FTP是上传文件到网站最常用的方式,也是管理网站最常用的方式之一。虽然通过后台也可以管理网站,但是无法对网站源码文件进行管理,仍然需要通过FTP完成。于是很多不法分子就盯上了FTP,试图通过FTP寻找入侵突破点。因此要保障网站安全,FTP也是必须考虑因素之一。
要保障FTP安全,其实不难,毕竟其功能很单一,经护卫神总结,大概就以下三点:
1、 设置复杂的密码并定期更换
2、 防止暴力破解和撞库
3、 限制客户端IP区域范围,禁止陌生人连接
1、设置复杂的密码并定期更换
这个不用说了,是所有密码安全都必须要求的。设置大小写字母、数字、特殊符号,长度16位起,这样黑客想暴力破解就很难了。同时需要定期更换密码,防止FTP账户密码泄露造成重大损失。
2、防止暴力破解和撞库
虽然复杂密码可以防止暴力破解,但是对于撞库却无效,因此我们还应该做好防撞库。方法也很简单,如果某个客户端频繁连接FTP,例如一分钟60次以上,肯定是暴力破解或撞库了。不过目前的FTP软件基本都不带防暴力破解功能,因此需要使用第三方安全软件来实现。可以使用《护卫神.防入侵系统》的“暴力破解防护”模块(如下图一),填写好需要防护的端口(FTP默认21端口),以及触发拦截的访问频率就可以了。
(图一:FTP暴力破解防护)
3、限制客户端IP区域范围,禁止陌生人连接
有些FTP服务端软件存在溢出攻击漏洞,黑客无需账户密码,就可以利用此漏洞轻松侵入FTP,并进一步入侵服务器。对于FTP服务端自身的安全漏洞问题,即使设置复杂的密码、即使开启暴力破解防护,也无法解决,唯有修复软件漏洞。但是漏洞往往不知什么时候爆出,软件厂商也不一定能立即修复。
对于这种问题,最好的办法是限制客户端IP区域范围,即只允许常用地区(如某个城市)才能访问FTP端口,其他地区禁止连接FTP端口。既然都连接不到FTP端口,那更没法通过FTP服务端入侵了。我们可以使用《护卫神.防入侵系统》的“防火墙”模块来解决(如下图二),设置本机端口(包含FTP端口和数据传输端口),来源IP填写你所在城市。黑客的IP一般都是在国外,防止被溯源,和你同所城市的几率几乎为零。
(图二:限制FTP授权访问IP区域范围)
此时非成都地区客户端连接FTP,会提示连接失败(如下图三),这样FTP就非常安全了。
