新网创想网站建设,新征程启航
为企业提供网站建设、域名注册、服务器等服务
FTP是一种文件传输协议。有时我们把他形象的叫做文件交流集中地。FTP文件服务器的主要用途就是提供文件存储的空间,让用户可以上传或者下载所需要的文件。在企业中,往往会给客户提供一个特定的FTP空间,以方便跟可以进行一些大型文件的交流,如大到几百兆的设计图纸等等。同时,FTP还可以作为企业文件的备份服务器,如把数据库等关键应用在FTP服务器上实现异地备份等等。
成都创新互联是专业的兴县网站建设公司,兴县接单;提供网站设计、成都网站制作,网页设计,网站设计,建网站,PHP网站建设等专业做网站服务;采用PHP框架,可快速的进行兴县网站开发网页制作和功能扩展;专业做搜索引擎喜爱的网站,专业的做网站团队,希望更多企业前来合作!
可见,FTP服务器在企业中的应用是非常广泛的。真是因为其功能如此的强大,所以,很多黑客、病毒也开始关注他了。他们企图通过FTP服务器为跳板,作为他们传播木马、病毒的源头。同时,由于FTP服务器上存储着企业不少有价值的内容。在经济利益的诱惑下,FTP服务器也就成为了别人攻击的对象。
在考虑FTP服务器安全性工作的时候,第一步要考虑的就是谁可以访问FTP服务器。在Vsftpd服务器软件中,默认提供了三类用户。不同的用户对应着不同的权限与操作方式。
一类是Real帐户。这类用户是指在FTP服务上拥有帐号。当这类用户登录FTP服务器的时候,其默认的主目录就是其帐号命名的目录。但是,其还可以变更到其他目录中去。如系统的主目录等等。
第二类帐户实Guest用户。在FTP服务器中,我们往往会给不同的部门或者某个特定的用户设置一个帐户。但是,这个账户有个特点,就是其只能够访问自己的主目录。服务器通过这种方式来保障FTP服务上其他文件的安全性。这类帐户,在Vsftpd软件中就叫做Guest用户。拥有这类用户的帐户,只能够访问其主目录下的目录,而不得访问主目录以外的文件。
在组建FTP服务器的时候,我们就需要根据用户的类型,对用户进行归类。默认情况下,Vsftpd服务器会把建立的所有帐户都归属为Real用户。但是,这往往不符合企业安全的需要。因为这类用户不仅可以访问自己的主目录,而且,还可以访问其他用户的目录。这就给其他用户所在的空间 带来一定的安全隐患。所以,企业要根据实际情况,修改用户虽在的类别。
修改方法:第一步:修改/etc/Vsftpd/vsftpd.conf文件。
默认情况下,只启用了Real与Anonymous两类用户。若我们需要启用Guest类用户的时候,就需要把这个选项启用。修改/etc/Vsftpd/vsftpd.conf文件,把其中的chroot_list_enable=YES这项前面的注释符号去掉。去掉之后,系统就会自动启用Real类型的帐户。
第二步:修改/etc/vsftpd.conf文件。
若要把某个FTP服务器的帐户归属为Guest帐户,则就需要在这个文件中添加用户。通常情况下,FTP服务器上没有这个文件,需要用户手工的创建。利用VI命令创建这个文件之后,就可以把已经建立的FTP帐户加入到这个文件中。如此的话,某个帐户就属于Real类型的用户了。他们登录到FTP服务器后,只能够访问自己的主目录,而不能够更改主目录。
第三步:重新启动FTP服务器。
按照上述步骤配置完成后,需要重新启动FTP服务器,其配置才能够生效。我们可以重新启动服务器,也可以直接利用Restart命令来重新启动FTP服务。
在对用户尽心分类的时候,笔者有几个善意的提醒。
一是尽量采用Guest类型的用户,而减少Real类行的用户。一般我们在建立FTP帐户的时候,用户只需要访问自己的主目录下的文件即可。当给某个用户的权限过大时,会对其他用户文件的安全产生威胁。
在以下几种情况下,我们要禁止这些账户访问FTP服务器,以提高服务器的安全。
