提示:监视一个用户将占用服务器较大的资源,如果活动用户数比较多,请谨慎使用此功能。
8.编辑IP访问规则
对于某些扰乱服务器秩序但又不方便删除其账户的用户,可以利用“编辑IP访问规则”(图17)允许或阻止特定的IP访问。Serv-U对用户IP访问规则的设置相当灵活,不仅可以设置允许访问本服务器的用户IP,也可以设置拒绝访问的用户IP;不仅可对每个账户进行单独编辑,也可对整个服务器所有账户进行统一编辑,还支持“*”和“?”通配符。
1)拒绝访问
对于捣蛋的用户,如果不方便删除其账户,可以从“域日志”中查找到该用户连接的IP。在“规则”文本框中,点击“添加”,Serv-U就会将此规则添加到下方的“IP访问规则”列表框中。这对于那些拥有固定IP的用户相当有效。但如果该用户是拨号上网用户,只要断线后重新拨号,就会获得一个新IP,显然,此IP访问规则对于该用户来说已经失效。要解决此问题,就要用到通配符和“-”符号。假设我们要屏蔽的用户IP是192.168.X.X,可以在“规则”中输入192.168.*.*,也可以输入192.168.?.?-192.168.???.???或者192.168.0.0-192.168.255.255,效果一样。合理使用这些符号,还可以有效防止黑客攻击。
2)允许访问
如果想将自己的FTP站点仅供几个特定的用户使用,可以选中“允许访问”,在“规则”中输入特定用户的IP,再点“添加”。同样,如果特定用户的IP是动态IP,可以使用通配符和“-”符号进行设置。
其实作为站长,更多的时候需要将两种规则灵活混用,比如从拒绝访问的IP中设置某个IP为允许访问,抑或相反。需要提醒的是:对于某些局域网用户,比如网吧,如果将其IP设置为拒绝访问,则整个局域网都将会被服务器屏蔽掉。
9.服务器带宽等资源管理
对于服务器来说,最重要的就是如何保证服务器带宽等系统资源及其性能不被浪费。为此,还需要进行一些设置,进入“本地服务器→设置→常规”选项卡(图18)。
“最大速度”:即可以使用的最大带宽(KB/秒),根据服务器总带宽资源填入合适的数值。如果不填数值,Serv-U将使用所有可用的带宽,这样当连接的用户达到一定数量时,会导致服务器上其他的网络应用不可用。以512Kbps ADSL为例,最好设置为50KB/秒或以下。
“最大用户数”:设置在同一时间内允许连接到本服务器的最大用户数。由于每个连接到服务器的用户即使不上传、下载任何文件,也会占用一定带宽,因而最好进行设置,否则系统不会控制登录用户数,直至为此耗尽所有资源。
“删除部分已上传的文件”:删除不完整的上传文件。如果选择此项,系统会自动删除没有完全上载的文件,以最大可能地节省服务器硬盘空间。是否选择,要视服务器用户平时上传的文件大小决定。
“禁用反超时调度”:很多FTP服务器为了防止用户长时间不操作却占用带宽及连接数而做了超时设置,当用户连接超过一定时间但未做任何操作,就会被服务器自动踢除。针对这点,一些FTP客户端程序会自动向服务器端发送一些命令,以保证不被踢除。如果选择此项,服务器将采用一种独特的计时方式以防止FTP客户端程序的这些反超时设置。建议选择。
“拦截连接超过×次于×秒×分钟”:用来设置如果一个用户在×秒内持续连接了×次,那么屏蔽他的IP地址×分钟,可以有效防止用户使用如网络蚂蚁等高速多线程下载软件连接服务器。
以上的设置对于“域”下所有服务器都有效。但是这些设置对于具体的某个FTP服务器或某个账户来说过于粗浅,不利于细致地管理。不过不要紧,Serv-U针对每个服务器下的每个账户都提供了细化的设置功能。可进入该账户的“常规”选项卡:
“只允许X从相同的IP登录”:很多用户在下载两个或两个以上文件时,为了节省下载等待时间,往往会同时打开两个以上的FTP客户端软件登录。对于服务器来说,每个登录进程实际上就是一个用户,这样不仅占用了系统带宽,而且挤占了其他用户的登录权。这就需要选中此选项来防止此种情况。选中后,服务器就只允许某个IP同时最多有X个连接。
“最大上传速度和最大下载速度(KB/秒)”:用来设置该账户用户最大的上传/下载速度。对于特定账户,可以设置得比一般账户高些,以体现特权。
“空闲超时和任务超时(秒)”:“空闲超时”用来设置当用户空闲超过一定时间时就会被服务器自动踢除以免占用资源,“任务超时”设置当用户与服务器进行每个任务时,超出一定时间就会被系统自动踢除。
“最大用户数量”:设置在同一时间内用此账户登录服务器的最大用户数。
