第一篇:合理配置IIS_提高FTP服務器的安全性.
《中國有線電視》2006(08 C H I N A D I G I T AL C ABL E TV#有線廣角#中圖分類號:TP393.093文獻標識碼:E文章編號:1007-7022(200608-0807-03 合理配置II S,提高 FTP服務器的安全性 t郝廣鑫1,王可君2(1.濮陽市華龍國稅局,河南濮陽457000;2.河南有線電視集團公司濮陽分公司,河南濮陽457000 摘要:FTP服務器是在互聯網上提供存儲空間的計算機,它們依照FTP協議提供服務。W i n do w s系統中的IIS提供了FTP的功能,闡述如何對II S進行合理的配置,以提高FTP服務器的安全性。
關鍵詞:II S;FTP服務器;安全性
Rational A llocation of II S to I mprove FTP Servers Security t HAO Guang-x i n1,WANG Ke-j u n2(1.Puyang H ua l o ng State Adm i n istration of Taxati o n,H enan Puyang457000,Chi n a;2.H enan Cable Corpo ration Puyang Branch,H enan Puyang457000,Ch i n a Abst ract:FTP servers i s the co m puter prov i d i n g storage space i n Interne.t They pr ov i d e serv ices i n accor dance w it h the fil e transfer pr o toco.l IIS inW i n do
w s syste m pr ov i d es FTP serv ices,the article exp lai n ed ho w a rea-sonable IIS configuration to g reatl y enhance the security of the FTP servers.K ey w ords:IIS;FTP servers;security 一個廠家直銷點,在鍋面噴上/羅田廣電0字樣,將衛星接收機貼上/專賣0標記,在銷售安裝價格上按廠家定價適當加入管理費,這樣既解決了管理與收費的矛盾,同時又方便了對非法銷售和非法安裝使用的管理。在實行/專賣0管理的同時,我們把全縣劃分為兩大區域,即有線電視覆蓋區域和非覆蓋區域,在覆蓋區域內嚴格禁止安裝使用衛星天線,在非覆蓋區域內,凡農戶有使用衛星天線愿望的,必須由當地鄉鎮廣播電視站把好初審關,并由農戶寫出書面申請,同時自愿簽訂用戶責任保證書,由廣播電視部門組織安裝,并鎖定衛星天線方位,接收境內電視節目。
6切實解決山區農民看電視難的問題
縣廣播電視局大力加強廣播電視/村村通0和/戶戶通0工程建設,近幾年來先后完成271個行政村的/村村通0工作,發展6000多個用戶,同時投資800多萬元建設鄉村廣播電視光纖網,連通了12個鄉鎮和256個行政村,發展農村有線電視用戶近2萬戶,而在邊遠山區采用無線數字電視覆蓋的方式,為群眾提供高質量多套數字電視節目,這些措施從根本上消除了非法衛星電視接收設施滋生和蔓延的土壤。
上述管理措施取得明顯效果,一是基本禁止了私自銷售、安裝衛星接收設施現象;二是群眾依法使用衛星電視地面接收設施的意識增強,絕大部分用戶都辦理了相關證件;三是規范了使用程序;四是為有線電視進村入戶拓展了市場,為農村廣播電視事業的發展提供了有力保障。
[收稿日期:2006-02-06] 作者簡介:郝廣鑫(1979-,男,助理工程師,主要從事計算機網絡安全管理及系統開發工作;
王可君(1977-,女,助理工程師,主要從事點播頻道編輯制作及有線電視網絡維護工作。
807 W indo w s Ser ver2003系統的II S(I nter net I nfor m ation Server提供了FTP服務功能,由于它與W i n do w s系統本身結合緊密,且簡單易用,因此深受廣大用戶的喜愛。但是它的默認設置存在很多安全隱患,很容易成為黑客們的攻擊目標,從而造成信息泄漏甚至系統崩潰。因此,須對II S進行合理配置,以提高其安全性。
1取消匿名訪問功能
默認情況下,W i n do w s Server2003系統的FTP服務器是允許匿名訪問的,雖然匿名訪問為用戶上傳、下載文件提供方便,但卻存在極大的安全隱患,用戶不需要申請合法的賬號就能訪問FTP服務器,甚至還可以上傳、下載文件,特別是對于一些存儲重要資料的FTP 服務器,很容易出現泄密的情況,因此建議用戶取消匿名訪問功能。
在W i n do w s Server2003系統中,點擊/開始→程序→管理工具→I nternet服務管理器0,彈出管理控制臺窗口。然后展開窗口左側的本地計算機選項,就能看到II S自帶的FTP服務器,右鍵點擊/默認FTP站點0項,在菜單中選擇/屬性0,彈出默認FTP站點屬性對話框,切換到/安全賬號0標簽頁,取消/允許匿名連接0前的勾選,最后點擊/確定0按鈕,這樣用戶就不能使用匿名賬號訪問FTP服務器了,必須擁有合法賬號。
2啟用日志記錄
W i n dows日志記錄著系統運行的一切信息,但很多管理員對日志記錄功能不夠重視,為了節省服務器資源,禁用了FTP服務器日志記錄功能,這是萬萬要不得的。FTP服務器日志記錄著所有用戶的訪問信息,如訪問時間、客戶機I P地址、使用的登錄賬號等,這些信息對于FTP服務器的穩定運行具有很重要的意義,一旦服務器出
現問題,就可以查看FTP日志,找到故障所在,及時排除。因此一定要啟用FTP日志記錄。