一是某些系统帐户。如ROOT帐户。这个账户默认情况下是Linxu系统的管理员帐户,其对系统具有最高的操作与管理权限。若允许用户以这个账户为账户名进行登陆的话,则用户不但可以访问Linux系统的所有资源,而且,还好可以进行系统配置。这对于FTP服务器来说,显然危害很大。所以,往往不允许用户以这个Root等系统帐户身份登陆到FTP服务器上来。
第二类是一些临时账户。有时候我们出于临时需要,为开一些临时账户。如需要跟某个客户进行图纸上的交流,而图纸本身又比较大时,FTP服务器就是一个很好的图纸中转工具。在这种情况下,就需要为客户设立一个临时账户。这些账户用完之后,一般就加入到了黑名单。等到下次需要再次用到的时候,再启用他。
在vstftpd服务器中,要把某些用户加入到黑名单,也非常的简单。在Vsftpd软件中,有一个/etc/vsftpd.user_lise配置文件。这个文件就是用来指定哪些账户不能够登陆到这个服务器。我们利用vi命令查看这个文件,通常情况下,一些系统账户已经加入到了这个黑名单中。FTP服务器管理员要及时的把一些临时的或者不再使用的帐户加入到这个黑名单中。从而才可以保证未经授权的账户访问FTP服务器。在配置后,往往不需要重新启动FTP服务,配置就会生效。
不过,一般情况下,不会影响当前会话。也就是说,管理员在管理FTP服务器的时候,发现有一个非法账户登陆到了FTP服务器。此时,管理员马上把这个账户拉入黑名单。但是,因为这个账户已经连接到FTP服务器上,所以,其当前的会话不会受到影响。当其退出当前会话,下次再进行连接的时候,就不允许其登陆FTP服务器了。所以,若要及时的把该账户禁用掉的话,就需要在设置好黑名单后,手工的关掉当前的会话。
对于一些以后不再需要使用的帐户时,管理员不需要把他加入黑名单,而是直接删除用户为好。同时,在删除用户的时候,要记得把用户对应的主目录也一并删除。不然主目录越来越多,会增加管理员管理的工作量。在黑名单中,只保留那些将来可能利用的账户或者不是用作FTP服务器登陆的账户。这不但可以减少服务器管理的工作量,而且,还可以提高FTP服务器的安全性。
在系统默认配置下,匿名类型的用户只可以下载文件,而不能够上传文件。虽然这不是我们推荐的配置,但是,有时候出于一些特殊的需要,确实要开启这个功能。如笔者以前在企业中,利用这个功能实现了对用户终端文件进行备份的功能。为了设置的方便,就在FTP服务器上开启了匿名访问,并且允许匿名访问账户网某个特定的文件夹中上传某个文件。
笔者再次重申一遍,一般情况下,是不建议用户开启匿名账户的文件上传功能。因为很难保证匿名账户上传的文件中,不含有一些破坏性的程序,如病毒或者木马等等。有时候,虽然开启了这个功能,但是往往会在IP上进行限制。如只允许企业内部IP可以进行匿名访问并上传文件,其他账户则不行。如此的话,可以防止外部用户未经授权匿名访问企业的FTP服务器。若用户具有合法的账户,就可以在外网中登陆到FTP服务器上。
总之,在FTP服务器安全管理上,主要关注三个方面的问题。一是未经授权的用户不能往FTP空间上上传文件;二是用户不得访问未经授权的目录,以及对这些目录的文件进行更改,包括删除与上传;三是FTP服务器本身的稳定性。以上三个问题中的前两部分内容,都可以通过上面的三个方法有效的解决。
很简单,
(一)使用浏览器进行文件传输
使用浏览器不仅能访问WWW服务器,还能访问FTP服务器,进行文件传输。浏览器之所以有文件传输的功能,是因为它使用FTP协议,而不是HTTP协议。
1.下载文件
通过浏览器下载文件的步骤如下:
(1)启动浏览器。
(2)在地址栏输入要访问的FTP服务器的地址,,然后按回车键,即可登录到FTP服务器。
(3)选择要下载的文件,单击鼠标右键,在快捷菜单中选择“复制到文件夹”命令,在弹出的“浏览文件夹”对话框中,选择文件的保存位置,单击“确定”按钮,将文件下载到本地计算机的指定位置。