完成这些设置后,实际上你已经拥有一台处于准专业管理水平下的准专业FTP服务器了。之所以还只是准专业管理水平,是因为你还没有实现当今最时尚最炫的远程管理功能。
10.实现远程FTP服务器管理
有没有想过在家中架设FTP服务器,在办公室也可以像坐在家中一样对服务器进行各种设置和管理呢?Serv-U就提供了这种远程管理功能。为方便说明,先假设我们在家中用Serv-U架设了一个名为“MyFtp”的FTP服务器,地址是ftp://218.1.1.1,端口是21,现在要在办公室用用户名和密码均为dys的账户进行远程管理。
1)先创建一个拥有远程管理权限的账户
新建一个用户,用户名和密码均设为dys。创建后,进入dys账户的“账号”选项卡,找到“权限”下拉列表框(图19)。这里除了一般用户的“没有权限”外,有四个远程权限可供选择:
“组管理员”:可以进行远程管理,但只能对本组用户进行管理,不能对服务器进行管理。
“域管理员”:可以进行远程管理,但只能对本域进行管理,不能添加新域。
“系统管理员”:可以进行远程管理且具有全部权限。
“只读管理员”:主要用来进行远程诊断,可以看到全部的服务器设置但不能够进行修改。
这里,我们选择“系统管理员”,然后保存。
2)在办公室机器上安装并设置好Serv-U
安装好后,架设服务器向导可以随意填。选中左边窗口中的“Serv-U”服务器,右击,选“新建服务器”。在弹出的向导窗口中,“IP地址”填入要被管理的服务器IP,这里填入218.1.1.1,“端口号”填入被管理服务器的端口,这里填21。“FTP服务器名称”可以随意,这里输入“远程管理MyFtp”,“用户名称”和“密码”中输入被管理服务器上已经设置好的具有远程管理权限的账户名和密码。完成后如图20。
3)与远程FTP服务器建立连接并进行管理
双击“远程管理MyFtp”与家中的服务器建立连接。连接上后,此时你就可以像在家里一样对服务器进行各种设置和管理了,是不是很方便。
安全篇
既然是公网FTP服务器,就难免会遭遇一些恶意攻击,轻则丢失文件,重则造成FTP服务器甚至整个系统崩溃T怎样才能最大限度地V证它的安全性呢?
一、操作系统的选择
FTP服务器首先是基于操作系统而运作的,因而操作系统本身的安全性就决定了FTP服务器安全性的级别。虽然Windows 98/Me一样可以架设FTP服务器,但由于其本身的安全性就不强,易受攻击,因而最好不要采用。Windows NT就像鸡肋,不用也罢。最好采用Windows 2000及以上版本,并记住及时打上补丁。至于Unix、Linux,则不在讨论之列。
二、使用防火墙
端口是计算机和外部网络相连的逻辑接口,也是计算机的第一道屏障,端口配置正确与否直接影响到主机的安全,一般来说,仅打开你需要使用的端口,将其他不需要使用的端口屏蔽掉会比较安全。限制端口的方法比较多,可以使用第三方的个人防火墙,如天网个人防火墙等,这里只介绍Windows自带的防火墙设置方法。
1.利用TCP/IP筛选功能
在Windows 2000和Windows XP中,系统都带有TCP/IP筛选功能,利用它可以简单地进行端口设置。以Windows XP为例,打开“本地连接”的属性,在“常规”选项中找到“Internet协议(TCP/IP)”,双击它打开该协议的属性设置窗口。点击右下方的“高级”按钮,进入“高级TCP/IP设置”。在“选项”中选中“TCP/IP筛选”并双击进入其属性设置。这里我们可以设置系统只允许开放的端口(图21)。假如架设的FTP服务器端口为21,先选中“启用TCP/IP筛选(所有适配器)”,再在TCP端口选项中选择“只允许”,点“添加”,输入端口号21,确定即可。这样,系统就只允许打开21端口。要开放其他端口,继续添加即可。这可以有效防止最常见的139端口入侵。缺点是功能过于简单,只能设置允许开放的端口,不能自定义要关闭的端口。如果你有大量端口要开放,就得一个个地去手工添加,比较麻烦。
2.打开Internet连接防火墙
对于Windows XP系统,自带了“Internet连接防火墙”功能,与TCP/IP筛选功能相比,设置更方便,功能更强大。除了自带防火墙端口开放规则外,还可以自行增删。在控制面板中打开“网络连接”,右击拨号连接,进入“高级”选项卡(图22),选中“通过限制或阻止来自Internet的对此计算机的访问来保护我的计算机和网络”,启用它。系统默认状态下是关闭了FTP端口的,因而还要设置防火墙,打开所使用的FTP端口。点击右下角的“设置”按钮进入“高级设置”,选中“FTP服务器”,编辑它。由于FTP服务默认端口是21,因而除了IP地址一栏外,其余均不可更改。在IP地址一栏中填入服务器公网IP,确定后退出即可即时生效。如果架设的FTP服务器端口为其他端口,比如22,则可以在“服务”选项卡下方点“添加”,输入服务器名称和公网IP后,将外部端口号和内部端口号均填入22即可。
