[p=28, null, left]本文是对windows 2003 系统中自带的iis6.0的ftp的安全配置。安装过程和建立站点的过程这里不在重复。
在使用webscan检测网站的时候,会发现存在ftp匿名访问的问题,该漏洞可以不需要密码就能够访问我们的ftp,这将直接导致黑客可以编辑修改我们的文件,以及上传恶意代码,来进行进一步的危害。
一、不允许匿名访问
在开始菜单->所有程序->管理工具中,选择 Internet 信息服务(IIS)管理器(图1),打开 Internet 信息服务(IIS)管理器,界面如图2.
接下来展开找到我们已经建立好的ftp站点,右键“ftp站点”(我这里是默认ftp站点),选择 “属性”,切换到“安全账户”,这里会看到“允许匿名连接”是选中状态,我们把“允许匿名连接” 的复选框去掉,会弹出如图4的对话框,我们选择是。点击应用之后这样就不会存在匿名访问问题了。
[/p][p=28, null, left]
二、多用户隔离
下面设置用户隔离的ftp,并对其ftp进行权限设置。我们先创建一个ftp账户。这么做的目的是降低我们的ftp用户的权限来保障安全。防止被开源后进行越权访问。具体操作如下:
右键单击 “我的电脑”,选择“管理”,展开“本地用户和组”,选择“用户”。可以打开用户帐户管理。右键单击“账户”,选择“新用户”,我们创建一个新的ftp账户,这里注意,不要设置弱口令,最好设置包含大小写字母+特殊符号+数字,并且不低于10位数最好。我们这里以ftp2为例进行示范。
创建好用户后,我们右键单击ftp2用户,选择“属性”,切换到“隶属于”选项,我们这里把Users删除,点击添加,在弹出来的对话框中选择“高级”,在点击右边的立即查找,在出现的用户组中选择IIS_WPG组,点击确定。
接下来创建ftp文件夹,在ftp的根目录下,创建一个跟我们账户一样的文件夹。接着,我们右键单击我们的ftp站点,选择新建->创建虚拟目录。在弹出来的对话框中选择下一步,这里我们需要输入ftp的别名(这里是ftp2),这里跟我们的创建的用户名需要一致(注意:别名和创建的文件夹和账户名需要一致。),点击下一步,这里选择我们新建立的文件夹的路径。这样我们就可以访问ftp了。
三、用户目录安全性设置
以上我们降低了ftp用户的权限,这里在来对用户对ftp的文件夹的操作权限进行设置。以ftp2账户对应的ftp2文件夹为例,以系统管理员身份登录,选中文件夹并右键选择“安全”选项卡,默认情况下这里有非常多的已经继承于上级文件夹的权限,
我们需要做的是删掉这些默认的权限,但是在删除的时候会出现系统提示:
因为“SYSTEM”从其父系继承权限,您无法删除此对象。要删除“SYSTEM
“必须阻止对象继承权限。关闭继承权限的选项,然后重试删除“SYSTEM”
因为权限是继承上级文件夹的,所以不能直接删除,需要单击“高级”按钮,进入此文件夹的“高级安全设置”
删除默认用户后,我们添加ftp2用户。权限根据自己的实际情况进行分配。
[/p][p=28, null, left]
四、ip限制策略
通过ip限制策略,我们限制用户登录ftp的ip地址。依次指向IIs管理器的FTP站点,右击并选择 “ftp属性”,打开“目录安全性”,在界面中选择“拒绝访问”,然后单击“添加”按钮定义允许访问的单一计算机、多台计算机,设置好的界面“目录安全性”是通过FTP用户的登录IP进行判断的一种机制.[/p][p=28, null, left]下图中的“拒绝访问”代表默认拒绝所有IP的FTP使用请求,除非请求登录FTP的计算机IP地址包含在“下面列出的除外”列表框中。通过这个设置,管理员可以控制唯一的,或者是极少的绝对信任IP可以使用。
[/p][p=28, null, left]
五、其他
通过以上的设置,ftp的设置就比较安全了,同时我们还可以对其进行使用ftp密码策略,设置密码过期时间,账户锁定设置等。这部分大家可以到网络上搜索。
对于FTP站点的建立,与本文同理[/p]
来自建站学习研究资源开放平台【bbs.zhanzhangwo.com】
在使用webscan检测网站的时候,会发现存在ftp匿名访问的问题,该漏洞可以不需要密码就能够访问我们的ftp,这将直接导致黑客可以编辑修改我们的文件,以及上传恶意代码,来进行进一步的危害。
一、不允许匿名访问
在开始菜单->所有程序->管理工具中,选择 Internet 信息服务(IIS)管理器(图1),打开 Internet 信息服务(IIS)管理器,界面如图2.
