如何提高FTP服务器的安全性

目前，FTP服务器面临的安全风险主要包括：

1.用户被上级重定向到未经授权的目录（例如，root）;

2.客户端指定文件的类型和格式，但只能指定扩展名。

3.无法判断文件是否有毒。

4.文件传输未验证，无法保证文件的完整性。

友宇安全FTP在标准FTP和SFTP的基础上，增加了以下安全性：

1.服务器目录限制：只允许用户访问设置的目录，如c：、root、ftp服务软件本身的目录，当管理端添加用户指定的目录超出限制时，用户无法访问该目录。

2.深度文件类型识别：服务器设置的可上传类型，UFIDA FTP客户端，会在客户端深度识别文件类型并修改扩展名，服务器在上传标准FTP时会做出深入判断。

3.文件病毒扫描：服务器支持卡巴斯基、Bitfander、gdata、NOD32杀毒软件，每上传一个文件都会调用杀毒命令进行扫描杀杀，并返回扫描结果。

友宇FTP客户端可以显示错误原因，标准FTP删除文件，创建同名文件加上错误原因。

4.MD5 验证：将 FTP 客户端上传的文件与服务器生成的 MD5 进行比较，同时比较文件的字节数，当它们都相同时，文件传输就算成功。

6.**文件备份：重要数据泄露，但无法检查，通过平台，**文件会自动备份到指定目录，并且日志中记录了用户、IP、时间、文件等信息，结合备份文件可以由出站人员检查。

1）禁止匿名登录。允许匿名访问有时会导致非法文件被利用。 禁用匿名登录，仅允许预定义的用户帐户登录，配置FTP主目录中定义的ACL[访问控制列表]进行访问控制，并使用NTFS许可证。

2） 设置访问日志。访问日志可用于准确获取IP地址和用户访问的准确记录。 定期维护日志可估算站点流量并识别安全威胁和漏洞。

3）加强访问控制列表。使用 NTFS 访问权限，使用 ACL [访问控制列表] 来控制对 FTP 目录的访问。

4） 将网站设置为不可见。如果只需要用户将文件发送到服务器，而不是从服务器发送文件，请考虑将站点配置为不可见。 这意味着允许用户写入无法读取 ftp 目录中的文件。

这可以防止未经授权的用户访问该站点。 若要将站点配置为不可见，应在“站点和主目录”中设置访问权限。

5） 使用磁盘配额。磁盘配额可以有效地限制每个用户使用的磁盘空间。 授予用户对他们上传的文件的完全控制权。

磁盘配额可用于检查用户是否超过已用空间，可以有效限制网站泄露造成的损害。 而且，通过限制用户可以拥有的磁盘空间量，网站不会成为寻找空间共享**文件的黑客的目标。

vi） 使用访问时间限制。限制用户仅在指定时间段内登录以访问站点。 如果您的站点在企业环境中使用，则只能在工作时间限制对服务的访问。 出于安全考虑，禁止在下班后登录。

7）基于IP策略的访问控制。FTP 可以限制对特定 IP 地址的访问。 将对网站的访问限制为特定个人可以减少未经授权的人员登录的危险。

8） 审核登录事件。审核帐户登录事件，可以在安全日志查看器中查看（成功和不成功）登录尝试登录站点，以提醒恶意用户注意恶意用户设法入侵的可疑活动。 它还用作站点入侵检测的历史记录。

9） 使用安全密码策略。复杂密码是验证最终用户身份的安全方法。 这是保护站点安全的关键部分，FTP 用户帐户在选择密码时必须遵循以下规则：

不包含全部或部分用户帐户名称; 长度必须至少为 6 个字符; 它包含多个类别，例如大写和小写字符、数字和特殊字符。

10）限制登录次数。Windows 系统安全策略允许管理员在帐户未登录指定次数时锁定该帐户。