在默認FTP站點屬性對話框中,切換到/FTP站點0標簽頁,選中/啟用日志記錄0選項,這樣就可以在/事件查看器0中查看FTP日志記錄了。
3正確設置用戶訪問權限
每個FTP用戶賬號都具有一定的訪問權限,但對用戶權限設置不合理,也能導致FTP服務器出現安全隱患。如服務器中的TOOL文件夾,只允許TOOLUS-ER賬號對它有讀、寫、修改、列表的權限,禁止其他用戶訪問,但系統默認設置中,還是允許其他用戶對TOOL文件夾有讀和列表的權限,因此必須重新設置該文件夾的用戶訪問權限。
右鍵點擊TOOL文件夾,在彈出菜單中選擇/屬性0,切換到/安全0標簽頁,刪除Everyone用戶賬號,再點擊/添加0按鈕,將TOOLUSER賬號添加到名稱列表框中,然后在/權限0列表框中選中修改、讀取及運行、列出文件夾目錄、讀取和寫入選項,最后點擊/確定0按鈕。這樣,TOOL文件夾只有TOOLUSER用戶才能訪問。
4為FTP站點配置虛擬文件夾
用一個虛擬文件夾來充當站點目錄結構的一部分,它能夠對用戶實施有效的屏蔽,即當用戶瀏覽這個站點或者從FTP命令行提交DI R命令時,它并不出現。用戶可用這兩種方式之一來連接到這個虛擬文件夾:在瀏覽器或FTP命令行中明確指定這個文件夾,或者使用一個同這個虛擬文件夾的別名相匹配的用戶賬號來連接。
打開II S控制臺,在希望創建該文件夾的FTP站點上單擊鼠標右鍵,然后選擇新建->虛擬目錄命令,根據向導提示輸入文件夾別名、路徑名和讀寫屬性即可。5啟用磁盤配額
FTP服務器的磁盤空間資源是寶貴的,無限制地讓用戶使用,勢必造成巨大的浪費,因此要對每位FTP用戶使用的磁盤空間進行限制。下面筆者以TOOL USER 用戶為例,將其限制為只能使用100MB磁盤空間。
在資源管理器窗口中,右鍵點擊TOOL文件夾所在的硬盤盤符,在彈出的菜單中選擇/屬性0,切換到/配額0標簽頁,選中/啟用配額管理0復選框,激活/配額0標簽頁中的所有配額設置選項。為了不讓某些FTP用戶占用過多的服務器磁盤空間,一定要選中/拒絕將磁盤空間給超過配額限制的用戶0復選框。然后在/為該卷上的新用戶選擇默認配額限制0框中選擇/將磁盤空間限制為0單選項,在后面的欄中輸入100,磁盤容量單位選擇為/MB0,再進行警告等級設置,在/將警告等級設置為0欄中輸入/960,容量單位也選擇為/M B0,這樣就完成了默認配額設置。此外,還要選中/用戶超出配額限制時記錄事件0和/用戶超過警告等級時記錄事件0復選框,以便將配額告警事件記錄到W i n do w s日志中。
點擊配額標簽頁下方的/配額項0按鈕,打開磁盤配額項目對話框,點擊/配額→新建配額項0,彈出選擇用戶對話框,選中TOOLUSER用戶后,點擊/確定0按鈕,在/添加新配額項0對話框中為TOOLUSER用戶設置配額參數,選擇/將磁盤空間限制為0單選項,在后面的欄中輸入/1000,在/將警告等級設置為0欄中輸入/960,它們的磁盤容量單位均為/M B0,最后點擊
808 郝廣鑫等:合理配置IIS,提高FTP服務器的安全性《中國有線電視》2006年第08期
/確定0按鈕,完成磁盤配額設置,這樣TOOLUSER用戶就只能使用100M B磁盤空間,超過96M B就會發出警告。
6TCP/I P訪問限制
為保證FTP服務器的安全,我們還可以拒絕某些I P地址的訪問。在默認FTP站點屬性對話框中,切換到/目錄安全性0標簽頁,選中/授權訪問0單選項,在/以下所
列除外0框中點擊/添加0按鈕,彈出/拒絕以下訪問0對話框,這里可以拒絕單個I P地址或一組I P 地址訪問,以單個I P地址為例,選中/單機0選項,在/I P地址0欄中輸入該機器的I P地址,最后點擊/確定0按鈕,這樣添加到列表中的I P地址都不能訪問FTP服務器了。
7合理設置組策略
通過對組策略項目的修改,也可以增強FTP服務器的安全性。在W indo w s Server2003系統中,進入/控制面板→管理工具0,運行本地安全策略工具。
(1審核賬戶登錄事件
在本地安全設置窗口中,依次展開/安全設置→本地策略→審核策略0,在右側的框體中找到/審核賬戶登錄事件0項目,雙擊打開該項目,在設置對話框中選中/成功0和/失敗0這兩項,最后點擊/確定0按鈕。該策略生效后,FTP用戶的每次登錄都會被記錄到日志中。
(2增強賬號密碼的復雜性
一些FTP賬號的密碼設置得過于簡單,就有可能被破解。為了提高FTP服務器的安全性,必須強制用戶設置復雜的賬號密碼。
在本地安全設置窗口中,依次展開/安全設置→賬戶策略→密碼策略0,在右側框體中找到/密碼必須符合復雜性要求0項,雙擊打開后,選中/已啟用0單選項,點擊/確定0按鈕。然后,打開/密碼長度最小值0項,為FTP賬號密碼設置最短字符限制,這樣密碼的安全性就大大增強了。
(3賬號登錄限制
有些非法用戶使用黑客工具,反復登錄FTP服務器,來猜測賬號密碼。這是非常危險的,因此建議大家對賬號登錄次數進行限制。
依次展開/安全設置→賬戶策略→賬戶鎖定策略0,在右側框體中找到/賬戶鎖定閾值0項,雙擊打開后,設置賬號登錄的最大次數,如果超過此數值,賬號會被自動鎖定。打開/賬戶鎖定時間0項,設置FTP賬號被鎖定的時間,賬號一旦被鎖定,超過這個時間值才能重新使用。
8不使用FTP默認的端口號
FTP服務默認的端口號是21,這也是具有一定網絡知識的人所熟知的,這個端口非常容易被黑客或木馬所利用。在創建FTP服務器時應盡量不使用21作為FTP服務的端口號,這樣就可以大大提高FTP服務器的安全性,有效避免網絡惡意攻擊。
通過以上合理配置,FTP服務器就會更加安全,但沒有絕對的安全,我們還更應重視平時的維護工作,如:及時更新系統補丁阻塞漏洞、定期查看系統日志、做好重要數據的備份等等。