2.上传文件
通过浏览器上传文件的步骤如下:
(1)选择要上传的文件,单击鼠标右键,在快捷菜单中选择“复制”命令。
(2)登录FTP服务器,进入上传文件要存放的位置。
(3)单击“编辑”菜单中的“粘贴”命令,将文件上传到FTP服务器。
(二)使用FTP命令传输文件
不论是在DOS、Windows还是UNIX操作下使用FTP命令来传输文件,都可以大大提高文件传输速度。
常用FTP命令如下:
? dir:浏览主机目录下的文件。
? pwd:显示远程主机的当前目录。
? cd:改变远程主机的工作目录。
? cd..:返回到上级目录。
? lcd:改变本地主机的工作目录。
? ascii:使用ascii类型传输方式。
? bin:使用二进制文件传输方式。
? get:从远程主机上取文件。
? mget:从远程主机上取多个文件。
? put:将本地主机上的一个文件传送到远程主机。
? mput:将本地主机上的多个文件传送到远程主机。
? del:删除远程主机上的文件。
? bye:退出FTP会话过程。下面以从一台FTP服务器(地址为:
210.45.176.24)上进行下载和上传为例进行操作。
1.下载文件
(1)进入命令提示符状态后,键入命令:ftp 210.45.176.24,按回车键确认。
(2)输入用户名public,确认后,输入密码public,登录FTP服务器。(注意,在输入密码时,屏幕上无任何字符显示。)
(3)浏览该服务器下的目录。键入命令:dir
(4)进入要下载文件的所在目录。键入命令:cd 目录名。(注意:第(3)、
(4)两步可重复进行,一直找到需要下载文件所在的目录。)
(5)确认文件传输的方式,FTP的传输有两种方式:ASCII传输和二进制数据传输,系统默认传输方式为ASCII。如果要传输二进制数据,则需要键入命令:bin。
(6)指定将文件下载后存放在本地主机的位置。键入命令:lcd 本地目录名。(如:lcd e:\download)
(7)键入命令:get 要下载的文件名。(如:get 茉莉花开.rmvb)
2.上传文件和删除文件
重复以上步骤(1)~(6),确定要上传的文件在本地主机指定的目录中,同时远程主机目录为要上传的文件要存放的位置。键入命令:put 要上传的文件名。
如果要在远程主机上删除某个文件,则重复以上步骤(1)~(4),找到要删除的文件,键入命令:del 要删除的文件名。
(三)使用FTP工具软件传输文件
用户在使用浏览器下载文件时,如果网络连接突然中断,正在下载的文件必须从头开始重新下载。使用专用的FTP下载工具不仅可以提高文件下载的速度,对多个FTP站点和本地主机的磁盘进行管理,还可以实现断点续传,即接着前面的断点,完成剩余部分的传输。目前常用的FTP工具软件有:WS-FTP、CuteFTP和LeapFTP等。下面以CuteFTP为例,介绍使用FTP工具进行文件传输的过程。
1.安装CuteFTP软件
从校园网上下载CuteFTP软件,并进行安装。
2.使用CuteFTP连接FTP站点,下载文件。
3.断点续传
用户在使用浏览器下载文件时,如果网络连接突然中断,正在下载的文件必须从头开始。使用专用的FTP下载工具不仅提高下载的速度,还可以实现断点续传,可以接着上次中断的位置继续传输,不需要从头开始。
继续传输中断的文件可以有以下不同的操作供选择:
? 若用户要覆盖刚才未下载完的文件,则单击“覆盖”按钮。
? 若用户要从上次中断的地方接着下载,则单击“续传”按钮。
? 若用户不想下载该文件,但接着下载其他文件,则单击“跳过”按钮。 ? 若用户不想覆盖原来的文件,想给下载的文件重新命名,则单击“重命名”
按钮。
【实验报告要求】
1. 进行文件传输有哪些不同方式?
