注意:
1、与IIS一样,Serv-U也提供了虚拟目录设置功能。假设我们要将”G\电影\DVD影片”目录映射成FTP主目录下的”DVD”目录,点击”设置”,在”常规”选项卡下有个”虚拟路径映射”,点”添加”,在”物理路径”中输入”G\电影\DVD影片”,”映射物理路径”中输入”%HOME%”或FTP主目录的绝对路径,”映射的路径名称”填进”DVD”,完成后如图4。最后,进入用户的”目录访问”选项卡,将”G\电影\DVD影片”目录添加进去。以该账户登录FTP,就可以看到多了一个DVD目录。
2、客户端要关闭防火墙.
1打开MS-DOS方式(Win2000下为“命令提示符”)
2.输入:ftp 61.172.196.27 回车
屏幕提示:
Connected to 171.72.16.201.
220 welcome joinline sever …
User (171.72.16.201:(none)):
3.输入用户名:sfholiday 回车
屏幕提示:
331 User name okay, need password.
Password:
4.输入密码(注意:屏幕不显示):2005 回车
屏幕提示:
230 User logged in, proceed.
5.输入:quote "site pswd sfholiday2005 1234" 回车
注:这里 2005 为原密码 1234 为新密码,不要忘记输引号
屏幕提示:
230 Password changed okay.
1.1、FTP是什么
FTP的全称是File Transfer Protocol(文件传输协议)。顾名思义,就是专门用来传输文件的协议。
FTP服务器则是在互联网上提供存储空间的计算机,它们依照FTP协议提供服务。当它们运行时,用户就可以连接到服务器上下载文件,也可以将自己的文件上传到FTP服务器中。有时把FTP服务器简称为FTP。
FTP服务器的存在,大大方便了网友之间远程交换文件资料的需要,充分体现了互联网资源共享的精神。
现在许多朋友都已经用上了宽带网,而且硬盘也有足够的空间,完全可以通过软件手段把自己的电脑变为一台FTP服务器,和网络中的朋友们一起分享大家各自收藏的好东东!
1.2、什么是内网
内网的计算机以NAT(网络地址转换)协议,通过一个公共的网关访问因特网。内网的计算机可向因特网上的其它计算机发送连接请求,但因特网上的其它计算机无法向内网的计算机发送连接请求,所以无法用通常的方法去建立FTP服务器。
内网的IP地址有如下3种形式:
10.*.*.*
172.16.*.*至172.31.*.*
192.168.*.*
1.3、内网建FTP的两种方式
1.3.1、动态域名和虚拟专用法:
适于条件:不能够接触到网关服务器,无法做专业端口映射。
如:科迈网之动态域名和虚拟专用服务之内网专业版。(TrueHost)。
1.3.2、端口映射法:
适用条件:能够接触到网关服务器,并作端口映射。
如:端口映射软件PortTunnel。
1.4、关于域名
通过域名可以解决没有固定因特网IP的问题。如“花生壳”等。
上面1.3.1所提及的方法不需要另外的域名服务,因为本身已提供该服务。
1.5、关于Serv-U
一种常见的建立FTP的工具软件。
1.6、架设FTP服务器的基本条件:
架设一台 FTP 服务器其实很简单。
1.6.1、网络速度
机器能上网,网络速度最好不低于 ADSL 512 Kbps。
1.6.2、硬件性能
一般来说,系统最低要求如下:
CPU:PⅢ 450 MHz 以上
内存:256M SDRM 以上
1.6.3、软件环境
FTP服务器软件:可以使用专业FTP服务器软件,如SERV-U;也可以使用微软的 IIS(Internet Information Server 因特网信息服务系统)。不同的软件提供的功能不同,适应的需求和操作系统也不同。
操作系统:Windows 98/Me/NT/2000/XP 均可,如果对服务器的性能和安全性要求很低,可以采用 Windows 98 和Windows Me。
本文中,如无特殊说明,均以Windows XP 专业版为操作系统,其余操作系统下 FTP 服务器的架设及设置均大同小异。
1.7、建站软件下载地址
建议根据下文提到的软件名称,用GOOGLE之类的搜索一下。
本站有下载:
2、建立FTP方案
2.1、方案一之A方案:用 Serv-U 架设FTP
适用条件:有固定因特网IP地址。
2.2、方案一之B方案:用IIS 架设FTP
适用条件:有固定因特网IP地址。
2.3、方案二、Serv-U+花生壳
适用条件:有不固定因特网IP地址。
2.4、方案三、Serv-U+花生壳+PortTunnel端口映射
适用条件:内网IP,可控制网关服务器并设置端口映射。
2.5、方案四、Serv-U+TrueHost
适用条件:内网IP,不能控制网关服务器。
2.1、方案一之A方案:用Serv-U 架设FTP之 Serv-U(Version 4.1.0.0)全攻略
Serv-u 是著名的 FTP 服务端软件,可以方便地建立 FTP 服务器,下面详细解释 Serv-u 的安装、设置、使用和解答一些常见问题。
2.1.1、内容索引
1.安装
安装 --- 汉化 --- 运行
2.建立 FTP 服务器
建立域 --- 添加用户 --- 设置用户目录 --- 设置用户权限
3.高级设置:
建立组 --- 赋予组权限
修改服务端口
封锁访问者 IP
踢人
设置服务器回复信息
4.访问样例
Internet Explorer
Cute FTP
5.常见问题
6.Serv-U 架设的FTP 服务器的管理
2.1.2、安装
1. 运行安装程序:
2. 选择安装路径
安装路径这点大家通常都会忽略,因为大家都有一个不良习惯:把所有程序都安装到默认的 %system%\program files\ 下。普通软件是没有什么大问题的,但是这对于服务类软件和安全类软件是非常危险的,在默认情况下 user 对 program files 的权限是可访问可运行的,对于黑客来说,无需夺得管理员权限就可随意关掉你的防火墙病毒墙,把需要的文件共享,很简单就达到完全入侵的目的。
所以建议把 Serv-u 安装到权限已设置好的安全目录中去较为稳妥。
恐怖的权限:
这是普通的Windows Media Player 目录属性 (可见 Serv-U 装在这里的话…):
3.安装后的简单向导
安装完毕后 Serv-u 会询问你几个问题,包括:新建域的 IP、域名描述、服务端口、该域下的匿名用户、匿名用户的目录、建立其他用户等。
这里可以什么也不选择,退出 Serv-u 后安装 Serv-u 的汉化补丁:
完成补丁按安装后 Serv-u 就变成中文版了,接下来的设置就会比较容易理解而且十分清晰。
Serv-u 支持建立多个域,即多个 FTP 服务器;但这些服务器不能同时使用相同的端口,必须每个服务器使用不同的端口,计算机的可用网络端口有 65535 个,扣除系统预留的端口,用户可以随意选择的端口还有很多。
下面介绍如何在一个空空如也的 Serv-u 中建立 FTP 服务器。
2.1.3、建立 FTP 服务器
运行 Serv-u,展开《本地服务器》,右击新建域或直接按下 Insert:
1. 新建域的服务器 IP
如图所示:如使用动态 IP 地址的可以留空:
2. 添加新建域的域名
输入新建立的域名描述,可随意输入,这些只是标识而已:
3. 选择服务端口
默认的 FTP 端口是 21,您可以选择其他端口,但需要知会访问者:
4. 选择域类型
如设定同时可访问量大于 500 人的话可选择注册表:
启用 DNS 选项可以在 TOZ.CO[img]申请一个动态域名解释服务(试用期30天),这里不用理会:
5. 添加用户
这里可以添加两种用户,一种是有匿名访问权限的 Anonymous,另一种是必须输入用户名称和密码才能访问 FTP 服务。这两种用户我们都可以赋予不同的权限。
