主題: IIS的FTP Server保安注意事項
主題內容:
1. 定期更改連接埠 – FTP網路服務預設以TCP連接埠21作為數據傳送的端口,可考慮更改連接埠,改為較冷門的連接埠如1026 ~ 65534,但要事先通知用戶也相對更改客戶端的連接埠,這樣較為麻煩。IIS的TCP連接埠更改方法:到「控制台」-->「效能及維護」-->「系統管理工具」-->「Internet Information Services」,從左邊視窗點選「FTP站台」,在此之下點選欲更改設定的站台,右擊滑鼠並從選單中選「內容」,點選「FTP站台」便可修改「TCP連接埠」的編號。
2. 限制同時使用FTP服務數量 – 避免太多人進入FTP站台及霸佔,可設定限制同時使用人數,方法:進入「FTP站台」設定頁,在「連線」一欄下把限制為:10個連線」改為較低的數目如:4。同樣如要避免某用戶在連線後,長時間閒置影響別人成功登入的機會,可將「連線逾時時間」一項的秒數減少便可。
3. 定期記錄網路狀況 – 定期記錄出入FTP站台的網路交通,可起監察的作用。方法:進入IIS設定程式及「主目錄」設定頁,勾選「啟用記錄」項,再按「內容」鍵,進一步設定有關詳細功能。點選「一般內容」,按需要設定新記錄更新的周期,進入「擴充內容」設定頁,設定需要記錄的資料如日期、時間、用戶端IP位址及使用者名稱等。
4. 系統設定唯讀 – 防止惡意的入侵者把病毒及木馬程式放到FTP站台內,可將站台設定為「唯讀」,方法:進入IIS設定程式及「主目錄」設定頁,勾選「讀取」及「記錄查閱」兩項,取消勾選「寫入」。
5. 保護用戶的私隱 – 為保護FTP用戶的私隱,方法:進入IIS設定程式及「主目錄」設定頁,在「FTP站台」右擊滑鼠,選「內容」進入「安全設定帳戶」視窗。先以Administrator權限登入系統,勾選「允許匿名連線」一項,避免登入站台者的登入名稱和密碼資料,輕易被任何接收通過TCP連接埠數據的盜取。然後再進入「主目錄」設定頁,勾選「讀取」一項,及取消勾選其他項目,藉此給予Administrator管理員足夠權限,可在FTPROOT資料夾下,新增、移除或更改檔案和資料夾。
|