參考文獻: [1]周學毛.網站規劃建設與管理維護[M].北京: 電子工業出版社,2001.[2]Jeffer y R fShapiro.W i n do w s Server2003寶典 [M].楊秀梅,林潤生,蓋江南,譯.北京:電子工 業出版社,2003.[3]梁軍,毛振寰.計算機網絡與信息安全[M].北京:北京郵電大學出版社,2005.[4]程迎春.W i n dow s安全應用策略和實施方案手冊 [M].北京:人民郵電出版社,2005.[收稿日期:2006-03-06] 敬告作者:投稿注意事項
1.請作者務必以電子郵件方式投稿,郵件地址為: E-m ai:l ccatvbjb@ma i.l x jtu.edu.cn。2.稿件正文字號以5號字為宜,不可再小。
3.除了維護維修技術一類的稿件,其余稿件均應有摘要、關鍵詞、作者單位、作者簡介、所在省市(縣、郵編,并將文題、作者單位、摘要、關鍵詞譯為英文。
4.來稿必須注明作者通信地址、郵編、聯系電話,以便投寄樣刊。
809《中國有線電視》2006年第08期郝廣鑫等:合理配置II S,提高FTP服務器的安全性
第二篇:FTP服務器優缺點分析
FTP服務器優缺點分析
1、FTP協議:
a)FTP 是File Transfer Protocol(文件傳輸協議)的英文簡稱,而中文簡稱為“文傳協議”。用于Internet上的控制文件的雙向傳輸。同時,它也是一個應用程序(Application)。用戶可以通過它把自己的PC機與世界各地所有運行FTP協議的服務器相連,訪問服務器上的大量程序和信息。FTP的主要作用,就是讓用戶連接上一個遠程計算機(這些計算機上運行著FTP服務器程序)察看遠程計算機有哪些文件,然后把文件從遠程計算機上拷到本地計算機,或把本地計算機的文件送到遠程計算機去。b)原理:FTP采用“客戶機/服務器”方式,用戶端要在自己的本地計算機上安裝FTP客戶程序。FTP客戶程序有字符界面和圖形界面兩種。字符界面的FTP的命令復雜、繁多。圖形界面的FTP客戶程序,操作上要簡潔方便的多。以文件下載為例:一臺計算機上面開啟一個FTP客戶端,輸入FTP服務器地址后,開始連接,服務器響應連接并返回端口信息,連接成功后,服務器返回你所擁有權限能夠看到的文件列表,你可以通過FTP命令下載想要的文件,而FTP服務器就響應你下載文件的命令,然后將文件傳輸到你的客戶端,客戶端將其保存到電腦里面。
2、FTP能做什么?
a)是自己的電腦通過FTP客戶端和互聯網能連接到世界各地的FTP服務器,實現文件共享及資源共享。
b)別人也可以通過互聯網訪問你電腦上面搭建的FTP服務器,使你的信息及資料能夠傳播到世界各地。
c)是不同類型、不同系統、不同格式的電腦之間能夠互換文件。
3、FTP的優點:
a)完全基于網絡,覆蓋范圍廣,操作更加靈活,能讓更多的人知曉和獲益。b)完善的用戶權限管理,能指定每個登陸的用戶能看到什么、做什么事情,如某個用戶只能查看和下載A目錄,但是某個用戶不僅可以查看、下載,還可以刪除、新建等。c)數據傳輸可以通過SSL、SSH2進行安全性加密,保證數據不被非法截取,安全性高。
d)使用TCP/IP協議,保證數據的準確到達。
e)傳輸速度快。當文件大于1M的時候,FTP的傳輸速率比HTTP更快,文件越大,速度越快。
4、FTP服務器種類:
a)IIS FTP:Windows系統自帶,能實現簡單的功能;
b)Serv-U:Windows下最強大、使用最廣泛的FTP服務器; c)VsFTP:Linux下使用最廣泛的FTP服務器;
d)ArGoSoft FTP:Windows平臺下的FTP服務器,可控制; e)Secure FTP:主要在安全傳輸方面做的比較好;
f)CesarFTP:免費的、適用于一般用戶的FTP服務器。g)??
5、Serv-u服務器的三個版本
a)版本1:支持25個并發連接數,最多允許50個用戶賬號;根據用戶數量收費。
b)版本2:支持最多100個并發連接數,最多允許250個用戶賬號。
c)版本3:支持無限并發、支持無限用戶,支持SSL安全協議。此版本比較適合我們對并發的需求。
6、Serv-u服務器是Windows平臺下最完善、用戶量最大,最穩定,功能最強的FTP文件服務器,支持Windows 2000及以上系統版本。
7、IIS FTP只支持賬戶管理、目錄權限設置、消息設置以及連接用戶管理功能,功能比較簡單,因此不在研究范圍內。
8、Serv-u服務器的優勢:
a)無限的連接數:這個功能與我們3G系統的數據中心并發需要比較符合,基本能夠滿足并發的需求。
b)支持文件續傳:此功能能夠保證我們的設備在斷網后重新連接上的文件續傳需求。
c)支持SSL加密驗證規范,能夠進行安全密鑰驗證,保證安全性。
d)配置簡單,功能強大,通過簡單的配置就能夠完成強大的功能,滿足我們3G系統的大部分需求。
9、Serv-u服務器對于3G系統的缺陷:
a)由于是FTP文件系統,所以任何數據都是以文件的方式進行上傳和下載到,那么這樣就要求3G系統的監護設備能夠將收集的數據保存為文件的方式然后才能夠進行上傳,雖然AT指令可以進行FTP文件的上傳,但是這個畢竟是硬件指令,所以功能不是太多,對于文件如何形成,如何上傳比較麻煩,所以這一點硬件很困難,有很大的挑戰。
b)我們的需求里面有一個是監護中心可以發送指令操縱監護設備發送數據,但是任何FTP服務器在客戶端沒有連接的情況下,都不可能主動去連接客戶端的,所以這一點也是一個比較麻煩的地方;我想到一個折中的方法,就是如果要操作監護儀發送數據,那么就首先發送一條短信指令,然后監護儀接收這個短信指令后,操作監護儀主動去連接FTP服務器,然后上傳文件。通過這個方法間接的實現類似于“專家關注”這樣一個功能,但是這個方法比較麻煩,同樣困難在監護儀方面。
c)使用FTP服務器接收到文件以后,雖然解決了并發性問題,但是依然不能解決服務器資源效率問題:因為接收到文件以后,由于都是片段文件,所以還需要進行融合,融合完成后,還必須進行分析,這里面涉及到服務器資源的利用問題。這些都是需要考慮的問題。