A. 添加匿名用户
与添加域名相似,右击域目录树下的用户选择添加用户或选中域目录树下的用户然后按 Insert。
输入匿名用户的缺省名称 Anonymous ,注意:Serv-U 把会自动把用户名为 Anonymous 的用户识别成匿名用户。
输入 Anonymous:
指定可访问目录:
锁定目录 :
B. 添加权限约束用户
权限约束用户必须输入用户名和密码才能够登陆 FTP 服务器。
与添加匿名用户一样,步骤大致相同。
新建用户 movie:
注意:在这里 Serv-U 没有以通用的 “*” 表示密码 :
指定目录路径:
锁定目录 :
6. 设置用户权限
这里主要介绍用户的权限,这些权限包括文件权限、目录权限、子目录权限。
文件权限包括:读取(Read)、写入(Write)、追加(Append)、删除(Delete)、执行(Execute)。
目录权限包括:列表(List)、创建(Create)、删除(Delete)。
子目录权限有继承(Inherit)。
文件权限:
读取(Read):赋予用户读取(下载)文件的权限。
写入(Write):赋予用户写入(上传)文件的权限。
追加(Append):允许用户追加文件。
删除(Delete):赋予用户删除文件的权限。
执行(Execute):赋予用户执行文件的权限。请注意:这个权限是很危险的,一旦开放这个权限,用户可以上传恶意病毒文件并执行该文件,会给计算机造成无可估计的破快。
目录权限:
列表(List):赋予用户浏览文件列表的权限,如果开放了读取全县但关闭列表权限,并不会影响用户的下载,只要用户知道详细的下载路径就行了。
创建(Create):允许用户创建目录即创建文件夹。
删除(Delete):允许用户删除目录,但不允许删除非空目录。
子目录权限:
继承(Inherit):与 NTFS 继承一样,用户可以按照本级目录的权限访问下一级目录。
2.1.4、高级设置
1. 用户组的使用
与 Windows 2000/NT 一样,Serv-U 也有类似的用户组别管理机制,只需要按照所需的权限建立组,就无需再为每个用户重新定义权限了。
假设现有 Movie-con 组、Movie-adv 和 Upload 组,Movie-con 组织允许知道详细下载路径的用户下载文件,则 Movie-con 组就只需要有文件的读取和子目录继承两个权限就可以了。
只有 R---[img](读取和继承) 权限的 Movie-con 组
Movie-adv 组可供用户登陆后浏览整个 FTP 服务器以选择需要下载的文件,则 Movie-adv 组就需要有文件读取、目录列表和子目录继承三个权限了。
拥有文件读取、目录列表、子目录继承的 Movie-adv 组
Upload 组需要有上传权限,则应赋予文件写入、目录列表以及子目录继承三个权限了。
只有文件上传、目录列表和子目录继承权限的 Upload 组
当相应权限的组建立后,就可以向组里面添加用户名
被列入 Movie-con 组的用户 movie 有自己的用户权限外还有组的权限
2. 修改服务器端口
选中域后出现的域属性中可更改 FTP 服务器的端口 (丛 0 – 65535 ),默认值是 21。
3. 向访问者发送消息
您可以向正在访问您的 FTP 的用户发送消息,如:您好,欢迎登陆,30 分钟后我将断开服务器,请使用支持断点续传的 FTP 下载软件访问。等等的这些提示消息,问候消息都可以被访问者接收到。
选中域,在菜单栏上选中”窗口”,下拉菜单中选择 “消息”,也可以直接按 F2,但必须是在选中域的情况下。
在出现的消息窗口中点击 “广播消息” 或按组合键 ctrl+b 会出现消息的撰写窗口:
也可以独立向某个访问者发送消息;选中域然后再选中活动:
4. 封锁访问者 IP 和踢人
您喜欢的话可以封锁一个 IP 段或一个 IP,服务器会拒绝来自这个 IP 段或这个 IP 的访问。
选中域,然后选中域的设置,再选择 IP 访问。
禁止来自 218.19.*.* - 218.20.255.255 IP 段的访问
也可以单独踢人,选中域下的活动,在用户列表中选中用户,在右键菜单中选择踢除用户。
5. 设置服务器的回复消息
这些回复将被显示在访问者的 FTP 下载软件的事件对话中。
6. 限制访问者的上传下载速率
太多的用户访问把您的带宽都抢掉了,连浏览网页都变得像乌龟一样慢,您就需要限制访问者的上传和下载速率。
选中需要限制的用户,在常规中的最大上传/下载速度中就可以指定该用户的速度了:
7. 设定整个服务器的高级设置
您可以设定整个服务器的高级设置,在服务器名字 (默认是本地服务器) 下选择设置:
*常规设置:
o最大速度:指定服务器的最大访问速度。
o最大用户数量:指定服务机在同一时间内允许的访问者数量。
o文件/目录只允许使用小写字母:指定所有文件和目录是否只使用小写字母。
o禁用反超时调度:忽略由客户使用的普通方法饶过任务超时。
o拦截”FTP_bounce”攻击和 FXP:只允许活动模式传送到客户 IP,也禁止直接的服务器到服务器的传送。
o拦截连接超过 [ ] 次 于 [ ] 秒 [ ] 分钟:自动拦截企图登陆的用户,一般设定为 3 次。
*SSL 证书
o指定使用 SSL 连接,高级用户适用。
*目录缓存
o指定目录缓存大少以及监视缓存的使用情况。
*高级
o服务器:
加密密码:把密码储存于加密表单中。
启用安全:强迫安全,禁止允许任何人在服务器上做任何事。
信息包超时:信息包的超时时间。
目录列表掩码:UNIX 风格访问掩码用于目录列表。
PASV 端口使用范围:限制 PASV 的端口号,默认锁定为 1023 – 65535 之间。
o文件上传:
允许无权只读访问:先以无权身份访问上传文件,如失败则改用只读方式来访问。
不允许访问:不允许任何人访问正在上传的文件。
允许完全访问:允许其他用户访问正在上传的文件。
适应超时:在上传期间,服务器自动适应上传时的超时。
osockets:
联机界外数据:解释 OOB 包到规则 TCP 流中。
发送连接信号:定时发送信号确认连接是否没有断开。
禁用 Nagle 运算法则:发送下一个包之前不等待等候信号。
发送缓冲:指定发送的缓冲区大小。留空则自动调用堆栈。
接收缓冲:指定接收的缓冲大区小。留空则自动调用堆栈。
o文件下载:
允许完全访问:允许其他客户或进程完全访问正在被下载的文件。
允许读取访问:只允许其他用户或进程以只读方式访问正在被下载的文件。
8. TIPS (提示)
1. Serv-U 的每个选项,左下角的状态栏都会显示该选项的详细资料,为用户在设置时提供充足的设置信息。
2. 在设定域的时候需要注意,域必须设置正确,您可以设置为一个 IP 或一个域,访问者会根据域或者来访问的,若域名设置错误,则访问者会收到无法访问等消息。
2.1.5、访问样例:
部分 FTP 访问软件访问 Serv-u 时的信息
Internet Explorer
打开 Internet Explorer,输入本地 FTP 地址,这里输入默认的本地 IP 127.0.0.1
Internet Explorer 的状态栏会显示这些信息:
用户:匿名
区域:Internet
下载文件:选中需要的文件,在菜单栏中选中文件,然后选择 “复制到文件夹”或直接右击需要下载的文件,在右键菜单中选择”复制到文件夹”。
Internet Explorer 的状态栏会显示这些信息:
用户:匿名
区域:Internet
下载文件:选中需要的文件,在菜单栏中选中文件,然后选择 “复制到文件夹”或直接右击需要下载的文件,在右键菜单中选择”复制到文件夹”。
不选择任何文件,然后单击菜单栏的文件,选择登陆可使用其他的用户身份登陆 FTP 服务器。
Cute FTP
2.1.6、常见问题
1.为什么我启动 Serv-U 时提示无法启动?
