如何提高FTP伺服器的安全性

目前，FTP伺服器面臨的安全風險主要包括：

1.使用者被上級重定向到未經授權的目錄（例如，root）;

2.客戶端指定檔案的型別和格式，但只能指定副檔名。

3.無法判斷檔案是否有毒。

4.檔案傳輸未驗證，無法保證檔案的完整性。

友宇安全FTP在標準FTP和SFTP的基礎上，增加了以下安全性：

1.伺服器目錄限制：只允許使用者訪問設定的目錄，如c：、root、ftp服務軟體本身的目錄，當管理端新增使用者指定的目錄超出限制時，使用者無法訪問該目錄。

2.深度檔案型別識別：伺服器設定的可上傳型別，UFIDA FTP客戶端，會在客戶端深度識別檔案型別並修改副檔名，伺服器在上傳標準FTP時會做出深入判斷。

3.檔案病毒掃瞄：伺服器支援卡巴斯基、Bitfander、gdata、NOD32防毒軟體，每上傳乙個檔案都會呼叫防毒命令進行掃瞄殺殺，並返回掃瞄結果。

友宇FTP客戶端可以顯示錯誤原因，標準FTP刪除檔案，建立同名檔案加上錯誤原因。

4.MD5 驗證：將 FTP 客戶端上傳的檔案與伺服器生成的 MD5 進行比較，同時比較檔案的位元組數，當它們都相同時，檔案傳輸就算成功。

6.**檔案備份：重要資料洩露，但無法檢查，通過平台，**檔案會自動備份到指定目錄，並且日誌中記錄了使用者、IP、時間、檔案等資訊，結合備份檔案可以由出站人員檢查。

1）禁止匿名登入。允許匿名訪問有時會導致非法檔案被利用。 禁用匿名登入，僅允許預定義的使用者帳戶登入，配置FTP主目錄中定義的ACL[訪問控制列表]進行訪問控制，並使用NTFS許可證。

2） 設定訪問日誌。訪問日誌可用於準確獲取IP位址和使用者訪問的準確記錄。 定期維護日誌可估算站點流量並識別安全威脅和漏洞。

3）加強訪問控制列表。使用 NTFS 訪問許可權，使用 ACL [訪問控制列表] 來控制對 FTP 目錄的訪問。

4） 將網站設定為不可見。如果只需要使用者將檔案傳送到伺服器，而不是從伺服器傳送檔案，請考慮將站點配置為不可見。 這意味著允許使用者寫入無法讀取 ftp 目錄中的檔案。

這可以防止未經授權的使用者訪問該站點。 若要將站點配置為不可見，應在“站點和主目錄”中設定訪問許可權。

5） 使用磁碟配額。磁碟配額可以有效地限制每個使用者使用的磁碟空間。 授予使用者對他們上傳的檔案的完全控制權。

磁碟配額可用於檢查使用者是否超過已用空間，可以有效限制網站洩露造成的損害。 而且，通過限制使用者可以擁有的磁碟空間量，網站不會成為尋找空間共享**檔案的黑客的目標。

vi） 使用訪問時間限制。限制使用者僅在指定時間段內登入以訪問站點。 如果您的站點在企業環境中使用，則只能在工作時間限制對服務的訪問。 出於安全考慮，禁止在下班後登入。

7）基於IP策略的訪問控制。FTP 可以限制對特定 IP 位址的訪問。 將對網站的訪問限制為特定個人可以減少未經授權的人員登入的危險。

8） 審核登入事件。審核帳戶登入事件，可以在安全日誌檢視器中檢視（成功和不成功）登入嘗試登入站點，以提醒惡意使用者注意惡意使用者設法入侵的可疑活動。 它還用作站點入侵檢測的歷史記錄。

9） 使用安全密碼策略。複雜密碼是驗證終端使用者身份的安全方法。 這是保護站點安全的關鍵部分，FTP 使用者帳戶在選擇密碼時必須遵循以下規則：

不包含全部或部分使用者帳戶名稱; 長度必須至少為 6 個字元; 它包含多個類別，例如大寫和小寫字元、數字和特殊字元。

10）限制登入次數。Windows 系統安全策略允許管理員在帳戶未登入指定次數時鎖定該帳戶。