接下来展开找到我们已经建立好的ftp站点,右键“ftp站点”(我这里是默认ftp站点),选择 “属性”,切换到“安全账户”,这里会看到“允许匿名连接”是选中状态,我们把“允许匿名连接” 的复选框去掉,会弹出如图4的对话框,我们选择是。点击应用之后这样就不会存在匿名访问问题了。
二、多用户隔离
下面设置用户隔离的ftp,并对其ftp进行权限设置。我们先创建一个ftp账户。这么做的目的是降低我们的ftp用户的权限来保障安全。防止被开源后进行越权访问。具体操作如下:
右键单击 “我的电脑”,选择“管理”,展开“本地用户和组”,选择“用户”。可以打开用户帐户管理。右键单击“账户”,选择“新用户”,我们创建一个新的ftp账户,这里注意,不要设置弱口令,最好设置包含大小写字母+特殊符号+数字,并且不低于10位数最好。我们这里以ftp2为例进行示范。
创建好用户后,我们右键单击ftp2用户,选择“属性”,切换到“隶属于”选项,我们这里把Users删除,点击添加,在弹出来的对话框中选择“高级”,在点击右边的立即查找,在出现的用户组中选择IIS_WPG组,点击确定。
接下来创建ftp文件夹,在ftp的根目录下,创建一个跟我们账户一样的文件夹。接着,我们右键单击我们的ftp站点,选择新建->创建虚拟目录。在弹出来的对话框中选择下一步,这里我们需要输入ftp的别名(这里是ftp2),这里跟我们的创建的用户名需要一致(注意:别名和创建的文件夹和账户名需要一致。),点击下一步,这里选择我们新建立的文件夹的路径。这样我们就可以访问ftp了。
三、用户目录安全性设置
以上我们降低了ftp用户的权限,这里在来对用户对ftp的文件夹的操作权限进行设置。以ftp2账户对应的ftp2文件夹为例,以系统管理员身份登录,选中文件夹并右键选择“安全”选项卡,默认情况下这里有非常多的已经继承于上级文件夹的权限,
我们需要做的是删掉这些默认的权限,但是在删除的时候会出现系统提示:
因为“SYSTEM”从其父系继承权限,您无法删除此对象。要删除“SYSTEM
“必须阻止对象继承权限。关闭继承权限的选项,然后重试删除“SYSTEM”
因为权限是继承上级文件夹的,所以不能直接删除,需要单击“高级”按钮,进入此文件夹的“高级安全设置”
删除默认用户后,我们添加ftp2用户。权限根据自己的实际情况进行分配。
四、ip限制策略
通过ip限制策略,我们限制用户登录ftp的ip地址。依次指向IIs管理器的FTP站点,右击并选择 “ftp属性”,打开“目录安全性”,在界面中选择“拒绝访问”,然后单击“添加”按钮定义允许访问的单一计算机、多台计算机,设置好的界面“目录安全性”是通过FTP用户的登录IP进行判断的一种机制.[/p][p=28, null, left]下图中的“拒绝访问”代表默认拒绝所有IP的FTP使用请求,除非请求登录FTP的计算机IP地址包含在“下面列出的除外”列表框中。通过这个设置,管理员可以控制唯一的,或者是极少的绝对信任IP可以使用。
五、其他
通过以上的设置,ftp的设置就比较安全了,同时我们还可以对其进行使用ftp密码策略,设置密码过期时间,账户锁定设置等。这部分大家可以到网络上搜索。
对于FTP站点的建立,与本文同理[/p]
来自建站学习研究资源开放平台【bbs.zhanzhangwo.com】
评论
发新帖
作者最近主题
相关贴子
- 插件更新问题
- [布局] it618插件DIY调用横向排版示例
- 这个下载链接失效了
- 【聚合支付】方维一元夺宝手机支付宝+PC支付宝+微信扫码+微信内支付免签支付插件
- 存在后门
- 下载的那个即时聊天系统,问题
- 【西瓜】微信登录 23.20160517 (xigua_login)的配置,没有微信认证服务号的福音
- 求最新程序侠cms开源,淘宝客程序,优惠券网站,淘宝客源码
- SEO手机伪静态 V3.3.09 高级版 - DZ学习研究交流 · 插件 专业开源[1314]
- 挂QQ网站程序整站代码php+mysql
- it618推广佣金联盟 全功能完整版 v2.0 DZ学习研究交流 · 插件
- 仿中华养生网最新模板怎么安装?????
- 宣传中心 6.1[手机、微社区版] DZ学习研究交流
- 贴内插入百度地图 地图搜帖 2.0--------下载地址
- 江湖婚庆门户系统最新V2.0 完美开源商业版 新增手机端+团购+结婚宝
- 犀牛门户频道-要闻滚动DIY
- Win2003服务器配置IIS图文教程
- 希望站长更新此插件!
- 【亮剑】二手市场 完整商业版1.5.1--------下载地址
- 有个帖子怎么无法回复麻烦开通谢谢