答:Serv-U 启动时用户应以该软件安装时的用户身份登陆,即使用 Power User 安装就最好使用 Power User 或以上的用户身份启动 Serv-U。
启动时还需要注意,磁盘空间是否足够,当系统内存或许你内存严重不足时会发生无法启动 Serv-U 。
2.Serv-U 中有一个本地服务器,我还能建立多一个类似的服务器吗?
答:可以。但需要注意端口的设置避免端口冲突。
3. 我把域删除了,有什么方法可以恢复吗?
答:在 Serv-U 的安装目录下有一份 ServUDaemon.ini 的文件,里面储存了Serv-U 的注册信息以及域的设置信息,注意备份就可以避免误删域了。
4.为什么我通过 127.0.0.1 访问自己的 FTP 时会显示阅读文件夹时出错,请确认您有访问权限的错误提示?
答:如果把被访问的文件放到 NTFS 磁盘分区下的话,您还需要在 NTFS 里赋予 Everyon 的访问权限。
5.我明明已经设置好了该用户的主路径,为什么还是不能访问?
答:如果您在目录访问里面没有赋予用户的访问权限的话,就算指定了用户主目录也还会一样放问不了,您必须设置好这个权限。
6.上传/下载比率究竟是什么意思?
答:这个比率指的是访问者如果同时在上传和下载的时候,上传和下载之间的比率分配。例如比率是 1/2 的话,那么访问者在上传一条线程时还可以用两条线程进行下载。
7.我自己能访问,但别人不能访问,怎么回事?
答:这里有几个可能,
第一,您的防火墙把 FTP 的端口拦住了,例如 Norton 防火墙是只允许 21 出站而禁止进站。
第二,如果访问者是利用域名访问您的话,您需要确保该域名确实能够访问到您。
第三,如果您在内网,那么您还需要在您的上层出口主机或网络设备上设置好端口映射。
第四,对方的访问方式的正确性,如果是对方输入错误而导致访问错误的话 … …
8.Serv-U 中的磁盘配额限制怎么样用?
答:这个配额限制其实无需特别设置,这个功能是用于限制访问者磁盘配额,如果您的磁盘太小,系统已经占用了大量的磁盘空间,如果访问者太多,也会占用不少的磁盘空间,这就需要限制访问者了,磁盘配额限制的作用就在于此。
9.我更改了 Serv-U 的 FTP 端口,别人需要用什么方式来访问我呢?
答: 需要用 “ ftp:// yourIP :端口 “这种格式来访问。
10.我使用代理服务器上网,别人能访问到我吗?
答:您可以在代理服务器上设置端口映射,把端口映射您的机器上就行了。
2.1.7、Serv-U 架设的 FTP 服务器的管理
比起IIS来,Serv-U的管理功能强大得多,而且设置也很方便。需要特别注意的是每进行任何一次设置或改动,都要点击界面左上角工具条的”保存”按钮才能生效(图2)。
1.账户管理
Serv-U对账户的管理相当方便,不仅可以对单个账户进行管理,还可以将具有相同权限的多个账户设置成组,进行统一管理。
1)添加/删除单个账户
在左边窗口中找到”用户”,右击,选”新建用户”,依次设置”用户名称”、”密码”、”主目录”(该账户登录后所处的目录位置)、”锁定用户于主目录”即可完成一个新账户的创建。有时我们要建一批具有相同主目录的账户,比如A1、A2、A3……如果一个个地去新建,就比较麻烦,这时可以使用”复制用户”的功能。先创建A1用户,再右击账户”A1”,选”复制用户”,依此而为,然后再将复制后的账户名改为A2、A3等。这样创建的账户除了名称不同外,其余包括密码在内的设置都是一样的。
2)添加/删除组
如果有一批账户,如A1、A2、A3,拥有相同的访问主目录及IP访问规则,就可以将这些账户设成一个组,统一管理,对组做的任何设置都将同时对该组所有账户成员生效。右击”组”,选”新建组”,输入组的名称就可以建立新组。新建的组并不拥有任何账户成员,还需要将这些成员账户一一添加到组中。选中要添加的账户,在右边窗口中的”组”中(图3)选择要加入的组,除Anonymous账户外,任何一个账户均可同时加入一个或多个组。要将此账户从该组中删除,留空此处即可。要删除某个组,在组名上点右键,再点”删除组”即可。同样,组和单个账户一样,也可以复制,方法是选择某个组后点右键,再点”复制组”。
3)设置账户的有效期
如果某些账户违反了你制定的规矩,可以通过禁止该账户一段时间以示惩诫,在此期间,任何用户用此账户登录服务器都将被拒绝。你只要选中该账户,在右边”账号”选项卡上将”禁用账号”选中即可,若要解禁,将”√”去掉。对于一些临时性的账户,如果等到期后再一个个地去删除,对你的记性显然是一大考验。Serv-U提供了一个解决办法,可以到期自动删除该账户。选中”自动删除账号于日期”,在后面的下拉框中设置好到期的日子,系统就会按指定日期自动删除该账户。
2.设置虚拟目录
与IIS一样,Serv-U也提供了虚拟目录设置功能。假设我们要将”G\电影\DVD影片”目录映射成FTP主目录下的”DVD”目录,点击”设置”,在”常规”选项卡下有个”虚拟路径映射”,点”添加”,在”物理路径”中输入”G\电影\DVD影片”,”映射物理路径”中输入”%HOME%”或FTP主目录的绝对路径,”映射的路径名称”填进”DVD”,完成后如图4。最后,进入用户的”目录访问”选项卡,将”G\电影\DVD影片”目录添加进去。以该账户登录FTP,就可以看到多了一个DVD目录。
3.设置目录权限
与IIS不同,Serv-U基于账户来设置不同的访问目录。每个账户在创建时都要选择好登录后所处的目录位置,不同的账户可以不同。每个目录有如下权限可供设置:
1)文件操作
读取:允许用户从服务器下载文件;
写入:允许用户上传文件到服务器,但不允许修改、删除和重命名;
追加:允许向存在的文件附加内容或者进行续传,只有选中此项,该目录才允许续传;
删除:允许用户修改文件、重命名和删除;
执行:通过FTP执行命令,这个权限要小心使用,否则可能会导致安全问题。
2)目录操作
列表:允许用户取得该目录下的文件列表,不选,则用户什么也看不到;
创建:允许用户在该目录下创建新的子目录,很多上传用户在上传文件时往往都是将整个目录上传,如果此项未被选中,则用户只能上传一个个文件,而不能按目录来上传;
删除:允许用户删除目录。
3)子目录操作
继承:父目录的访问规则自动应用到子目录上。