d)如果使用FTP服務器的話,那么任何網絡上的任何用戶,只要知道FTP服務器地址,那么都可以來訪問我們的FTP服務器,這個安全問題暫時還沒有好的辦法解決。
e)FTP服務器的每一個用戶連接,都會占用一定的帶寬資源,雖然說Serv-u服務器對連接沒有限制,但是帶寬確實最大的顯示,當同時連接的用戶數量太多,那么帶寬會被FTP服務器全部占用,任何其他使用網絡的服務或者程序,將都會得不到任何網絡帶寬,直到FTP服務器釋放出所占用的貸款資源。
f)現成的FTP服務器都可以通過簡單的配置實現,但是這些配置就限制了
10、a)
b)
c)
d)我們擴展的能力,雖然短期內可以滿足我們的需求,但是不利于長期發展。
個人的一些建議(僅僅是一些個人的看法,不對之處,望見諒!): 醫療軟件行業的發展時間比較短,并且又是3G網絡,所以這方面現階段很少有完善的中間件軟件產品或者框架;另外一方面,由于我們的3G系統需求比較特殊,除非是相關競爭公司,不然市面上很少有滿足我們全部需求的軟件產品,最多也是只能滿足部分需求,所以想找一個完整的框架或者中間件非常困難,基本上可以說沒有,除非我們可以弄到競爭公司的產品源碼;并且,由于微軟.NET框架的不斷完善,也是造成了市面上面完善的框架或中間件比較少的重要原因。不管我們使用FTP服務器或者其他服務器也好,都是一套完整的服務器,一方面,只能滿足我們自身部分的需求;另一方面,每個產品都有各自自身的優點和涉及的領域,不可能方方面面都顧及到;同時,也有自身的局限性,這樣,使用這些成熟的產品,無疑就限制了我們系統的擴展性,不利于我們后期的發展。
使用別人已經成熟的產品,那么我們的系統最終是沒有核心技術,缺乏核心競爭力的,任何人都可以模仿甚至復制,這樣顯然不是我們想要看到的。
自己寫的程序比較有競爭力,雖然初期開始的時候可能不太穩定,問題比較多,但是不斷的修改完善,時間久了,那么一套完善的、穩定的系統肯定可以開發出來,那么我們做到全國第一的目標也有可能去實現。如果從長遠的打算來說,我比較傾向于自己開發整個系統,現有的完整的我們只是借鑒其中比較好的地方;但是如果3G系統時間上面比較急的話,使用FTP服務器雖然問題多多,但是也不是不能完成。
第三篇:FTP服務器架設實驗報告
FTP(File Transfer Protocol)是文件傳輸協議的簡稱。FTP的主要作用就是讓用戶連接上一個遠程計算機(這些計算機上運行著 FTP服務器程序)察看遠程計算機有哪些文件,然后把文件從遠程計算機上拷到本地計算機,或把本地計算機的文件送到遠程計算機去。
FTP工作原理
當你啟動 FTP從遠程計算機拷貝文件時,你事實上啟動了兩個程序: 一個本地機上的 FTP客戶程序:它向 FTP服務器提出拷貝文件的請求。另一個是啟動在遠程計算機的上的 FTP服務器程序,它響應你的請求把你指定的文件傳送到你的計算機中。FTP采用 “客戶機/服務器” 方式,用戶端要在自己的本地計算機上安裝 FTP客戶程序。FTP客戶程序有字符界面和圖形界面兩種。字符界面的 FTP的命令復雜、繁多。圖形界面的 FTP客戶程序,操作上要簡潔方便的多。使用 FTP時必須首先登錄,在遠程主機上獲得相應的權限以后,方可上載或下載文件。也就是說,要想同哪一臺計算機傳送文件,就必須具有哪一臺計算機的適當授權。換言之,除非有用戶 ID 和口令,否則便無法傳送文件。匿名 FTP 是這樣一種機制,用戶可通過它連接到遠程主機上,并從其下載文件,而無需成為其注冊用戶。系統管理員建立了一個特殊的用戶 ID,名為 anonymous,Internet 上的任何人在任何地方都可使用該用戶 ID。
FTP 服務器建立可以有兩種方式,一是利用 Windows 2000 服務器系統,另一種通過 Serv-U 等 FTP服務器軟件。
實驗內容:
1、Windows 2000 服務器安裝和配置 FTP 服務器
(1)安裝好后一般會自動彈出以下界面,點擊 NEXT。
(2)選擇“YES”,然后點擊“NEXT”。
(3)點擊“NEXT”
(4)寫入本機的 IP地址,可以不填,NEXT
(5)填寫一個描述主機的名字,可以隨便填寫,然后點擊 NEXT。
(6)是否安裝系統服務,即在機器重新啟動后可以作為系統服務自動運行,選擇“YES”,然后點擊 NEXT。
(7)創建匿名用戶,根據自己設置 FTP需要來選擇“YES”和“NO”。
一般說來,匿名訪問是以 Anonymous 為用戶名稱登錄的,無需密碼;如果你想讓用戶登陸 FTP不能匿名登陸,就選擇“NO”,這樣只有許可用戶才能登陸。
(8)創建認證用戶。選“YES”,點擊“NEXT”。
(9)創建用戶名。
(10)創建該用戶的密碼。
(11)指定認證用戶登錄 FTP后的目錄。
可以指定一個硬盤上已存在的目錄,如下圖,當用戶登陸后就可以看到“F:上網工具”文件夾中的內容。
(12)是否鎖定目錄。
鎖定后,用戶將只能認為你所指定的目錄(如 F:上網工具是根目錄,也就是只能訪問這個目錄下的文件和文件夾,這個目錄之外就不能訪問。
(13)建立用戶的權限,從上到下依次是:無權限,組管理員,域管理員,只讀管理員和系統管理員。每項的權限各不相同,這里選擇“只讀管理員”。
(14)點擊“Finish”完成配置。
3、FTP服務器測試。
方法一:用瀏覽器登陸:在瀏覽器的地址欄輸入“ftp://用戶名:用戶密碼@IP”,如:ftp://use:password@172.16.20.5
方法二:用軟件登陸,ftp 軟件有很多,較出名的有:cuteftp;leadftp;flashfxp 等。
六、小結
通過本次試驗學會了配置和管理 Windows 2000 服務器的 FTP服務,掌握 了FTP服務器的安裝與配置以及 FTP客戶端軟件的使用。
