如何保護ftp服務器托管主機

ftp服務器是服務器托管用戶比較常用的一種類型，同樣也是黑客們比較喜歡攻擊的一種服務器類型，所以日常的安全維護工作這時就顯得尤為重要了。

1.禁止系統(tǒng)級用戶登錄FTP服務器。

為員工設置單獨的FTP帳戶可以提高FTP服務器的安全性。最好不要將系統(tǒng)級用戶用于普通用戶，這會帶來很大的安全風險。在VSFTP服務器中，可以通過配置文件vsftpd.ftpusers管理登錄帳戶。但是，此帳戶是黑名單，該帳戶中列出的人將無法使用其帳戶登錄FTP服務器。部署VSFTP服務器后，我們可以使用vi命令查看此配置文件，并發(fā)現(xiàn)它已經(jīng)具有許多默認帳戶。其中，系統(tǒng)的超級用戶根也位于其中?？梢钥闯觯鲇诎踩?，默認情況下，VSFTP服務器禁止root帳戶登錄FTP服務器。如果系統(tǒng)管理員想登錄FTP服務器（例如root），則需要刪除該配置文件中的root和其他相關用戶名。但是，允許系統(tǒng)帳戶登錄FTP服務器將對其安全性產(chǎn)生負面影響，因此，我不建議系統(tǒng)管理員使用它。最好不要更改此文件中的相關系統(tǒng)帳戶管理員，并保留這些帳戶的設置。

如果由于其他原因需要禁用其他帳戶，則可以將帳戶名添加到此文件中。例如，F(xiàn)TP服務器和數(shù)據(jù)庫服務器可以同時部署在服務器上。因此，出于安全原因，將數(shù)據(jù)庫管理員的帳戶包括在此黑名單中是一種很好的做法。

第二，加強對匿名用戶的控制。

匿名用戶是未在FTP服務器中定義的那些帳戶，并且FTP系統(tǒng)管理員仍需要登錄才能輕松管理。但是，他們畢竟還沒有獲得服務器的授權(quán)。為了提高服務器的安全性，它們必須限制其權(quán)限。 VSFTP服務器上還有許多參數(shù)可用于控制匿名用戶的權(quán)限。系統(tǒng)管理員需要根據(jù)FTP服務器的安全級別進行相關的配置工作。需要說明的是，匿名用戶權(quán)限的控制越嚴格，F(xiàn)TP服務器的安全性就越高，但是用戶訪問的便利性也降低了。因此，系統(tǒng)管理員仍然需要在服務器安全性和便利性之間取得平衡。

以下是匿名用戶的一些推薦配置。如果您不知道如何配置它們，則可以參考這些配置。這些配置考慮了服務器的安全性和用戶的便利性。

一個是參數(shù)anon_world_可讀_only。該參數(shù)主要用于控制匿名用戶是否可以從FTP服務器下載可讀文件。如果FTP服務器部署在企業(yè)內(nèi)部并且主要供內(nèi)部員工使用，則最好將此參數(shù)設置為YES。然后在它們上面放一些公共可用的表單，例如公司通用表單，以便員工可以匿名下載這些文件。這不會影響FTP服務器的安全性，但也會為其他員工帶來便利。

第二個是參數(shù)anon_upload_enable。該參數(shù)表示匿名用戶是否可以通過匿名訪問將文件上傳到FTP服務器。通常，此參數(shù)應設置為“否”。也就是說，在匿名訪問期間，不允許用戶上傳文件。否則，如果任何人都可以上載文件，如果另一方上載了病毒文件，則企業(yè)將不會受到影響。因此，應禁止匿名用戶上傳文件。但是有一些例外。例如，某些企業(yè)使用FTP協(xié)議備份文件。此時，如果可以保證企業(yè)網(wǎng)絡的安全性，則可以將此參數(shù)設置為YES，從而允許操作系統(tǒng)調(diào)用FTP命令來備份FTP服務器上的文件。