作为站长,不仅要详细了解这些权限,还要学会合理设置每个目录的不同用户的权限。一般来说,对于普通或匿名用户,最好只赋予读取和目录列表权限,以方便管理和提高FTP服务器的安全性。对于上传用户,应当开设专门的账号并赋予读取、写入、追加、目录列表及创建权限,对于特殊用户,尽量少赋予更多的权限,尤其是”执行”权限。要设置权限,进入每个用户或组的”目录访问”选项卡,根据自己的需要自行设置。
4.消息设置
使用CuteFTP Pro登录某个FTP时,有时会在状态窗口中看到一些诸如”欢迎来到本站”之类的信息,这就是消息。很多FTP站长并不重视登录/退出/更改目录的消息设置,其实如果设置得当,不仅会方便用户尤其是上传用户的访问,而且能使你的FTP看起来更加个性化和专业化。
选中”设置”,在右边窗口找到”消息”选项卡(图5)。”服务器响应信息”由系统默认,一般不须修改。注意下边的四个选项才是我们需要设置的:
”开始标记信息”:指定包含当用户登录成功时出现的欢迎信息的文件位置;
”关闭标记信息”:指定包含当用户断开连接时显示信息的文件位置;
”更改消息文件的主目录”:指定当用户更改所处目录时显示信息的文件位置;
”更改消息文件的次目录”:指定当用户更改目录且文件并未找到主文件时显示信息的文件位置。
以制作登录成功时显示的欢迎信息为例。先建一个名为”logon”的文本文件,打开,在里面输入如下信息:
欢迎来到×××的个人FTP服务器
你的IP地址是:%IP
目前服务器所在的时间是 %time
已经有 %u24h 个用户在最近24小时访问过本FTP
本FTP服务器已经运行了 %ServerDays 天%ServerHours 小时。
服务器运行情况:
所有登录用户数量:%loggedInAll total
当前登录用户数量:%Unow
用户已用空间配额:%QuotaUsed KB
剩余可用空间配额:%QuotaLeft KB
用户当前剩余空间:%DFree KB
最大可用磁盘空间:%QuotaMax KB
其中,以%开头的都是一些变量(更多的变量请查询Serv-U的帮助文件),×××可以改成你的名字,也可以加上一些你喜欢的文字,但每行以不超过70个英文字符为宜。在”开始标记信息”中输入logion.txt文件的地址,保存后用CuteFTP登录,就会看到如图6所示的信息。这样,对于要上传文件的用户来说,服务器还剩余多少空间可供上传就一目了然了。
提示:对于每个账户也可以设置当该用户用此账户登录时出现的提示信息。在此账户的”常规”选项卡中找到”登录消息文件”,选择好消息文件目录即可。这样的好处在于:我们可以设置一个专门用来上传的账户,然后只将有关上传方面的相关详细信息设置成消息文件,供上传账户用户参考。
5.上传/下载率的设置
每个用户的设置选项中都有一个”上传/下载率”选项卡。所谓”上传/下载率”,实际上就是对用户上传下载文件的一种信用机制。作为站长,都希望用户能够上传一些有价值的东西供大家共享,而不仅仅只是使用FTP提供的资源。通过设置”上传和下载比例”,站长可以限制使用FTP的用户每上传一个文件后可以下载的文件数。启用上传/下载比率(图7)后,Serv-U提供了四种计数方式:
”计数每个任务文件”:计算该比率下每个单独FTP任务的已上传/下载的文件;
”计数每个任务的字节”:计算该比率下每个单独FTP任务的上传/下载文件的字节;
”计数所有任务文件”:计算该比率下所有FTP任务的已上传/下载的文件;
”计数所有任务的字节”:计算该比率下所有FTP任务的已上传/下载文件的字节。
以”计数每个任务文件”为例,如果在”比率”选项中,”上传”设为1,”下载”设为4,则该账户每上传1个文件,就可以从FTP中下载4个文件。
但”上传/下载率”存在一个问题:假如FTP中有某个目录或文件不需要计入上传/下载率,怎么办?我们可以在”设置”中的”上传/下载率”选项卡中设置。点击”添加”,输入不需计入的目录或文件,确定即可。如果有多个目录或文件,则重复此操作。
6.用户配额管理
利用”上传/下载率”可以有效地激励用户为获得下载权限而积极上传,但新的问题也随之而来:随着用户上传文件的增多,硬盘的空间很快就会被这些文件占用,如果某个用户上传的文件特别多,在硬盘空间不变的情况下,则又会影响到其他用户对可供上传空间大小的支配。这时,就需要进行用户配额管理了。
与”上传/下载率”相同,Serv-U可以给每个用户分配一个磁盘配额。选择要设置的用户,在”配额”中将”启用磁盘配额”选中。点击下方的”计算当前”按钮,”当前”中就会显示该用户账号当前可用的硬盘空间,在”最大”中填入分配给此用户账号所能支配的最大硬盘空间。注意,这里的单位是KB。
7.管理活动用户
林子大了,什么鸟儿都有。并不是每个登录到FTP服务器的用户都是循规蹈矩的,这就需要站长对连接到本服务器的在线用户进行管理。点击主界面左侧”域”下的”活动”,在右边的窗口”用户”选项卡中进行管理。选中其中某个用户,点右键,就会在弹出的菜单中显示出可以进行的操作。
”重载信息”:用于重新载入该用户信息,相当于刷新。
”发送消息”:向当前所选用户发送文本消息,发出的消息将在用户的FTP客户端软件中的状态窗口中出现。
”广播”:向当前所有活动用户发送文本消息。
”停止传送”:如果用户当前正在上传或下载文件,则可以中止此上传或下载操作,但不将该用户踢除服务器。
”踢除用户”:不管用户是否在上传或下载文件,将该用户踢除本服务器。
”监视用户”:对该用户所有操作进行实时监视,但不对该用户执行其它任何管理命令。选中后,会在”域日志”选项卡旁多出一个以该用户账户命名的选项卡(图9),里面实时显示该用户的所有操作信息。要关闭监视,右击选项卡,选”关闭监视”即可。
”域日志”选项卡用来实时记录每个登录到本服务器的用户使用的账户名、登录时间、IP地址和退出服务器时间,便于站长了解本服务器登录用户的基本情况。默认情况下,该日志是实时更新的,但如果将旁边的”冻结”选中,就会停止更新。
提示:监视一个用户将占用服务器较大的资源,如果活动用户数比较多,请谨慎使用此功能。
8.编辑IP访问规则