第四篇:linux ftp服務器的配置及各種知識點,本人親自總結
ftp服務器的安裝與配置 一。項目概要:
校園網提供了比較多的網絡應用服務,如:辦公系統,教學資源系統,教學管理系統,越來越多的老師和同學開始使用校園網提供的服務,他們希望校園網提供一些常用軟件的下載服務,同時教師們也希望把一些教學資料放到服務器上,以便教師間交流,學生在課后能下載學習。
隨著學習精品課程建設工作的推進,不少教師建設了課程網站,把教學資料放到網站上。還有一些教師建設了個人網站,以展示自己的科研成果。為了讓這些網站真正發揮作用,需要提供一個統一的平臺用于放置這些網站,供學生訪問。
=========== 二。ftp協議
文件傳輸協議(File Transfer Protocol)定義了一個在遠程計算機系統和本地計算機系統之間傳輸文件的標準。ftp運行在OSI參考模型的 應用層,利用傳輸控制協議TCP在不同的主機之間提供可靠的數據傳輸。
FTP服務是internet最早應用于主機之間進行數據傳輸的基本服務之一。它的特點:(1)ftp協議簡化了文件傳輸的復雜性,弄夠獨立于平臺,不受計算機和操作系統類型的限制。無論是PC、服務器,還是Windows、linux、unix操作系統,都可以作為ftp客戶端和服務器。
(2)ftp實現了可靠的數據傳輸。ftp是運行在TCP上的,這就保證了數據傳輸的正確性,并在發生錯誤的情況下修正。
(3)支持端點續傳功能,極大方便用戶并減少CPU和網絡開銷。
FTP有兩種常用的操作:
從ftp服務器上復制文件到本地計算機,成為“下載(download)”,若將文件從本機復制到服務器上,稱為“上傳(upload)”
=========== 三。FTP的傳輸模式 有兩種:
(1)主動模式(PORT模式)。主動模式的ftp客戶端發送PORT命令到ftp服務器。(2)被動模式(PASV模式)。
主動模式:ftp客戶端隨機開啟一個大于1024的端口N向ftp服務器的TCP 21端口發起連接,通過這個通道發送PORT命令,port命令包含了客戶端用于接受數據的端口N+1.在傳輸數據時,服務器通過TCP 20端口連接至客戶端的N+1端口發送數據。在此模式下,數據傳輸通道是由服務器主動建立起來的。
被動模式:在建立控制通道的時候,ftp客戶端隨機開啟一個大于1024的端口N向ftp服務器的TCP 21端口放棄連接,但建立連接后發送 的是PASV命令。ftp服務器收到PASV命令后,隨機打開一個高端端口(端口號大于1024)并通過port命令通知客戶端在在這個端口上有傳送數據的請求。客戶端連接ftp服務器此端口,然后ftp服務器通過這個端口進行數據傳送。
=========== 四。FTP的用戶
根據ftp服務器服務的對象不同,可以將ftp服務的使用者分為3類: 本地用戶,虛擬用戶和個人用戶。
如果用戶擁有提供ftp服務的服務器上的本地賬號,則為本地用戶。本地用戶可以通過自己的賬號和口令登陸服務器。當授權訪問的本地用戶登陸系統后,其登陸目錄為自己的主目錄($HOME)。本地用戶既可以下載也可以上傳。
如果用戶僅擁有登陸服務器的遠程賬號,且此賬號只能用于文件傳輸服務,則稱之為虛擬用戶。它可以通過自己的賬號和口令登陸ftp服務器。當授權訪問的虛擬用戶登陸系統后,其登陸目錄為服務器指定的目錄。通常,虛擬用戶既可上傳也可下載。
如果用戶在遠程ftp服務器上沒有賬號,稱此用戶為匿名用戶。若ftpfuwq通過匿名訪問功能,則任何用戶都可通過輸入賬號(anonmous)和口令(一般為用戶自己的郵箱)進行登陸,登陸只能訪問指定的目錄。一般,匿名用戶只具有下載功能。============ 五。FTP服務器軟件和客戶端軟件(1)ftp服務器軟件。
linux下最常用的服務器軟件有Wu-ftpd、Proftpd、Pureftpd和vsftpd等。red hat enterprise linux 5內置了vsftpd windows下使用最廣泛的ftp服務器軟件是Serv-U,設置簡單,功能強大,性能穩定。(2)ftp客戶端軟件
linux和windows都提供了登陸ftp服務器的命令行根據,linux下是lftp,windows下是ftp。windows下還有許多圖形化的ftp工具,如CuteFTP, FlashFxP等。
另外,無論是linux還是windows,都可以在瀏覽器中通過ftp協議訪問ftp服務器。==============六。安裝和啟動vsftpd服務
linux 5中的vsftpd不會默認安裝,安裝之前需要查看一下 #rpm-q vsftpd 若沒有安裝
#rpm-ivh vsftpd-2.0.5-10.3l5.i386.rpm 啟動服務
#service vsftpd start #service vsftpd status 或者
#/etc/init.d/vsftpd start
可以使用ntsysv 讓vsftpd服務在開機時自動加載 #chkconfig-level 35 vsftpd on ========== 七。配置vsftpd(1)vsftpd的配置文件
/etc/vsftpd/vsftpd.conf
vsftpd的主配置文件 /user/sbin/vsftpd
vsftpd的主程序 /etc/rc.d/init.d/vsftpd
啟動腳本
/etc/vsftpd/ftpusers
禁止訪問vsftpd的腳本文件
/etc/vsftpd/user_list
允許或禁止訪問vsftpd的用戶列表
文件
/var/ftp
匿名用戶主目錄
/ var/ftp/pub
匿名用戶的下載目錄,此目錄需賦
權限 chmod 777 pub /etc/logrotate.d/vsftpd.log vsftpd的日志文件
