Filazilla是一個非常流行的開源的免費的FTP客戶端、服務器端的項目,目前其客戶端軟件Filezilla Client 3.0有著非常廣泛的市場�����。
Filezilla的主要優勢在于:高安全、高性能�����。Filazilla的安全性是來自于其開放源代碼的�����。開源為何能保證安全�����?每一款軟件產品誕生后�����,都有很多人試圖發現其漏洞進行攻擊�����,以獲取權限和其他利益�����。如果是開源軟件�����,攻擊者就會下載這個軟件的源代碼�����,從源頭上分析其內部漏洞在那里�����,并且進行攻擊�����。開源的規模越大�����,下載閱讀其源代碼的人也多�����,這個軟件也就越普及。隨著其逐漸改進�����,漏洞就越來越少�����,最后成為了公認極其安全的軟件�����,這和互聯網中數萬程序員的貢獻是分不開的�����。這類軟件的代表就是Linux平臺下的Apache�����、PHP�����、MySQL�����、Bind�����、Vsftpd等大量高可靠性軟件�����。而不開放源代碼的閉源軟件�����,人們無法對其進行研究�����,因此�����,只能將他當作“黑盒”來研究�����,研究的過程中沒有源代碼,很難找到其錯誤�����。即便找到了一些錯誤�����,還有更多的漏洞隱藏在代碼中�����,但是因為代碼不公開�����,因此人們短期內無從發現�����,后期使用會暴露出很多問題�����。一些閉源軟件甚至保留有“后門”�����,以方便遠程遙控�����,比如Windows�����,比如Serv-U�����。而開源軟件代碼是開放的�����,如果開發者在里邊植入“后門”等危險代碼�����,就會被互聯網上廣大的程序員糾出來,因此�����,這里也可以看出�����,開源�����,是對安全的最好保證�����。
Filezilla的高性能來自于其代碼的開發平臺是C/C++�����,自身基礎就好于其他VB/Dephi平臺開發的應用程序�����,因此Filezilla具有可媲美IIS的性能�����。在千兆網絡帶寬上,可輕松滿足數百用戶同時高速下載�����。
目前Filezilla也存在一些不足�����,主要缺點就是不支持配額�����,即本身不提供上傳�����、下載總文件大小配額的功能�����。即便如此�����,免費的Filezilla正越來越多的占領原來Serv-U等軟件的市場�����,變得更加貼近用戶了�����。
安裝
安裝過程非常簡單�����,首先下載Filezilla Server安裝文件�����,然后將安裝包下載到桌面�����,準備安裝�����。
雙擊安裝程序開始安裝�����。點擊“I Agree”繼續。
選擇安裝方式�����,默認的標準即可�����。其中“Source Code”源代碼一般不用安裝�����,除非是想研究FileZilla的代碼�����。
選擇安裝路徑�����,強烈推薦安裝到非默認路徑�����,以增加安全系數�����。例如如下路徑:
選擇“安裝為服務�����,并隨機自動啟動”的選項�����。下邊的14147是管理端口�����,強烈推薦修改此端口�����,例如改成38121端口�����。(注意不要和常見服務如80端口沖突)�����。
選擇“當管理員登錄時候,啟動管理界面”的選項�����。
安裝進行中�����。
至此安裝完成�����,安裝程序自動啟動管理控制臺�����,默認是連接到本機的管理端口�����。管理端口到底是多少�����,請參考前文安裝過程中填寫的具體數字是多少�����。建議選中“總是連接到本服務器”的選項�����,即表示每次啟動管理控制臺�����,都是管理本機的Filezilla服務�����。下邊有一個輸入密碼的對話框�����,在里邊輸入本服務器Filezilla服務的密碼�����。
注意:修改端口和密碼非常重要,這是確保Filezilla安全的重點�����,必須修改端口�����,必須設置密碼�����!密碼建議足夠復雜�����!
點擊OK后�����,即可啟動初始化之后的管理控制臺�����,配置完成�����。
三�����、 配置
1. 基本設置
Filezilla默認的模式是Port模式�����,不是Passive被動模式�����。為了解決防火墻后的客戶端連接問題�����,最好是啟用Passive模式�����。要啟動被動模式�����,首先打開管理控制臺,點擊左起第三個圖標 進入系統設置�����。
點擊左側“Welcom message”菜單�����,即FTP登錄后的歡迎信息�����。
為了安全起見�����,強烈建議修改默認的歡迎信息為“Welcom to Serv-U FTP Server”�����,這樣Filezilla在歡迎消息中就會Serv-U字樣�����,以達到欺騙攻擊者的目的�����。注意:本步驟非常重要�����!