对于某些扰乱服务器秩序但又不方便删除其账户的用户,可以利用”编辑IP访问规则”(图10)允许或阻止特定的IP访问。Serv-U对用户IP访问规则的设置相当灵活,不仅可以设置允许访问本服务器的用户IP,也可以设置拒绝访问的用户IP;不仅可对每个账户进行单独编辑,也可对整个服务器所有账户进行统一编辑,还支持”*”和”?”通配符。
1)拒绝访问
对于捣蛋的用户,如果不方便删除其账户,可以从”域日志”中查找到该用户连接的IP。在”规则”文本框中,点击”添加”,Serv-U就会将此规则添加到下方的”IP访问规则”列表框中。这对于那些拥有固定IP的用户相当有效。但如果该用户是拨号上网用户,只要断线后重新拨号,就会获得一个新IP,显然,此IP访问规则对于该用户来说已经失效。要解决此问题,就要用到通配符和”-”符号。假设我们要屏蔽的用户IP是192.168.X.X,可以在”规则”中输入192.168..,也可以输入192.168.?.?-192.168.???.???或者192.168.0.0-192.168.255.255,效果一样。合理使用这些符号,还可以有效防止黑客攻击。
2)允许访问
如果想将自己的FTP站点仅供几个特定的用户使用,可以选中”允许访问”,在”规则”中输入特定用户的IP,再点”添加”。同样,如果特定用户的IP是动态IP,可以使用通配符和”-”符号进行设置。
其实作为站长,更多的时候需要将两种规则灵活混用,比如从拒绝访问的IP中设置某个IP为允许访问,抑或相反。需要提醒的是:对于某些局域网用户,比如网吧,如果将其IP设置为拒绝访问,则整个局域网都将会被服务器屏蔽掉。
9.服务器带宽等资源管理
对于服务器来说,最重要的就是如何保证服务器带宽等系统资源及其性能不被浪费。为此,还需要进行一些设置,进入”本地服务器→设置→常规”选项卡(图11)。
”最大速度”:即可以使用的最大带宽(KB/秒),根据服务器总带宽资源填入合适的数值。如果不填数值,Serv-U将使用所有可用的带宽,这样当连接的用户达到一定数量时,会导致服务器上其它的网络应用不可用。以512Kbps ADSL为例,最好设置为50KB/秒或以下。
”最大用户数”:设置在同一时间内允许连接到本服务器的最大用户数。由于每个连接到服务器的用户即使不上传、下载任何文件,也会占用一定带宽,因而最好进行设置,否则系统不会控制登录用户数,直至为此耗尽所有资源。
”删除部分已上传的文件”:删除不完整的上传文件。如果选择此项,系统会自动删除没有完全上载的文件,以最大可能地节省服务器硬盘空间。是否选择,要视服务器用户平时上传的文件大小决定。
”禁用反超时调度”:很多FTP服务器为了防止用户长时间不操作却占用带宽及连接数而做了超时设置,当用户连接超过一定时间但未做任何操作,就会被服务器自动踢除。针对这点,一些FTP客户端程序会自动向服务器端发送一些命令,以保证不被踢除。如果选择此项,服务器将采用一种独特的计时方式以防止FTP客户端程序的这些反超时设置。建议选择。
”拦截连接超过 ×次于× 秒×分钟”:用来设置如果一个用户在×秒内持续连接了×次,那么屏蔽他的IP地址×分钟,可以有效防止用户使用如网络蚂蚁等高速多线程下载软件连接服务器。
以上的设置对于”域”下所有服务器都有效。但是这些设置对于具体的某个FTP服务器或某个账户来说过于粗浅,不利于细致地管理。不过不要紧,Serv-U针对每个服务器下的每个账户都提供了细化的设置功能。可进入该账户的”常规”选项卡:
”只允许X从相同的IP登录”:很多用户在下载两个或两个以上文件时,为了节省下载等待时间,往往会同时打开两个以上的FTP客户端软件登录。对于服务器来说,每个登录进程实际上就是一个用户,这样不仅占用了系统带宽,而且挤占了其他用户的登录权。这就需要选中此选项来防止此种情况。选中后,服务器就只允许某个IP同时最多有X个连接。
”最大上传速度和最大下载速度(KB/秒)”:用来设置该账户用户最大的上传/下载速度。对于特定账户,可以设置得比一般账户高些,以体现特权。
”空闲超时和任务超时(秒)”:”空闲超时”用来设置当用户空闲超过一定时间时就会被服务器自动踢除以免占用资源,”任务超时”设置当用户与服务器进行每个任务时,超出一定时间就会被系统自动踢除。
”最大用户数量”:设置在同一时间内用此账户登录服务器的最大用户数。
完成这些设置后,实际上你已经拥有一台处于准专业管理水平下的准专业FTP服务器了。之所以还只是准专业管理水平,是因为你还没有实现当今最时尚最炫的远程管理功能。
10.实现远程FTP服务器管理
有没有想过在家中架设FTP服务器,在办公室也可以像坐在家中一样对服务器进行各种设置和管理呢?Serv-U就提供了这种远程管理功能。为方便说明,先假设我们在家中用Serv-U架设了一个名为”MyFTP”的FTP服务器,地址是ftp//218.1.1.1,端口是21,现在要在办公室用用户名和密码均为dys的账户进行远程管理。
1)先创建一个拥有远程管理权限的账户
新建一个用户,用户名和密码均设为dys。创建后,进入dys账户的”账号”选项卡,找到”权限”下拉列表框(图12)。这里除了一般用户的”没有权限”外,有四个远程权限可供选择:
”组管理员”:可以进行远程管理,但只能对本组用户进行管理,不能对服务器进行管理。
”域管理员”:可以进行远程管理,但只能对本域进行管理,不能添加新域。
”系统管理员”:可以进行远程管理且具有全部权限。
”只读管理员”:主要用来进行远程诊断,可以看到全部的服务器设置但不能够进行修改。
这里,我们选择”系统管理员”,然后保存。
2)在办公室机器上安装并设置好Serv-U
安装好后,架设服务器向导可以随意填。选中左边窗口中的”Serv-U”服务器,右击,选”新建服务器”。在弹出的向导窗口中,”IP地址”填入要被管理的服务器IP,这里填入218.1.1.1,”端口号”填入被管理服务器的端口,这里填21。”FTP服务器名称”可以随意,这里输入”远程管理MyFTP”,”用户名称”和”密码”中输入被管理服务器上已经设置好的具有远程管理权限的账户名和密码。完成后如图13。
3)与远程FTP服务器建立连接并进行管理
双击”远程管理MyFTP”与家中的服务器建立连接。连接上后,此时你就可以像在家里一样对服务器进行各种设置和管理了,是不是很方便。
2.2、方案一之B方案:用IIS 架设FTP