2. 现假设FTP服务器的pub目录中有文件test.exe,若此FTP服务器的地址为
210.45.176.68,你的工作站目前处于MS-DOS提示符C:\,请写出用命令行将test.exe下载到本地主机的D盘download文件夹中,并退出FTP会话过程
采纳一下
为Internet上的FTP服务器,系统的安全性是非常重要的,这是建立FTP服务器者所考虑的第一个问题。其安全性主要包括以下几个方面: 一、 未经授权的用户禁止在服务器上进行FTP操作。 二、 FTP用户不能读取未经系统所有者允许的文件或目录。 三、 未经允许,FTP用户不能在服务器上建立文件或目录。 四、 FTP用户不能删除服务器上的文件或目录。 FTP服务器采取了一些验明用户身份的办法来解决上述第一个问题,主要包括以下几个措施: FTP用户所使用的用户帐号必须在/etc/passwd文件中有所记载(匿名FTP用户除外),并且他的口令不能为空。在没有正确输入用户帐号和口令的情况下,服务器拒绝访问。 FTP守护进程FTPd还使用一个/etc/FTPusers文件,凡在这个文件中出现的用户都将被服务器拒绝提供FTP服务。服务器管理可以建立"不受欢迎"的用户目录,拒绝这些用户访问. 只有在服务器的/etc/passwd文件中存在名为"FTP"的用户时,服务器才可以接受匿名FTP连接,匿名FTP用户可用"anonymous"或"FTP"作为用户名,自己的Internet电子邮件地址作为保密字。为了解决上述安全性的另外三个问题,应该对FTP主目录下的文件属性进行管理,建议对每个目录及其文件采取以下一些措施: FTP主目录:将这个目录的所有者设为"FTP",并且将属性设为所有的用户都不可写,防止不怀好意的用户删改文件。 FTP/bin目录:该目录主要放置一些系统文件,应将这个目录的所有者设为"root"(即超级用户),并且将属性设为所有的用户都不可写。为保证合法用户可显示文件,应将目录中的ls文件属性设为可执行。 FTP/etc目录:将这个目录的所有者设为"root",并且将属性设为所有的用户都不可写。将目录下的group文件和passwd文件的属性设为所有用户只读属性,并用编辑器将passwd文件中用户加过密的口令删掉。 FTP/pub目录:将这个目录的所有者置为"FTP",并且将它的属性设为所有用户均可读、写、执行。 这样经过设置,既保证了系统文件不被删改,又保证了FTP合法用户的正常访问. 作为Internet上的FTP服务器,系统的安全性是非常重要的,这是建立FTP服务器者所考虑的第一个问题。其安全性主要包括以下几个方面: 一、 未经授权的用户禁止在服务器上进行FTP操作。 二、 FTP用户不能读取未经系统所有者允许的文件或目录。 三、 未经允许,FTP用户不能在服务器上建立文件或目录. 四、 FTP用户不能删除服务器上的文件或目录。 FTP服务器采取了一些验明用户身份的办法来解决上述第一个问题,主要包括以下几个措施: FTP用户所使用的用户帐号必须在/etc/passwd文件中有所记载(匿名FTP用户除外),并且他的口令不能为空。在没有正确输入用户帐号和口令的情况下,服务器拒绝访问。 FTP守护进程FTPd还使用一个/etc/FTPusers文件,凡在这个文件中出现的用户都将被服务器拒绝提供FTP服务。服务器管理可以建立"不受欢迎"的用户目录,拒绝这些用户访问。 只有在服务器的/etc/passwd文件中存在名为"FTP"的用户时,服务器才可以接受匿名FTP连接,匿名FTP用户可以用"anonymous"或"FTP"作为用户名,自己的Internet电子邮件地址作为保密字。为了解决上述安全性的另外三个问题,应该对FTP主目录下的文件属性进行管理,建议对每个目录及其文件采取以下一些措施: FTP主目录:将这个目录的所有者设为"FTP",并且将属性设为所有的用户都不可写,防止不怀好意的用户删改文件。 FTP/bin目录:该目录主要放置一些系统文件,应将这个目录的所有者设为"root"(即超级用户),并且将属性设为所有的用户都不可写。为保证合法用户可显示文件,应将目录中的ls文件属性设为可执行。 FTP/etc目录:将这个目录的所有者设为"root",并且将属性设为所有的用户都不可写。将目录下的group文件和passwd文件的属性设为所有用户只读属性,并用编辑器将passwd文件中用户加过密的口令删掉。 FTP/pub目录:将这个目录的所有者置为"FTP",并且将它的属性设为所有用户均可读、写、执行。 这样经过设置,既保证了系统文件不被删改,又保证了FTP合法用户的正常访问。
参考资料:协议分析网
一、SSL协议只用于WEB访问HTTPS加密协议。
二、FTP安全协议叫做SFTP(SHH),您这个题目是搞混了。