三、对ⅡS、Serv-U等服务器软件进行设置
除了依靠系统提供的安全措施外,就需要利用FTP服务器端软件本身的设置来提高整个服务器的安全了。
1.ⅡS的安全性设置
1)及时安装新补丁
对于ⅡS的安全性漏洞,可以说是“有口皆碑”了,平均每两三个月就要出一两个漏洞。所幸的是,微软会根据新发现的漏洞提供相应的补丁,这就需要你不断更新,安装最新补丁。
2)将安装目录设置到非系统盘,关闭不需要的服务。
一些恶意用户可以通过ⅡS的溢出漏洞获得对系统的访问权。把ⅡS安放在系统分区上,会使系统文件与ⅡS同样面临非法访问,容易使非法用户侵入系统分区。另外,由于ⅡS是一个综合性服务组件,每开设一个服务都将会降低整个服务的安全性,因而,对不需要的服务尽量不要安装或启动。
3)只允许匿名连接
FTP最大的安全漏洞在于其默认传输密码的过程是明文传送,很容易被人嗅探到。而ⅡS又是基于Windows用户账户进行管理的,因而很容易泄漏系统账户名及密码,如果该账户拥有一定管理权限,则更会影响到整个系统的安全。设置为“只允许匿名连接”,可以免却传输过程中泄密的O险。进入“默认FTP站点”,在属性的“安全账户”选项卡中,将此选项选中。
4)谨慎设置主目录及其权限
ⅡS可以将FTP站点主目录设为局域网中另一台计算机的共享目录,但在局域网中,共享目录很容易招致其他计算机感染的病毒攻击,严重时甚至会造成整个局域网瘫痪,不到万不得已,最好使用本地目录并将主目录设为NTFS格式的非系统分区中。这样,在对目录的权限设置时,可以对每个目录按不同组或用户来设置相应的权限。右击要设置的目录,进入“共享和安全→安全”中设置,如非必要,不要授予“写入”权限。
5)尽量不要使用默认端口号21
启用日志记录,以备出现异常情况时查询原因。
2.Serv-U的安全性设置
与ⅡS的FTP服务相比,Serv-U在安全性方面做得比较好。
1)对“本地服务器”进行设置
首先,选中“拦截FTP_bounce攻击和FXP”。什么是FXP呢?通常,当使用FTP协议进行文件传输时,客户端首先向FTP服务器发出一个“PORT”命令,该命令中包含此用户的IP地址和将被用来进行数据传输的端口号,服务器收到后,利用命令所提供的用户地址信息建立与用户的连接。大多数情况下,上述过程不会出现任何问题,但当客户端是一名恶意用户时,可能会通过在PORT命令中加入特定的地址信息,使FTP服务器与其他非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一特定机器,但是如果FTP服务器有权访问该机器的话,那么恶意用户就可以通过FTP服务器作为中介,仍然能够最终实现与目标服务器的连接。这就是FXP,也称跨服务器攻击。选中后就可以防止发生此种情况。
其次,在“高级”选项卡中,检查“加密密码”和“启用安全”是否被选中,如果没有,选择它们。“加密密码”使用单向hash函数(MD5)加密用户口令,加密后的口令保存在ServUDaemon.ini或是注册表中。如果不选择此项,用户口令将以明文形式保存在文件中;“启用安全”将启动Serv-U服务器的安全成功。
2)对域中的服务器进行设置
前面说过,FTP默认为明文传送密码,容易被人嗅探,对于只拥有一般权限的账户,危险并不大,但如果该账户拥有远程管理尤其是系统管理员权限,则整个服务器都会被别人远程控制。Serv-U对每个账户的密码都提供了以下三种安全类型:规则密码、OTP S/KEY MD4和OTP S/KEY MD5。不同的类型对传输的加密方式也不同,以规则密码安全性最低。进入拥有一定管理权限的账户的设置中,在“常规”选项卡的下方找到“密码类型”下拉列表框,选中第二或第三种类型,保存即可。注意,当用户凭此账户登录服务器时,需要FTP客户端软件支持此密码类型,如CuteFTP Pro等,输入密码时选择相应的密码类型方可通过服务器验证。
与ⅡS一样,还要谨慎设置主目录及其权限,凡是没必要赋予写入等能修改服务器文件或目录权限的,尽量不要赋予。最后,进入“设置”,在“日志”选项卡中将“启用记录到文件”选中,并设置好日志文件名及保存路径、记录参数等,以方便随时查询服务器异常原因。
好了,开通你的FTP吧。告诉大家:你当站长了。