2.2.1、IIS 架设FTP方法
如果只是想建个小型的同时在线用户数不超过10个的FTP服务器,且不会同时进行大流量的数据传输,可以用IIS 5.0 作为服务器软件来架设(IIS 只适用于Windows NT/2000/XP 操作系统)。
1、安装
Windows XP 默认安装时不安装IIS 组件,需要手工添加安装。进入控制面板,找到“添加/删除程序”,打开后选择“添加/删除Windows 组件”,在弹出的“Windows 组件向导”窗口中,将“Internet 信息服务(IIS)”项选中。在该选项前的“√”背景色是灰色的,这是因为Windows XP 默认并不安装FTP 服务组件。再点击右下角的“详细信息”,在弹出的“Internet 信息服务(IIS)”窗口中,找到“文件传输协议(FTP)服务”,选中后确定即可。
安装完后需要重启。Windows NT/2000/XP 的安装方法相同。
2、设置
电脑重启后,FTP 服务器就开始运行了,但还要进行一些设置。点击“开始→所有程序→管理工具→Internet 信息服务”,进入“Internet 信息服务”窗口后,找到“默认FTP 站点”,右击鼠标,在弹出的右键菜单中选择“属性”。在“属性”中,我们可以设置FTP 服务器的名称、IP、端口、访问账户、FTP 目录位置、用户进入FTP 时接收到的消息等。
1)FTP 站点基本信息
进入“FTP站点”选项卡,其中的“描述”选项为该FTP站点的名称,用来称呼你的服务器,可以随意填,比如“我的小站”;“IP地址”为服务器的IP,系统默认为“全部未分配”,一般不须改动,但如果在下拉列表框中有两个或两个以上的IP地址时,最好指定为公网IP;“TCP端口”一般仍设为默认的21端口;“连接”选项用来设置允许同时连接服务器的用户最大连接数;“连接超时”用来设置一个等待时间,如果连接到服务器的用户在线的时间超过等待时间而没有任何操作,服务器就会自动断开与该用户的连接。
2)设置账户及其权限
很多FTP站点都要求用户输入用户名和密码才能登录,这个用户名和密码就叫账户。不同用户可使用相同的账户访问站点,同一个站点可设置多个账户,每个账户可拥有不同的权限,如有的可以上传和下载,而有的则只允许下载。
3)安全设定
进入“安全账户”选项卡,有“允许匿名连接”和“仅允许匿名连接”两项,默认为“允许匿名连接”,此时FTP服务器提供匿名登录。“仅允许匿名连接”是用来防止用户使用有管理权限的账户进行访问,选中后,即使是Administrator(管理员)账号也不能登录,FTP只能通过服务器进行“本地访问”来管理。至于“FTP站点操作员”选项,是用来添加或删除本FTP服务器具有一定权限的账户。IIS与其他专业的FTP服务器软件不同,它基于Windows用户账号进行账户管理,本身并不能随意设定FTP服务器允许访问的账户,要添加或删除允许访问的账户,必须先在操作系统自带的“管理工具”中的“计算机管理”中去设置Windows用户账号,然后再通过“安全账户”选项卡中的“FTP站点操作员”选项添加或删除。但对于Windows 2000和Windows XP专业版,系统并不提供“FTP站点操作员”账户添加与删除功能,只提供Administrator一个管理账号。
提示:匿名登录一般不要求用户输入用户名和密码即可登录成功,若需要,可用“anonymous”作为用户名,以任意电子邮件地址为密码来登录。
4)设置用户登录目录
最后设置FTP主目录(即用户登录FTP后的初始位置),进入“主目录”选项卡,在“本地路径”中选择好FTP站点的根目录,并设置该目录的读取、写入、目录访问权限。“目录列表样式”中“UNIX”和“MS-DOS”的区别在于:假设将G:\FTP设为站点根目录,则当用户登录FTP后,前者会使主目录显示为“\”,后者显示为“G:\FTP”。
设置完成后,FTP服务器就算真正建成了。如果前面IP地址为218.1.1.1,则用户使用FTP客户端软件(用来登录FTP服务器的上传/下载软件,如CuteFTP、FlashFXP等,如无特别说明,本文中所称FTP客户端软件均以CuteFTP Pro 为例)时,主机处填218.1.1.1,端口填21,此服务器的地址表述为:ftp://218.1.1.1/。IIS虽然安装简单,设置较简便,但功能不强,管理也很麻烦,尤其是连新建一个基本的授权访问账户都要进行繁杂的设置,而且IIS本身的安全性也比较差,容易受到诸如“红色代码”等专门针对IIS漏洞进行攻击的病毒侵袭,因而很多人都喜欢使用第三方的FTP服务器软件来架设。
2.2.2、ISS 架设的FTP服务器的管理
IIS虽然安装简单,但管理功能不强,只有简单的账户管理、目录权限设置、消息设置、连接用户管理。
1、账户管理
与Serv-U不同,IIS对账户的管理按照Windows用户账户方式进行。如果要给FTP服务器添加一个用户名和密码均为dys的授权账户,首先得在Windows中添加该账户。
1)在“管理工具”中打开“计算机管理”,找到“本地用户和组”下的“用户”,右击鼠标,选择“新用户”。
2)在弹出的“新用户”窗口中输入用户名和密码,确定后Windows就会创建该用户。
3)在“管理工具”中打开“Internet信息服务”,进入“默认FTP站点”的“属性”设置窗口,在“安全账户”选项卡中找到“FTP站点操作员”。在这里可以看到,系统已经默认“Administrators”组所有成员为授权账户。如果你用的是Windows 2000服务器版,可以点旁边的“添加”按钮,将dys账户添加进去,如果不是,则“添加”和“删除”按钮为灰色,不可选。能不能将dys账户添加进去呢?当然可以。
4)回到“计算机管理”,右击刚才创建的用户名,打开“属性”设置,在“隶属于”选项卡中先将默认的“Users”组删除,再点“添加”,在弹出的“选择组”窗口中点“高级→立即查找”(图1),在搜索结果中选择“Administrators”组,然后确定就可以了。
5)要删除某个账户,直接在“计算机管理”中删除即可。
提示:这样做的缺点在于如果不是Windows 2000服务器版,则你每添加一个账户,该账户就自动拥有系统管理员“Administrator”的所有权限。可以想象,一旦账户密码失窃将带来很大的安全隐患。
