跳转至

Server u安全配置

步骤一 设置并锁定用户主目录

在管理FTP服务器时,通常情况下我们并不希望用户在服务器文件系统中瞎转悠。一般来说每个用户都要有一个主目录,并且该用户的所有访问行为都应当局限与这个主目录中。 如图 3 50所示,我们设置anonymous的主目录为E:\FTPHOME,并勾选“锁定用户至根目录”防止该用户访问服务器文件系统中的其他位置。 title 图 3 50 FTP用户主目录

步骤二:目录访问权限

为了让各个FTP用户之间可以分享资源,就需要为FTP用户提供上传文件的能力,而作为管理员,就需要对用户上传的文件和用户平时下载的文件进行组织管理。 默认情况下,用户对其主目录总是有读取的权限,如图 3 51所示。用户的主目录,或者说根目录可以使用%HOME%来表示,一般这个目录下存放了服务器提供给用户下载的各个文件。 title 图 3 51 主目录访问权限 为了统一存放用户上传文件,我们在主目录下新建UPLOAD目录,允许用户写入文件,新建目录。其权限配置如图 3 52所示,注意执行权限不应当给予。 title 图 3 52 UPLOAD目录访问权限

步骤三:虚拟路径映射

在通常情况下,服务器文件系统总是分为多个磁盘的,资源文件存放在各个磁盘中的不同位置。对于FTP用户来说,直接访问这些分散的文件是很不方便的,我们可以通过虚拟路径映射这一功能,将位于文件系统任意位置的资源映射到一个相对固定的路径(一般为用户的主目录)下,从而简化用户的访问。 我们可以在用户属性的虚拟路径选项卡中为该用户添加这一映射,例如要将FTP服务器D盘Software目录下的内容提供给用户访问,我们首先建立虚拟路径映射,如图 3 53,将“D:\Software”,映射为用户主目录下的Software-D目录。 title 图 3 53 虚拟路径映射 当然,为了确保用户能够真正的访问该目录,还需要在目录访问权限中,添加该用户对“D:\Software”的访问权限,如图 3 54所示。 title 图 3 54 虚拟路径的访问权限

步骤四:IP地址限制

有些情况下,FTP服务器是提供给一组特定的对象使用的,比如对于企业内网中的FTP服务器,仅开放给内网的主机访问。这些限制可以通过IP地址规则来实现。在Serv-U中,IP地址规则这类设置可以在两个层面实施:域层面和用户层面。域层面的规则对所有用户都会生效,而用户层面的规则仅对该用户生效。 为了阻止外网用户使用匿名anonymous帐户登录FTP,我们可以在anonymous用户层次配置IP地址规则,添加“允许10.0.0.0/24访问”的规则,如图 3 55。 title 图 3 55 添加IP地址规则 由于Serv-U在检查IP地址规则时,只要添加了允许规则,便会隐式的添加“拒绝所有不匹配”的规则,因此图 3 56的规则已经限制anonymous用户只能够从10.0.0.0/24这些IP地址上登录FTP服务器。 title 图 3 56 IP访问规则

步骤五:连接速度和连接数控制

对于FTP服务器来说,用户的上传下载应当受到一定限制,不然服务器的带宽将被全部占用,正常的管理使用将受到影响。同时,为了将有限的带宽资源公平的分配给各个访问者,还应当对每个访问者,即IP地址的连接数进行限制。同IP地址规则一样,这些规则也分为域和用户两个层面。此处以用户层面的规则为例。 在anonymous用户的“限制和设置”选项卡中,我们选择限制类型为“连接”,如图 3 57,添加规则“每个用户帐户连接的最大会话数”,设置为20,即最多允许20个匿名帐户的连接;添加规则“用户帐户的每个IP连接的最大会话数”,设置为2,即每个IP地址最多使用2个匿名帐户连接。 title 图 3 57 连接数限制 选择限制类型为“数据传输”,添加规则“每个会话的最大上传速度”和“每个会话的最大下载速度”,设置为50KB/S,从而限制每个会话的速度。 title 图 3 58 速度限制

步骤六:限制过于频繁的连接

为了避免攻击者暴力破解FTP用户的密码,FTP服务器应当向Windows系统一样,锁定过于频繁登录的用户,这一点可以通过限制单位时间内的连接次数实现。该规则是域层面的规则,如图 3 59所示,如果用户在60秒内连接超过5次,则该IP地址将被阻止登录15分钟。 title 图 3 59 阻止频繁连接