========== 八。主配置文件vsftpd.conf
vsftpd的主配置文件/etc/vsftpd/vsftpd.conf包含了很多配置選項,每個選項設置為一行,格式為“option=value”,注意“=”兩邊不能留空格。vsftpd.conf 文件以“#”開頭的是注釋行。
常用的配置選項有:
listen_address=ip address 提供FTP服務的IP地址
listen_port=port_value 控制連接的監聽端口,默認為21
ftp_data_port=port number FTP服務器傳輸端口值,默認為20
port_enable=yes|NO
是否允許使用主動模式,默認為YES pasv_enable=YES|NO
是否允許使用被動模式,默認為YES ascii_upload_enable=YES|NO 是否允許使用ASCII模式上傳文件,默認為NO ascii_download_enable=YES|NO
max_clients=value FTP服務器最大的連發并列數,默認值為0,表示不限最大數 max_per_ip=value 每個IP地址最大的連接并發數目,默認值為0,表示不限最大數 anonymous_enable=YES|NO 是否允許匿名登陸,默認為NO
no_anon_password=YES|N0 匿名用戶登陸時是否需要密碼,默認為NO anon_world_readable_only=YES|NO 是否只允許匿名用戶下載可閱讀文擋
local_enable=YES|NO
本地用戶是否可以登陸vsftpd,默認值為YES
guest_enable=YES|NO 虛擬用戶是否可以登陸VSFTPD,默認值為NO
userlist_deny=yes|NO 禁止還是只允許由user_list設置文件中的用戶登錄FTP服務器。此選項在user_list=yes時生效。yes,默認值,禁止文件中的用戶登錄,同時也不向這些用戶發出輸入口令信息。no,只允許在文件中的用戶登錄
write_enable=yes|no 是否可以使用任何可以修改文件的FTP的指令,比如,STOR,DELE,RNFR,RNTO,MKD,RMD,APPE以及SITE,默認值為no
dirlist_enable=yes|no 是否允許用戶列目錄,默認值為yes
download_enable=yes
chroot_local_user=yes|no 是否將本地用戶限制在家目錄,默認值為NO
anon_max_rate=value 匿名用戶的最大傳輸速率,單位是B/s,默認值為0,表示不限制
local_max_rate=value 本地用戶的最大傳輸速率,單位是B/s,默認值為0,表示不限
data_connection_timeout=value 空閑的數據連接超時時間,默認值為300s
idle_session_timeout=value 空閑用戶的超時時間,默認值為300s
tcp_wrappers=yes|no 在vsftpd中使用tcp_wrappers遠程訪問控制機制,默認值為yes------------------架設允許匿名用戶上傳的FTP服務器
<一> 外語系的老師為了共享教學資料,需架設一個FTP服務器,允許所有老師以匿名用戶登錄FTP服務器,可以瀏覽文件,上傳文件和創建文件夾,但不允許刪除和修改文件。操作步驟如下:(1)
打開vsftpd主配置文件vsftpd.conf #vi /etc/vsftpd/vsftpd.conf(2)添加匿名用戶支持
在主配置文件vsftpd.conf添加一行,打開vsftpd服務器對匿名用戶的支持
anonymous _enable=yes(3)設置匿名用戶權限
write_enable=yes
anon_upload_enable=yes
anon_mkdir_write_enable=yes
anon_world_readable_only=no
anon_other_write_enable=yes(4)添加匿名用戶本地寫權限
在/var/ftp文件夾下創建一個名為share德文件夾,并添加寫權限。#mkdir /var/ftp/share #chmod 0+w /var/ftp/share(5)重啟ftpd服務器 #service vsftpd restart =========================================== <二>架設用于維護網站內容的FTP服務器 軟件系為了維護ftp服務器,需架設一臺ftp服務器,希望通過這臺ftp服務器遠程上傳文件,創建目錄,更新網頁內容等操作。ftp服務器設置設置兩個賬號soft1和soft2。要求僅允許soft1和soft2賬號登陸ftp服務器,但不能登陸本地系統,并將兩個根目錄限制為/var/www/web,不能進入該目錄以外的任何目錄。
步驟如下:(1)
建立維護網站內容的soft1和soft2,并禁止本地登陸,然后設置其登陸口令。#useradd-a /sbin/nologin soft1 #passwd soft1 #useradd-a /sbin/nologin soft2 #passwd soft2(2)打開主配置文件vsftpd.conf(3)
配置vsftpd.conf 設置允許本地用戶登錄,禁止匿名登陸,并設置本地用戶的根目錄。anonymous_enable=no local_enable=yes local_root=/var/www/web chroot_list_enable=yes //文件中的名單可以調用 chroot_list_file=/etc/vsftpd/chroot_list