2、目录管理
1)设置虚拟目录
很多时候,上传的文件多了,架设服务器当初设定的主目录所在盘空间往往就不够了,怎么办?这就需要设置虚拟目录。虚拟目录就是将其他目录以映射的方式虚拟到该FTP服务器的主目录下,这样,一个FTP服务器的主目录实质上就可以包括很多不同盘符、不同路径的目录,而不会受到所在盘空间的限制了。当用户登录到主目录下,还可以根据该账户的权限对它进行相应的操作,就像操作主目录下的子目录一样。如果用户被锁定在主目录下,这项功能将允许他们访问主目录之外的其它目录。
这里我们假设要将D:\MTV目录设为G:\FTP目录下的虚拟目录Music。在“Internet信息服务”中右击“默认FTP站点”,选“新建→虚拟目录”进行设置。在“虚拟目录别名”中填入“Music”,在“FTP站点内容目录”中选择“D:\MTV”,在“访问权限”中将“读取”和“写入”打上钩,完成后退出。以dys的账户登录到FTP看看,是不是多了个“Music”的目录?接下来就可以往该目录里上传或下载文件了。
2)读写权限设置
IIS的权限设置比较简单,对每个目录只提供了三种权限:读取(允许下载)、写入(允许上传)和记录访问(在日志中记录用户对此目录的访问)。对主目录可以在“默认FTP站点”的属性中设置,对于虚拟目录可以在虚拟目录的“属性”中设置。
提示:主目录设置的权限如果与虚拟目录的权限发生冲突,则以主目录权限为准。比如主目录设置的权限为读取和写入,而Music的权限只设置为读取,则Music权限将会被主目录权限覆盖掉,自动拥有写入权限。
3、消息设置
进入“默认FTP站点”属性中的“消息”选项卡,可以设置用户登录和退出服务器时在FTP客户端软件的状态窗口显示消息。其中,“标题”和“欢迎”将在用户登录时出现,“退出时”是当用户退出服务器时显示的告别信息。
4、连接用户管理
在“FTP站点”选项卡中可以简单地管理连接用户。“限制为”用来设置服务器允许同时连接的最大连接数,如果不是Windows 2000服务器版,不仅“无限制”选项不可选,而且最大连接数不能超过10个。“连接超时”可以设置当连接用户空闲多少秒时会被服务器自动踢出,这可以有效防止用户浪费服务器最大连接数。点右下角的“当前会话”可以看到在线连接用户所用的账户及当前状态,选择其中某个用户再点“断开”可以将该用户踢除出服务器。
2.3、方案二:Serv-U+花生壳
Serv-U 的设置楼上已经有介绍,下面介绍一下花生壳的设置。
1、首先申请网域护照:
http://www.oray.net/Console/Passport/Passport_welcome.asp
2、下载花生壳客户端、安装。
3、运行客户端,输入刚才申请的账号和密码。
"花生壳"是一套完全免费的动态域名解析服务。
当您安装并注册该项服务,无论您在任何地点、任何时间、使用任何线路,均可利用这一服务建立拥有固定域名和最大自主权的互联网主机。
"花生壳"支持的线路包括普通电话线、ISDN、xDSL、有线电视网络、双绞线到户的宽带网和其它任何能够提供互联网真实IP的接入服务线路,而无论连接获得的IP属于动态还是静态。
对于使用动态IP接入的用户而言,您可以利用"花生壳"在办公室或家庭建立拥有固定域名的互联网主机。由于不受线路类型、主机存放地点的约束,所以您可以根据自己的需求选择合适的系统平台、数据库平台和站点运营模式,并由此获得最大限度的自主性。
对于希望拥有个人网站的用户而言,您从今天开始就可以利用包月的宽带接入线路和"花生壳"把主机设在家中,而无须再忍受朝三暮四、从不顾用户感受、随意更改服务条款、利用你的个人网站来弹出他们的广告窗、还硬性限制网站流量的无良虚拟主机服务商。
对于使用静态IP接入的用户而言,特别是使用独立主机托管的用户,您可以利用"花生壳"提供的域名解析服务来避免在转换服务商时,不得不因受制域名解析服务商而忍受效率低下的修改过程,从而完全实现域名解析的自主性。
下面引用由逍遥叶枫在 2003/05/26 12:58pm 发表的内容:
花生壳服务级别显示:无法连接ODAP服务器如何解决?
下面引用由chenxinyea在 2003/05/26 01:23pm 发表的内容:
有时候连不上,但不影响使用。
只有下面的 服务器连接状态 在线 就可以了。
2.4、方案三:Serv-U+花生壳+PortTunnel端口映射
设置端口映射的方法有多种。
如:通过路由器设置;通过服务器上的网关软件(如SyGate、WinGate等)设置端口映射。
这类方法的前提条件就是能够能路由器或服务器进行设置。如果不能控制路由器或服务器则请看方案四。
本方案介绍的是用PortTunnel软件进行端口映射。Serv-U和花生壳的设置上面已进行了介绍。
PortTunnel 软件进行端口映射的方法:
1、在有因特网IP的服务器上安装 PortTunnel。
2、用这个软件对端口映射进行设置。
3、该程序会在服务器启动时自动后台运行,因此设置完毕就可以了。
2.5、方案四:Serv-U+TrueHost
如果机器是内网IP,且不能控制路由器或服务器则请看本方案。
Serv-U的设置上面已进行了介绍。
TrueHost 是由科迈网(动态域名、虚拟专用网)提供的服务。该服务提供免费试用一个月。
(但并未限制您一个月后重新申请一个账号。)
利用 TrueHost 进行端口映射方法:
1、到 科迈网 申请一个二级域名:
http://www.dns0755.net/
2、对申请的二级域名信息在网站上进行修改。
在其中的 端口 1 到 端口 5 中选择一个您喜欢的端口,把端口名改成 FTP (该端口名可以设置成任意的名称,但必须与下面要讲的客户端的名称一致)。
修改后 提交, 让修改生效。
3、下载客户端(绿色软件,不需要安装),运行。
填入您申请的域名和密码。
关键设置:端口名称必须和上面在网站中修改时设置的一致;端口号码必须和上面在网站修改时选择的一致。
下面图片仅供参考,更多信息请到 科迈网 查看,因为是中文网站,偶就不多说了。
3、安全篇
既然是公网FTP服务器,就难免会遭遇一些恶意攻击,轻则丢失文件,重则造成FTP服务器甚至整个系统崩溃。怎样才能最大限度地保证它的安全性呢?
