54SA.COM|专注于系统运维管理,为中国SA提供动力!
当前位置: 主页 > Windows > 服务器 > FTP >

SOHO族安全建议之保证上传服务器安全二

时间:2010-10-28 21:26来源:网络 编辑:Tina

  三、预防弱口令攻击
  
  我们可以采取以下一些步骤来消除口令漏洞,预防弱口令攻击。
  
  第一步:删除所有没有口令的帐号或为没有口令的用户加上一个口令。特别是系统内置或是缺省账号。
  
  第二步:制定管理制度,规范增加帐号的操作,及时移走不再使用的帐号。经常检查确认有没有增加新的帐号,不使用的帐号是否已被删除。当雇员或承包人离开公司时,或当帐号不再需要时,应有严格的制度保证删除这些帐号。
  
  第三步:加强所有的弱口令,并且设置为不易猜测的口令,为了保证口令的强壮性,我们可以利用Unix系统保证口令强壮性的功能或是采用一些专门的程序来拒绝任何不符合你安全策略的口令。这样就保证了修改的口令长度和组成使得破解非常困难。如采用一首诗的部分诗句中第一或第二个字母,加上一些数字来组成口令,还可以在口令中加入一些特殊符号将使口令更难破解。
  
  第四步:使用口令控制程序,以保证口令经常更改,而且旧口令不可重用。
  
  第五步:对所有的帐号运行口令破解工具,以寻找弱口令或没有口令的帐号。(在你这么做之前,先确定你有权利这么做,你是管理员)
  
  另一个避免没有口令或弱口令的方法是采用认证手段,例如采用RSA认证令牌。每分钟变一次,相信没有人可以在没有令牌的情况下进入你的FTP服务器
  
  四、对重要数据进行备份
  
  服务器虽然在各方面的性能上都比普通计算机更好,但是依然不可避免可能遭受病毒、硬件故障、误操作、软件崩溃等方面的困扰,这些困扰都会给存储在服务器上数据带来威胁。可以这样说,很多时候服务器内保存的数据比服务器本身更值钱,甚至可能因数据丢失带来无法估量的损失。花了很长时间辛辛苦苦建立起的数据,突然因系统关机、硬盘毁损或病毒侵害等灾难,在一时之间毁损,那种损失几乎是无法估量的,所以做好资料的备份就显得非常重要了。
  
  作为FTP服务器的网络管理员,对于快速增加的数据量、二十四小时不停运转及日趋有限的备份时段、如何做到有效的数据保护呢?最佳的解决之道便是事先做好数据备份/防毒及灾难重建的计划,然后就是做好备份,以便数据丢失时恢复。目前企业备份数据主要采用以下几种方式:
  
  1.磁盘阵列
  
  一般企业的都采用购买磁盘阵列的方式来作备份,磁盘阵列利用Hot Swap联机抽取硬盘及Hot Spare联机维护损坏硬盘机的方式,提供容错的处理技术,将数据分散在多个硬盘上,使得如果其中某一个硬盘机发生损毁时,其他的硬盘可利用容错的演算法将正确的数据回存至硬盘中;
  
  2.远程镜像技术SRDF
  
  对信息资源可持续性和高可用性要求苛刻的金融证券等的"关键业务应用系统"则采用远程镜像技术SRDF,这种技术可以保障关键业务在灾害或危机发生时仍然能够持续不断地稳定运行。这种技术不但保证了我们能够做到在灾难发生的同时,实现应用处理过程的实时恢复,而且解决了在数据恢复过程中一直困扰人们的费时费力的磁带倒带操作,这就是所谓的智能磁盘存储子系统,而异地备份更保证了数据的安全性。利用这种方式恢复一个关键任务系统的信息可能仅需几分钟,而不再是传统方式下的几十个小时甚至几天了。SRDF拥有两套磁盘子系统,可分别称之为R1和R2,存放实时数据拷贝的R2子系统被安置在与存放原始数据拷贝的R1子系统不同的地点。这样就确保了在数据中心发生故障时,R2系统仍然是可用的,而且与R1是同步的。
  
  3.光盘库
  
  对于一般的仅用于保存数据的文件服务器来说,可以选择用光盘库来作为备份设备。定期将硬盘中的数据刻录到光盘中进行保存,这种方式价格最低,但是我们无法利用光盘库将整个操作系统完全备份,所以在遇到系统毁损后,亦无法利用光盘片将整个操作系统恢复到原状,只能对刻录在光盘上的数据进行恢复。
  
  企业可以根据自身业务的需要,选择一种适合自己的备份方式,做好服务器数据的备份。建议每天都做备份,一周做一次完整的备份,之后每天再做增量备份的备份策略;至少一个月要对备份介质做一次测试,以保证数据确实被正确的保存了下来,这是最低要求。对于要求较高的服务器数据,要求每天都做完整的备份,并且一天就做多次备份,如实时金融和电子商务系统,重要设施的控制系统和一些国防部门的系统都需要这样一个备份策略。
  
  五、FTP服务器还需要注意的其它安全问题
  
  作为Internet上的FTP服务器,会面对各种各样的用户。但是作为企业内部的FTP服务器,一般不会希望匿名FTP用户来使用,所以在FTP软件的设置上最好设置禁止匿名访问。另外还需要注意以下一些安全问题。
  
  1.未经授权的用户禁止在服务器上进行FTP操作
  
  FTP用户所使用的用户帐号必须在、etc/passwd文件中有所记载,并且用户帐号口令不能为空。在没有正确输入用户帐号和口令的情况下,服务器就会拒绝该用户访问。另外FTP守护进程FTPd的/etc/FTPusers文件中也可将一些用户加入黑名单,凡在这个文件中出现的用户都会被服务器拒绝提供FTP服务。还有服务器管理也可以建立"不受欢迎"的用户目录,拒绝这些用户訪问。
  
  2.FTP用户不能读取未经系统所有者允许的文件或目录;未经允许FTP用户不能在服务器上建立文件或目录;FTP用户不能删除服务器上的文件或目录。
  
  为了解决这三个问题,管理员需要对FTP主目录下的文件属性进行管理,建议对每个目录及其文件采取以下一些措施:
  
  FTP主目录:将这个目录的所有者设为"FTP",并且将属性设为所有的用户都不可写,防止不怀好意的用户删改文件。
  
  FTP/bin目录:该目录主要放置一些系统文件,应将这个目录的所有者设为"root"(即超级用户),并且将属性设为所有的用户都不可写。为保证合法用户可显示文件,应将目录中的ls文件属性设为可执行。
  
  FTP/etc目录:将这个目录的所有者设为"root",并且将属性设为所有的用户都不可写。将目录下的group文件和passwd文件的属性设为所有用户只读属性,并用编辑器将passwd文件中用户加过密的口令删掉。
  
  FTP/pub目录:将这个目录的所有者置为"FTP",并且将它的属性设为所有用户均可读、写、执行。
  
  经过以上一些设置以后,既保证了系统文件不被删改,又保证了FTP合法用户的正常访问。

[责任编辑:Lavy]

------分隔线----------------------------