目录设置的权限如果与虚拟目录的权限发生冲突,则以主目录权限为准。比如主目录设置的权限为读取和写入,而的权限只设置为读取,则权限将会被主目录权限覆盖掉,自动拥有写入权限。消息设置进入“默认站点”属性中的“消息”选项卡,可以设
11、置用户登录和退出服务器时在客户端软件的状态窗口显示消息。其中,“标题”和“欢迎”将在用户登录时出现,“退出时”是当用户退出服务器时显示的告别信息。连接用户管理在“站点”选项卡中可以简单地管理连接用户。“限制为”用来设置服务器允许同时连接的最大连接数,如果不是 服务器版,不仅“无限制”选项不可选,而且最大连接数不能超过个。“连接超时”可以设置当连接用户空闲多少秒时会被服务器自动踢出,这可以有效防止用户浪费服务器最大连接数。点右下角的“当前会话”可以看到在线连接用户所用的账户及当前状态,选择其中某个用户再点“断开”可以将该用户踢除出服务器。FTP服务器架设安全篇既然是公网服务器,就难免会遭遇一些恶
12、意攻击,轻则丢失文件,重则造成服务器甚至整个系统崩溃。怎样才能最大限度地保证它的安全性呢?一、操作系统的选择服务器首先是基于操作系统而运作的,因而操作系统本身的安全性就决定了服务器安全性的级别。虽然 一样可以架设服务器,但由于其本身的安全性就不强,易受攻击,因而最好不要采用。 就像鸡肋,不用也罢。最好采用 及以上版本,并记住及时打上补丁。至于、,则不在讨论之列。二、使用防火墙端口是计算机和外部网络相连的逻辑接口,也是计算机的第一道屏障,端口配置正确与否直接影响到主机的安全,一般来说,仅打开你需要使用的端口,将其他不需要使用的端口屏蔽掉会比较安全。限制端口的方法比较多,可以使用第三方的个人防火墙
13、,如天网个人防火墙等,这里只介绍自带的防火墙设置方法。利用筛选功能在 和 中,系统都带有筛选功能,利用它可以简单地进行端口设置。以 为例,打开“本地连接”的属性,在“常规”选项中找到“协议()”,双击它打开该协议的属性设置窗口。点击右下方的“高级”按钮,进入“高级设置”。在“选项”中选中“筛选”并双击进入其属性设置。这里我们可以设置系统只允许开放的端口(图)。假如架设的服务器端口为,先选中“启用筛选(所有适配器)”,再在端口选项中选择“只允许”,点“添加”,输入端口号,确定即可。这样,系统就只允许打开端口。要开放其他端口,继续添加即可。这可以有效防止最常见的端口入侵。缺点是功能过于简单,只能设
14、置允许开放的端口,不能自定义要关闭的端口。如果你有大量端口要开放,就得一个个地去手工添加,比较麻烦。打开连接防火墙对于 系统,自带了“连接防火墙”功能,与筛选功能相比,设置更方便,功能更强大。除了自带防火墙端口开放规则外,还可以自行增删。在控制面板中打开“网络连接”,右击拨号连接,进入“高级”选项卡(图),选中“通过限制或阻止来自的对此计算机的访问来保护我的计算机和网络”,启用它。系统默认状态下是关闭了端口的,因而还要设置防火墙,打开所使用的端口。点击右下角的“设置”按钮进入“高级设置”,选中“服务器”,编辑它。由于服务默认端口是,因而除了地址一栏外,其余均不可更改。在地址一栏中填入服务器公网
15、,确定后退出即可即时生效。如果架设的服务器端口为其他端口,比如,则可以在“服务”选项卡下方点“添加”,输入服务器名称和公网后,将外部端口号和内部端口号均填入即可。三、对、等服务器软件进行设置除了依靠系统提供的安全措施外,就需要利用服务器端软件本身的设置来提高整个服务器的安全了。的安全性设置)及时安装新补丁对于的安全性漏洞,可以说是“有口皆碑”了,平均每两三个月就要出一两个漏洞。所幸的是,微软会根据新发现的漏洞提供相应的补丁,这就需要你不断更新,安装最新补丁。)将安装目录设置到非系统盘,关闭不需要的服务一些恶意用户可以通过的溢出漏洞获得对系统的访问权。把安放在系统分区上,会使系统文件与同样面临非
16、法访问,容易使非法用户侵入系统分区。另外,由于是一个综合性服务组件,每开设一个服务都将会降低整个服务的安全性,因而,对不需要的服务尽量不要安装或启动。)只允许匿名连接最大的安全漏洞在于其默认传输密码的过程是明文传送,很容易被人嗅探到。而又是基于用户账户进行管理的,因而很容易泄漏系统账户名及密码,如果该账户拥有一定管理权限,则更会影响到整个系统的安全。设置为“只允许匿名连接”,可以免却传输过程中泄密的危险。进入“默认站点”,在属性的“安全账户”选项卡中,将此选项选中。)谨慎设置主目录及其权限可以将站点主目录设为局域网中另一台计算机的共享目录,但在局域网中,共享目录很容易招致其他计算机感染的病毒攻击,严重时甚至会造成整个局域网瘫痪,不到万不得已,最好使用本地目录并将主目录设为格式的非系统分区中。这样,在对目录的权限设置时,可以对每个目录按不同组或用户来设置相应的权限。右击要设置的目录,进入“共享和安全安全”中设置,如非必要,不要授予“写入”权限。)尽量不要使用默认端口号启用日志记录,以备出现异常情况时查询原因。