3.1、操作系统的选择
FTP服务器首先是基于操作系统而运作的,因而操作系统本身的安全性就决定了FTP服务器安全性的级别。虽然Windows 98/Me一样可以架设FTP服务器,但由于其本身的安全性就不强,易受攻击,因而最好不要采用。Windows NT就像鸡肋,不用也罢。最好采用Windows 2000及以上版本,并记住及时打上补丁。至于Unix、Linux,则不在讨论之列。
3.2、使用防火墙
端口是计算机和外部网络相连的逻辑接口,也是计算机的第一道屏障,端口配置正确与否直接影响到主机的安全,一般来说,仅打开你需要使用的端口,将其他不需要使用的端口屏蔽掉会比较安全。限制端口的方法比较多,可以使用第三方的个人防火墙,如天网个人防火墙等,这里只介绍Windows自带的防火墙设置方法。
3.2.1.利用TCP/IP筛选功能
在Windows 2000和Windows XP中,系统都带有TCP/IP筛选功能,利用它可以简单地进行端口设置。以Windows XP为例,打开“本地连接”的属性,在“常规”选项中找到“Internet协议(TCP/IP)”,双击它打开该协议的属性设置窗口。点击右下方的“高级”按钮,进入“高级TCP/IP设置”。在“选项”中选中“TCP/IP筛选”并双击进入其属性设置。这里我们可以设置系统只允许开放的端口(图1)。假如架设的FTP服务器端口为21,先选中“启用TCP/IP筛选(所有适配器)”,再在TCP端口选项中选择“只允许”,点“添加”,输入端口号21,确定即可。这样,系统就只允许打开21端口。要开放其他端口,继续添加即可。这可以有效防止最常见的139端口入侵。缺点是功能过于简单,只能设置允许开放的端口,不能自定义要关闭的端口。如果你有大量端口要开放,就得一个个地去手工添加,比较麻烦。
3.2.2.打开Internet连接防火墙
对于Windows XP系统,自带了“Internet连接防火墙”功能,与TCP/IP筛选功能相比,设置更方便,功能更强大。除了自带防火墙端口开放规则外,还可以自行增删。在控制面板中打开“网络连接”,右击拨号连接,进入“高级”选项卡(图2),选中“通过限制或阻止来自Internet的对此计算机的访问来保护我的计算机和网络”,启用它。系统默认状态下是关闭了FTP端口的,因而还要设置防火墙,打开所使用的FTP端口。点击右下角的“设置”按钮进入“高级设置”,选中“FTP服务器”,编辑它。由于FTP服务默认端口是21,因而除了IP地址一栏外,其余均不可更改。在IP地址一栏中填入服务器公网IP,确定后退出即可即时生效。如果架设的FTP服务器端口为其他端口,比如22,则可以在“服务”选项卡下方点“添加”,输入服务器名称和公网IP后,将外部端口号和内部端口号均填入22即可。
3.3、对IIS、Serv-U等服务器软件进行设置
除了依靠系统提供的安全措施外,就需要利用FTP服务器端软件本身的设置来提高整个服务器的安全了。
3.3.1.IIS的安全性设置
1)及时安装新补丁
对于IIS的安全性漏洞,可以说是“有口皆碑”了,平均每两三个月就要出一两个漏洞。所幸的是,微软会根据新发现的漏洞提供相应的补丁,这就需要你不断更新,安装最新补丁。
2)将安装目录设置到非系统盘,关闭不需要的服务
一些恶意用户可以通过IIS的溢出漏洞获得对系统的访问权。把IIS安放在系统分区上,会使系统文件与IIS同样面临非法访问,容易使非法用户侵入系统分区。另外,由于IIS是一个综合性服务组件,每开设一个服务都将会降低整个服务的安全性,因而,对不需要的服务尽量不要安装或启动。
3)只允许匿名连接
FTP最大的安全漏洞在于其默认传输密码的过程是明文传送,很容易被人嗅探到。而IIS又是基于Windows用户账户进行管理的,因而很容易泄漏系统账户名及密码,如果该账户拥有一定管理权限,则更会影响到整个系统的安全。设置为“只允许匿名连接”,可以免却传输过程中泄密的危险。进入“默认FTP站点”,在属性的“安全账户”选项卡中,将此选项选中。
4)谨慎设置主目录及其权限
IIS可以将FTP站点主目录设为局域网中另一台计算机的共享目录,但在局域网中,共享目录很容易招致其他计算机感染的病毒攻击,严重时甚至会造成整个局域网瘫痪,不到万不得已,最好使用本地目录并将主目录设为NTFS格式的非系统分区中。这样,在对目录的权限设置时,可以对每个目录按不同组或用户来设置相应的权限。右击要设置的目录,进入“共享和安全→安全”中设置,如非必要,不要授予“写入”权限。
5)尽量不要使用默认端口号21
启用日志记录,以备出现异常情况时查询原因。
3.3.2.Serv-U的安全性设置
与IIS的FTP服务相比,Serv-U在安全性方面做得比较好。
1)对“本地服务器”进行设置
首先,选中“拦截FTP_bounce攻击和FXP”。什么是FXP呢?通常,当使用FTP协议进行文件传输时,客户端首先向FTP服务器发出一个“PORT”命令,该命令中包含此用户的IP地址和将被用来进行数据传输的端口号,服务器收到后,利用命令所提供的用户地址信息建立与用户的连接。大多数情况下,上述过程不会出现任何问题,但当客户端是一名恶意用户时,可能会通过在PORT命令中加入特定的地址信息,使FTP服务器与其它非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一特定机器,但是如果FTP服务器有权访问该机器的话,那么恶意用户就可以通过FTP服务器作为中介,仍然能够最终实现与目标服务器的连接。这就是FXP,也称跨服务器攻击。选中后就可以防止发生此种情况。
其次,在“高级”选项卡中,检查“加密密码”和“启用安全”是否被选中,如果没有,选择它们。“加密密码”使用单向hash函数(MD5)加密用户口令,加密后的口令保存在ServUDaemon.ine或是注册表中。如果不选择此项,用户口令将以明文形式保存在文件中;“启用安全”将启动Serv-U服务器的安全成功。
2)对域中的服务器进行设置
前面说过,FTP默认为明文传送密码,容易被人嗅探,对于只拥有一般权限的账户,危险并不大,但如果该账户拥有远程管理尤其是系统管理员权限,则整个服务器都会被别人远程控制。Serv-U对每个账户的密码都提供了以下三种安全类型:规则密码、OTPS/KEY MD4和OTPS/KEY MD5。不同的类型对传输的加密方式也不同,以规则密码安全性最低。进入拥有一定管理权限的账户的设置中,在“常规”选项卡的下方找到“密码类型”下拉列表框,选中第二或第三种类型,保存即可。注意,当用户凭此账户登录服务器时,需要FTP客户端软件支持此密码类型,如CuteFTP Pro等,输入密码时选择相应的密码类型方可通过服务器验证。
与IIS一样,还要谨慎设置主目录及其权限,凡是没必要赋予写入等能修改服务器文件或目录权限的,尽量不要赋予。最后,进入“设置”,在“日志”选项卡中将“启用记录到文件”选中,并设置好日志文件名及保存路径、记录参数等,以方便随时查询服务器异常原因。
