免費ftp服務器使用安全維護的方法:1、禁用標準FTP;2、使用強加密和散列密碼,如AES或TDES;3、使用DMZ安全網關或增強反向代理;4、設置IP黑名單和白名單;5、對身份驗證和數據通道強制加密;6、利用良好的帳戶進行管理服務器;7、使用強密碼,如密碼至少為7個字符,同時包含數字、字母和特殊字符;8、實施文件和文件夾安全性,如加密靜止的文件;9、將管理員職責限制為有限數量的用戶,并要求他們使用多因素身份驗證;10、保持FTPS或SFTP服務器軟件為最新。
具體內容如下:
1、禁用標準FTP
如果服務器上正在運行標準FTP,則應盡快將其禁用。FTP已經有30多年的歷史了,它并不能承受我們今天面臨的現代安全威脅。FTP缺乏隱私和完整性,使黑客在傳輸過程中很容易獲得訪問權限并捕獲或修改您的數據。我們建議您切換到其他幾種安全FTP替代方法之一。
2、使用強加密和散列
SFTP和FTPS協議都使用加密密碼來保護傳輸中的數據。密碼是一種復雜的算法,它接收原始數據,并與密鑰一起產生要傳輸的加密數據。您應該做的第一件事是禁用任何較舊的,過時的密碼,例如Blowfish和DES,而僅使用更強的密碼,例如AES或TDES。哈希或MAC算法用于驗證傳輸的完整性。同樣,您應該禁用較舊的哈希/ MAC算法(例如MD5或SHA-1),并堅持使用SHA-2系列中的強大算法。
3、放置在網關后面
DMZ(非軍事區)是組織存儲其FTP服務器的網絡的公共部分。DMZ的問題在于它面對著公共互聯網,使其成為最容易受到攻擊的部分。如果FTP服務器位于DMZ中,則通常還將貿易伙伴的數據文件和用戶憑據存儲在該區域中,即使文件被加密,也存在很大的風險。其他組織已經采取了將文件和用戶憑據移入專用網絡的步驟,這更安全。但是,此方法的問題在于,這需要您將端口打開到專用網絡中,這會為攻擊創建路徑,并且可能無法滿足合規性要求。
一種越來越流行的方法是使用DMZ安全網關或增強的反向代理。網關是您在DMZ中的服務器上安裝的軟件。然后在啟動時從專用網絡打開一個專用控制通道進入DMZ。您的貿易伙伴將連接到網關,網關將通過控制通道將會話發送到專用網絡上的FTP服務器。文件和用戶憑據保留在專用網絡中,不需要入站端口。
4、實施IP黑名單和白名單
IP黑名單會暫時或永久拒絕訪問系統的IP地址范圍。例如,您可能想阻止某些國家訪問。您還可以讓FTP服務器針對某些類型的攻擊(例如DoS攻擊)執行自動黑名單。
另一種方法是僅將指定的IP地址列入白名單以訪問系統,例如您的貿易伙伴。困難在于,這只有在貿易伙伴使用固定IP的情況下才能很好地起作用。
5、加強您的FTPS服務器
如果您使用的是FTPS服務器,則應采取一些措施來確保其安全,包括:除非對身份驗證和數據通道強制加密,否則不要使用顯式FTPS 不要使用任何版本的SSL或TLS 1.0 使用橢圓曲線Diffie-Hellman密鑰交換算法
6、利用良好的帳戶管理
為貿易伙伴創建操作系統級別的用戶帳戶是有風險的,因為它創建了獲取對服務器上其他資源的訪問的途徑。此外,用戶憑據應與FTP應用程序分開保存。不允許匿名用戶或共享帳戶。設置一些規則,例如帳戶用戶名的長度至少應為7個字符,并且在6次登錄失敗或90天不活動后應自動禁用帳戶。
7、使用強密碼
密碼的長度至少應為7個字符,同時包含數字和字母數字字符,并至少包含一個特殊字符。確保管理員密碼每90天更改一次。請勿重復使用最后4個密碼,并使用SHA-2等強大的哈希加密算法存儲用戶密碼。
8、實施文件和文件夾安全性
貿易伙伴應僅具有他們絕對需要的文件夾訪問權限。例如,僅僅因為合作伙伴需要從文件夾中下載內容的權限,并不表示他們需要對該文件夾的全部權限。需要將文件上傳到文件夾并不需要它們具有對該文件夾的讀取權限。加密靜止的文件(尤其是存儲在DMZ中的文件),并僅在需要時將文件保留在FTP服務器上。
9、鎖定管理
服務器的管理應受到嚴格控制。將管理員職責限制為有限數量的用戶,并要求他們使用多因素身份驗證。不要將密碼存儲在服務器上,而應將它們存儲在AD域或LDAP服務器中。請勿使用常見的管理員用戶ID(例如“ root”或“ admin”),這是黑客會嘗試的第一件事。
10、遵循最佳做法
保持FTPS或SFTP服務器軟件為最新,如果要處理美國政府數據,請僅使用經過FIPS 140-2驗證的加密密碼,請勿使用首次登錄時顯示的默認SFTP軟件版本-這將為黑客提供如何利用服務器的線索,將所有后端數據庫保留在其他服務器上,要求重新認證不活動的會話,實施良好的密鑰管理。