既然是公網FTP服務器，就難免會遭遇一些惡意攻擊，輕則丟失文件，重則造成FTP服務器甚至整個系統崩潰。怎樣才能最大限度地保證它的安全性呢？在這里給大家提供一些經驗，希望能幫到各位站長，上回談到操作系統的選擇和防火墻的問題，這次要說的是對IIS、Serv-U等服務器軟件進行設置

對IIS、Serv-U等服務器軟件進行設置

除了依靠系統提供的安全措施外，就需要利用FTP服務器端軟件本身的設置來提高整個服務器的安全了。

1、IIS的安全性設置

及時安裝新補?。簩τ贗IS的安全性漏洞，可以說是“有口皆碑”了，平均每兩三個月就要出一兩個漏洞。所幸的是，微軟會根據新發現的漏洞提供相應的補丁，這就需要你不斷更新，安裝最新補丁。

將安裝目錄設置到非系統盤，關閉不需要的服務：一些惡意用戶可以通過IIS的溢出漏洞獲得對系統的訪問權。把IIS安放在系統分區上，會使系統文件與IIS同樣面臨非法訪問，容易使非法用戶侵入系統分區。另外，由于IIS是一個綜合性服務組件，每開設一個服務都將會降低整個服務的安全性，因而，對不需要的服務盡量不要安裝或啟動。

只允許匿名連接：FTP最大的安全漏洞在于其默認傳輸密碼的過程是明文傳送，很容易被人嗅探到。而IIS又是基于Windows用戶賬戶進行管理的，因而很容易泄漏系統賬戶名及密碼，如果該賬戶擁有一定管理權限，則更會影響到整個系統的安全。設置為“只允許匿名連接”，可以免卻傳輸過程中泄密的危險。進入“默認FTP站點”，在屬性的“安全賬戶”選項卡中，將此選項選中。

謹慎設置主目錄及其權限：IIS可以將FTP站點主目錄設為局域網中另一臺計算機的共享目錄，但在局域網中，共享目錄很容易招致其他計算機感染的病毒攻擊，嚴重時甚至會造成整個局域網癱瘓，不到萬不得已，最好使用本地目錄并將主目錄設為NTFS格式的非系統分區中。這樣，在對目錄的權限設置時，可以對每個目錄按不同組或用戶來設置相應的權限。右擊要設置的目錄，進入“共享和安全→安全”中設置，如非必要，不要授予“寫入”權限。

盡量不要使用默認端口號21：啟用日志記錄，以備出現異常情況時查詢原因。

2、Serv-U的安全性設置

與IIS的FTP服務相比，Serv-U在安全性方面做得比較好。

1）對“本地服務器”進行設置

首先，選中“攔截FTP＿bounce攻擊和FXP”。什么是FXP呢？通常，當使用FTP協議進行文件傳輸時，客戶端首先向FTP服務器發出一個“PORT”命令，該命令中包含此用戶的IP地址和將被用來進行數據傳輸的端口號，服務器收到后，利用命令所提供的用戶地址信息建立與用戶的連接。大多數情況下，上述過程不會出現任何問題，但當客戶端是一名惡意用戶時，可能會通過在PORT命令中加入特定的地址信息，使FTP服務器與其它非客戶端的機器建立連接。雖然這名惡意用戶可能本身無權直接訪問某一特定機器，但是如果FTP服務器有權訪問該機器的話，那么惡意用戶就可以通過FTP服務器作為中介，仍然能夠最終實現與目標服務器的連接。這就是FXP，也稱跨服務器攻擊。選中后就可以防止發生此種情況。

其次，在“高級”選項卡中，檢查“加密密碼”和“啟用安全”是否被選中，如果沒有，選擇它們。“加密密碼”使用單向hash函數（MD5）加密用戶口令，加密后的口令保存在Serv-UDaemon.ini或是注冊表中。如果不選擇此項，用戶口令將以明文形式保存在文件中；“啟用安全”將啟動Serv-U服務器的安全成功。

2）對域中的服務器進行設置

前面說過，FTP默認為明文傳送密碼，容易被人嗅探，對于只擁有一般權限的賬戶，危險并不大，但如果該賬戶擁有遠程管理尤其是系統管理員權限，則整個服務器都會被別人遠程控制。Serv-U對每個賬戶的密碼都提供了以下三種安全類型：規則密碼、OTPS／KEYMD4和OTPS／KEYMD5。不同的類型對傳輸的加密方式也不同，以規則密碼安全性最低。進入擁有一定管理權限的賬戶的設置中，在“常規”選項卡的下方找到“密碼類型”下拉列表框，選中第二或第三種類型，保存即可。注意，當用戶憑此賬戶登錄服務器時，需要FTP客戶端軟件支持此密碼類型，如CuteFTPPro等，輸入密碼時選擇相應的密碼類型方可通過服務器驗證。

與IIS一樣，還要謹慎設置主目錄及其權限，凡是沒必要賦予寫入等能修改服務器文件或目錄權限的，盡量不要賦予。最后，進入“設置”，在“日志”選項卡中將“啟用記錄到文件”選中，并設置好日志文件名及保存路徑、記錄參數等，以方便隨時查詢服務器異常原因。

好了，談到這里，關于FTP服務器架設的安全知識，已經談完了，希望對大家有所幫助。