Chroot_list_file=/任意指定的路徑/VSftpd.chroot.list(4)建立/etc/chroot_list文件 #touch /etc/vsftpd/chroot_list #vi /etc/vsftpd/chroot_list
添加 soft1 soft2(5)開啟禁用SElinux的ftp傳輸審核功能 #setsebool-p allow_ftpd_anon_write #setsebool-p ftpd_disable_trans on(6)重啟
#service vsftpd restart(7)修改本地目錄權限
#chmod-r o+w /var/www/web =====
第五篇:ftp服務器的配置管理報告
第9章 搭建FTP服務器
FTP是File Transfer Protocol(文件傳輸協議)的縮寫,顧名思義,FTP專門用于文件傳輸服務。FTP服務也是最重要、并且應用最多的Internet服務之一,主要被用于文件下載、Web網站維護、文件交換與共享。從某種意義上講,在Web網站上必須搭建FTP服務,否則,將無法實現網站文件的更新。
9.1 FTP服務概述
9.2 FTP服務器的安裝與配置
9.3 客戶端的配置與使用
9.2 FTP服務器的安裝與配置
與Windows 2000 Server一樣,Windows Server 2003也內置有FTP服務模塊,作為IIS(Internet Information Service)的重要組成部分。雖然IIS中的FTP服務安裝較為簡單,但是,對用戶訪問權限和使用磁盤容量的限制,卻都需要借助于NTFS文件夾權限和磁盤配額實現,因此,不太適合于復雜的網絡應用。
9.2.1 安裝FTP服務器
FTP服務并不是應用程序程序器的默認組件,所以,在以應用程序服務器搭建Web服務時,并不會自動安裝FTP服務,因此,必須采用添加Windows組件方式單獨安裝。
9.2.2 設置IP地址和端口
1.修改站點標識
在【FTP站點】選項卡的【說明】欄中可以設置該FTP站點的標識。該標識對于客戶端的訪問沒有任何意義,其作用只是當服務器中安裝有多個FTP服務器時,便于網絡管理員進行區分,也就是說,站點標識將作為FTP服務器的名稱顯示在【Internet 信息服務】窗口目錄樹中。例如,當【說明】框中為【默認FTP站點】時,則顯示在目錄樹中的也是【默認FTP站點】;而如果將其修改為【主FTP站點】時,則該服務器將在目錄樹中顯示為【主FTP站點】。
2.指定IP地址
在【IP地址】下拉列表中可以設置該FTP站點的IP地址。由于Windows Server 2003可安裝多塊網卡,并且每塊網卡可綁定多個IP地址,因此,服務器擁有多個IP地址是一件非常自然的事。如果不為該FTP網站指定特定的IP地址,即采用默認的【全部未分配】時,該站點將響應所有指定到該計算機并且沒有指定到其他站點的IP地址,也就是說,使用任何一個該計算機綁定的IP地址,都能成功訪問該FTP網站。例如,當該服務器擁有3個IP地址192.168.0.1、172.16.0.1和10.0.0.1時,那么,在FTP客戶端利用其中的任何一個IP地址都可以訪問該FTP服務器。默認值為【全部未分配】。
當服務器擁有兩個以上IP地址時,若欲只為該FTP服務器指定一個IP地址,可在【IP地址】下拉列表中選擇用于訪問該FTP服務器的IP地址。
3.TCP 端口
FTP默認的端口號為【21】。雖然可以將該端口更改為任意唯一的TCP端口號,但是,客戶
必須事先知道請求該端口號,否則其請求將無法連接到該FTP服務器。也就是說,當采用默認值【21】時,用戶只需通過客戶端打開ftp://ipaddress,如ftp://192.168.0.1,即可實現對該網站的訪問,而如果指定了非【21】的端口號時,必須打開ftp://ipaddress:port,如ftp://192.168.0.1:1100,才能實現對該網站的訪問。需要注意的是,端口號是必需的,因此,【TCP端口】文本框不能置空。
9.2.3 設置主目錄
所謂主目錄是指映射為FTP根目錄的文件夾,FTP站點中的所有文件全部保存在該文件夾,而且當用戶訪問FTP站點時,也只有該文件夾(即主目錄)中的內容可見,并且作為該FTP站點的根目錄。在安裝FTP服務時,將創建一個默認主目錄,其絕對路徑為C:InetPubFtproot。
1.修改主目錄位置
此計算機上的目錄 選中【此計算機上的目錄】單選按鈕,并在【本地路徑】文本框中鍵入目錄路徑,也可以單擊【瀏覽】按鈕進行選擇。建議將主目錄設置在非引導分區,以確保系統安全和正常運行。需要注意的是,在使用本地硬盤中的文件夾時,應鍵入完整路徑,例如D:FtpsiteFreeware。另外,網站主目錄既可以是某個文件夾,也可以是某個磁盤或卷集。推薦以該方式指定Web服務器的主目錄。
另一計算機上的共享位置 選中【另一計算機上的共享位置】單選按鈕,可以將新的主目錄指定為其他計算機中的文件夾。但是,當采用該選項時,另一臺計算機必須已經連入網絡并能夠實現網絡共享,而且必須將欲使用的文件目錄設置為共享。對于網絡共享,必須使用統一命名約定(UNC,Universal Naming Convention)服務器和共享名,即【服務器名共享名】。例如,欲將計算機Server2003中的Freeware文件夾作為本FTP服務器的主目錄,則需先將文件夾Freeware設置為共享文件夾,并在【網絡目錄】中鍵入
【Server2003Freeware】。
2.修改訪問權限
讀取 選中【讀取】復選框,允許用戶查看或下載存儲在主目錄或虛擬目錄中的文件。如果只允許用戶下載文件,建議只選擇該復選框。
寫入 選中【寫入】復選框,允許用戶向服務器中已啟用的目錄上傳文件。如果該站點允許所有登錄用戶上傳文件,那么,可以選中該復選框。否則,應當只取消該復選框,而只啟用
