免费ftp服务器使用安全怎么维护

文章摘要：免费ftp服务器使用安全怎么维护

免费ftp服务器 使用安全维护方法： 1.禁用标准FTP； 2.使用强加密和散列密码，如AES或TDES； 3 […]

免费ftp服务器 使用安全维护方法： 1.禁用标准FTP； 2.使用强加密和散列密码，如AES或TDES； 3、使用DMZ安全网关或增强型反向代理； 4.设置IP黑名单和白名单； 5. 强制认证和数据通道加密； 6、用好账号管理服务器； 7、使用强密码，例如密码长度至少为7个字符，包含数字、字母和特殊字符； 8. 实现文件和文件夹安全，例如对静态文件进行加密； 9. 将管理员职责限制在有限数量的用户身上，并要求他们使用多重身份验证； 10. 保持 FTPS 或 SFTP 服务器软件为最新。

建站教程网内容总结如下：

1．禁用标准 FTP

如果服务器上正在运行标准 FTP，则应尽快将其禁用。 FTP 已有 30 多年的历史，它经不起我们今天面临的现代安全威胁。 FTP 缺乏隐私和完整性，这使得黑客很容易在传输过程中获取访问权限并捕获或修改您的数据。我们建议您切换到其他几种安全 FTP 替代方案之一。

2.使用强加密和哈希算法

SFTP 和 FTPS 协议都使用加密密码来保护传输中的数据。密码是一种复杂的算法，它采用原始数据并与密钥一起生成加密数据以供传输。您应该做的第一件事是禁用任何旧的、过时的密码，如 Blowfish 和 DES，只使用更强大的密码，如 AES 或 TDES。哈希或 MAC 算法用于验证传输的完整性。同样，您应该禁用旧的散列/MAC 算法，例如 MD5 或 SHA-1，并坚持使用 SHA-2 系列中更强大的算法。

3.放置在网关后面

DMZ（非军事区）是网络的公共部分，组织在这里存储他们的 FTP 服务器。 DMZ 的问题在于它面向公共互联网，使其成为最脆弱的部分。如果 FTP 服务器位于 DMZ 中，贸易伙伴的数据文件和用户凭据通常也存储在该区域中，即使文件已加密，这也会带来很大的风险。其他组织已采取措施将文件和用户凭据移动到更安全的专用网络中。但是，这种方法的问题在于它需要您打开通往您的专用网络的端口，这会为攻击创造一条路径并且可能不符合合规性要求。

越来越流行的方法是使用 DMZ 安全网关或增强型反向代理。网关是安装在 DMZ 中的服务器上的软件。然后在启动时打开一个从专用网络到 DMZ 的专用控制通道。您的贸易伙伴将连接到网关，网关将通过控制通道将会话发送到专用网络上的 FTP 服务器。文件和用户凭证保存在专用网络上，不需要入站端口。

4.实施 IP 黑名单和白名单

IP 黑名单暂时或永久拒绝访问系统的 IP 地址范围。例如，您可能想阻止来自某些国家/地区的访问。您还可以让 FTP 服务器针对某些类型的攻击（例如 DoS 攻击）执行自动黑名单。

另一种方法是只将指定的 IP 地址列入白名单才能访问系统，例如您的贸易伙伴。困难在于，这仅在贸易伙伴使用固定 IP 时才有效。

5.加强你的FTPS服务器

如果你正在使用FTPS服务器，你应该采取一些措施来确保它的安全，包括：除非对身份验证和数据通道强制加密，否则不要使用显式的FTPS不要'不要使用任何版本的 SSL 或 TLS 1.0 使用椭圆曲线 Diffie-Hellman 密钥交换算法

6.利用良好的帐户管理

作为贸易伙伴 在操作系统级别创建用户帐户是有风险的，因为它创建了访问服务器上其他资源的途径。此外，用户凭据应与 FTP 应用程序分开保存。不允许匿名用户或共享帐户。设置一些规则，例如帐户用户名的长度应至少为 7 个字符，并且帐户应在 6 次登录失败或 90 天不活动后自动禁用。

7.使用强密码

密码应至少包含 7 个字符，同时包含数字和字母数字字符，并且至少包含一个特殊字符。确保管理员密码每 90 天更改一次。不要重复使用最后 4 个密码，并使用 SHA-2 等强哈希加密算法存储用户密码。

8.实施文件和文件夹安全

贸易伙伴应该只能访问他们绝对需要的文件夹。例如，仅仅因为合作伙伴需要从文件夹下载内容的权限并不意味着他们需要对该文件夹的完全权限。需要将文件上传到文件夹不需要他们对该文件夹具有读取权限。静态加密文件（尤其是那些存储在 DMZ 中的文件）并仅在需要时将文件保留在 FTP 服务器上。

9.锁管理

服务器的管理要严格控制。将管理员职责限制在有限数量的用户身上，并要求他们使用多重身份验证。不要将密码存储在服务器上，而是将它们存储在 AD 域或 LDAP 服务器。不要使用常见的管理员用户 ID，如“root”或“admin”，这是黑客首先会尝试的。

10.遵循最佳实践

使您的 FTPS 或 SFTP 服务器软件保持最新，并且仅使用经过 FIPS 140-2 验证的加密密码如果您要处理美国政府数据，请不要使用显示的默认 SFTP 软件版本首次登录时 - 这将为黑客提供如何利用服务器的线索，将所有后端 database 留在其他服务器上，需要重新验证非活动会话, 实施良好的密钥管理。