現在我們用telnet去連接一下FTP的21端口�����,即可看到修改過的“假”的提示信息�����,這樣服務器的安全性可以得到比較明顯的提高�����。
接下來點擊“Passive Mode Settings”選項�����,進入被動模式設置�����。
選中啟動被動模式端口范圍的選項,輸入10000~10050端口范圍�����,表示被動模式將要使用這個范圍的端口�����。
點擊確定保存即可�����。接下來在防火墻上允許10000~10050端口范圍進出�����,或者
直接允許Filezilla server.exe主程序的互聯網訪問�����。
安裝的最后一步是加固權限�����,找到Filezilla的配置文件�����,格式是xml格式�����,鼠標右鍵點擊之�����,并選擇屬性�����。
加入Guest組禁止讀寫的權限�����,設置為拒絕�����。
點擊確定后�����,系統會彈出提示,詢問拒絕權限優先級高于允許權限�����,是否要繼續�����,點擊是通過即可�����。
至此初始化基本配置完成�����。
2. 匿名FTP配置
首先打開管理控制臺�����,點擊左起第四個圖標 進入系統設置�����。
打開ftp用戶管理界面�����,點擊右側的 按鈕,添加新用戶�����。
在新增用戶的對話框中�����,輸入“anonymous”這個名字�����,即FTP的匿名用戶�����。
點擊確認�����,添加用戶完成�����,返回用戶管理界面�����。
點擊左側的“Shared folders”菜單�����。點擊Add按鈕�����,添加一個目錄�����。
打開瀏覽文件夾的選項�����,選擇要設置FTP的目錄�����。
點擊確定,添加用戶完成�����。
現在用戶FTP客戶端連接到FileZilla Server上�����,可以看到匿名FTP已經配置完成�����。
3. 標準FTP用戶配置
首先進入用戶設置界面�����,點擊“Add”按鈕添加新的FTP用戶�����。
輸入用戶名test �����。
選中Password前邊的多選框�����,然后輸入密碼123456�����。
返回到用戶管理界面�����,點擊設置文件夾目錄�����,點擊Add添加目錄�����。
添加一個目錄到test用戶�����。
添加完成�����,再右側選中test用戶對這個目錄的權限,然后點擊左側的OK按鈕�����,配置完成�����。
配置完成?����,F在可以使用客戶端來測試登錄了�����。
打開FTP客戶端軟件�����,輸入test用戶名和密碼123456�����,登錄到服務器�����。
登錄成功后�����,可以看到剛才制定的FTP目錄下的文件�����,并具有相應的上傳�����、下載權限�����。
4. 虛擬目錄配置
在具有多個目錄需要共享的情況下�����,設置虛擬目錄是比較利于管理的選擇�����。通常,一個FTP服務器需要有一個“Home”主目錄�����,然后設置若干個虛擬目錄�����。
首先進入到用戶管理界面�����,選中Test用戶�����,選中當前設置的目錄�����。
點擊“Set as home dir”選項 �����,將當前目錄設置為“home”主目錄�����。
點擊Add按鈕�����,在原有目錄之外�����,再添加一個別的目錄�����,比如選擇桌面目錄�����。
新的目錄已經添加到目錄清單了�����。此時添加“別名”�����,點擊“Alias”空白處。
添加Aliases別名�����,注意一定用“ /”符號開頭�����,表示是根目錄下的虛擬目錄�����。
添加完成?����,F在可以去登錄FTP�����,就能看到虛擬目錄了�����。
登錄到FTP之后�����,可以看到虛擬目錄出現在test用戶的目錄中�����。
至此虛擬目錄設置完成�����。
5. 加固Filezilla安全
• 安裝Filezilla到非標準目錄
• 安裝過程中設置Filezilla的管理端口監聽在127.0.0.1上的隨機端口�����,例如38471等奇怪的沒用的端口�����。
• 安裝過程中設置Filezilla的管理密碼�����,并設置密碼足夠復雜
• 在Filezilla目錄下的xml配置文件上�����,設置Guests組禁止讀取的權限
• 修改FTP登錄后的提示信息為IIS、Serv-U等信息
• 不要開啟SSL加密�����、SFTP等功能�����,避免以后出現漏洞
經過如上一些配置�����,Filezilla可以做到很高的安全性�����。