【讀取】權限。另外,再創建虛擬目錄或虛擬網站,只對特權用戶開放【寫入】權限。日志訪問 若欲將對目錄的訪問活動記錄在日志文件中,需選中【日志訪問】復選框。只有對此FTP站點啟用了日志記錄,才能記錄訪問活動。默認情況下日志是被啟用的。若欲關閉日志,只需清除【啟用日志】復選框即可。
3.目錄列表風格
只是修改顯示給用戶的目錄列表風格,對訪問權限沒有任何影響。
MS-DOS 系統默認值為【MS-DOS】方式,MS-DOS目錄列表風格以2位數格式顯示年份。UNIX UNIX目錄列表風格以4位數格式顯示年份,如果文件日期與FTP服務器相同,則不會返回年份。
9.2.4 其他高級配置
1.限制連接數量
當服務器配置較低、性能較差時,由于不能滿足大訪問量的需要而往往導致連接超時,甚至是死機的發生,因此,對于這類服務器,最好還是限制一下連接數量才是。另外,當一臺計算機上安裝有若干FTP站點時,或者兼作Web服務器時,也應當適當限制一下訪問數量,否則,僅有的網絡帶寬將全部被FTP所占用。
2.設置歡迎和提示消息
在【屬性】對話框中選擇【消息】標簽,即可對該FTP站點的歡迎等消息進行編輯和修改,當用戶訪問該FTP站點時會將這些消息顯示給用戶。
9.2.5 設置訪問安全
由于FTP站點中往往存儲著非常重要的文件或應用程序,甚至是Web網站的全部內容,所以,FTP站點的訪問安全顯得尤其重要。因此,對于一些比較特殊的FTP站點,必須進行用戶身份驗證,并限制允許訪問該FTP服務的IP地址,從而確保FTP站點安全無恙。
1.禁止匿名訪問
默認狀態下,FTP站點允許用戶匿名連接,也就是說,用戶無需經過身份認證,即可讀取FTP站點中的內容,對于安全性要求較高的站點而言,這無疑是無法接受的。選擇【安全賬戶】選項卡,取消對【允許匿名連接】復選框的選中,即可禁止用戶匿名訪問該FTP站點。當禁止匿名用戶連接后,只有服務器或活動目錄中有效的注冊用戶,才能借助于用戶名和密碼訪問該FTP服務器。
2.限制IP地址
通過對IP地址的限制,可以只允許某些特定范圍內的計算機訪問該FTP站點,基本上可以避免來自外界的惡意攻擊。該方式與用戶驗證相互結合,可以取得非常好的效果。選擇【目錄安全性】標簽,設置該FTP站點的IP地址訪問列表。
選擇【拒絕訪問】單選按鈕,單擊【添加】按鈕,即可在【授權訪問】對話框設置允許訪問的IP地址列表。
當只授予某臺或某幾臺計算機以訪問權限時,可選擇【一臺計算機】,并鍵入授權計算機的IP地址。若欲授予一批或幾批計算機以訪問權限時,則應當選擇【一組計算機】,并分別鍵入這些計算機的網絡號和子網掩碼。
有關設置策略和詳細操作,請參見本書【Web服務】中的相關內容,此處不復贅述。
3.磁盤限額
當賦予用戶寫入權限時,往往會導致用戶權限的濫用。許多用戶可能會無視網絡管理員的警告,將大量文件保存在FTP服務器,從而導致硬盤空間迅速被占用。因此,限制每個用戶寫入的數據量就成為一種必要。NTFS文件系統的磁盤限額功能可以非常好地實現這一目的,所以,在賦予用戶寫入權限的同時,最好啟用磁盤限額功能。當然,這要求磁盤分區必須采用NTFS格式,FAT32無法進行磁盤配額設置。
9.2.6 虛擬站點
當欲利用FTP實現對眾多Web站點內容的更新時,僅有一個FTP站點顯然是不夠的,因此,建立虛擬FTP站點和虛擬目錄就成為一種必要。利用虛擬FTP站點,可以很方便地將各單位的Web站點交由其操作員獨立管理,真正實現Web網站的分級管理,并大大減輕網絡管理員的勞動強度。虛擬FTP站點與默認FTP站點幾乎沒有任何區別,擁有自己的IP地址和主目錄,可以單獨進行配置和管理,可以獨立啟動、暫停和停止,并且能夠建立虛擬目錄。利用虛擬FTP站點可以將敏感信息進行有效地分離,從而提高數據的安全性,并便于數據的管理。
1.創建前的準備工作
在創建虛擬FTP站點之前,應當做好以下準備工作:綁定多個IP地址、設置默認FTP站點的IP地址、創建并共享文件夾。
2.創建虛擬FTP站點
3.虛擬FTP站點的配置與管理
虛擬FTP站點的配置與管理,與默認FTP站點完全相同。只是不再右擊【默認FTP站點】,而是右擊欲配置的虛擬FTP站點,并在快捷菜單中選擇【屬性】。詳細操作,請參見上述相關內容。
需要注意的是,新創建虛擬FTP站點的屬性完全繼承其父FTP站點的屬性,因此,在創建虛擬FTP站點前,最好在相似設置的FTP站點上創建。
9.2.7 虛擬目錄
再大的硬盤也有裝滿時候,特別是對于那些提供軟件下載的FTP站點而言。由于幾乎每時每刻都有新的軟件或版本問世,而這些軟件可都是吃硬盤沒商量的主兒。當一塊硬盤被塞滿了以后怎么辦?再插一塊硬盤并添加一個虛擬目錄就成了。另外,也可以利用虛擬目錄的方式為FTP站點設置擁有不同權限(只讀、可寫)虛擬目錄,從而在更大程度上增加了FTP站點管理的靈活性和數據的安全性。
1.創建虛擬目錄
需要注意的是,由于每個虛擬目錄都可以分別設置不同的訪問權限,因此,非常適宜于不同用戶對不同目錄擁有不同權限的情況,使得在進行分級管理時擁有更大程度的靈活性。所以,也可被用于Web虛擬站點和虛擬目錄的維護。這在實現上非常簡單,只需將欲維護的Web站點的主目錄或虛擬目錄所在文件夾設置為FTP虛擬目錄的文件夾即可。
2.虛擬目錄的管理與設置
虛擬目錄建立后,也將自動開始運行。虛擬目錄的配置方式與默認FTP站點基本相同,也是在【Internet信息服務】窗口的樹形目錄中進行。
右擊欲設置的虛擬目錄,在快捷菜單中選擇【屬性】,將顯示【新建虛擬目錄屬性】對話框。該對話框與FTP站點對話框有所不同,因為該對話框中只包含2個屬性頁,分別是虛擬目錄(相當于FTP站點中的【FTP站點】屬性頁)和目錄安全性。不過,在設置方法和設置技巧上卻與Web站點的設置完全相同,因此,可以參照前述相關內容進行必要的設置。
點擊咨詢 