安定したFTPサーバーを構築する方法

安定したFTPサーバーの構築最初に、オペレーティングシステムのFTPサーバーの選択が最初にオペレーティングシステムに基づいて行われるので、オペレーティングシステム自体のセキュリティがFTPサーバーのセキュリティレベルを決定します。 Windows 98 /MeはFTPサーバーをセットアップすることができますが、そのセキュリティーは強力ではなく、脆弱でもないので、使用しないのが最善です。 Windows NTは、鶏の肋骨のようなものです。 Windows 2000以降を使用し、時間内にパッチを適用することを忘れないでください。 UnixとLinuxに関しては議論されていません。安定したFTPサーバーのビルド2、ファイアウォールポートの使用は、コンピュータと外部ネットワーク間の論理インターフェイスでもあり、またコンピュータの最初の障壁であり、ポートの正しい設定は直接一般的に、あなたが使用する必要があるものだけを開きます不要な他のポートを保護する方が安全です。ポートを制限するにはさまざまな方法がありますが、サードパーティのパーソナルファイアウォールを使用することができますこれがWindowsに付属のファイアウォール設定方法だけです。 1. TCP /IPフィルタリング機能を使用するWindows 2000およびWindows XPでは、TCP /IPフィルタリング機能を使用してポートを簡単に設定できます。 Windows XPを例にして、「ローカルエリア接続」の属性を開き、「全般」オプションから「インターネットプロトコル（TCP /IP）」をダブルクリックして、プロトコルのプロパティ設定ウィンドウを開きます。右下にある[詳細設定]ボタンをクリックして、[TCP /IPの詳細設定]に移動します。 [オプション]で[TCP /IPフィルタ]を選択し、ダブルクリックしてプロパティの設定を入力します。ここでは、開いているポートのみを許可するようにシステムを設定できます。最初に設定したFTPサーバーのポートが21の場合は、[TCP /IPフィルタリングを有効にする（すべてのアダプタ）]を選択します。 [追加]をクリックし、ポート番号21を入力して[OK]をクリックします。このようにして、システムは21個のポートだけを開くことを許可します。他のポートを開くには、追加を続けます。これにより、最も一般的な139ポートの侵入を効果的に防止できます。不利な点は、関数が単純すぎ、開くことを許可されているポートしか設定できず、閉じるようにポートをカスタマイズできないことです。多数のポートを開く場合は、それらを1つずつ追加する必要がありますが、これは面倒です。 2.インターネット接続ファイアウォールを開くWindows XPシステムでは、「インターネット接続ファイアウォール」の機能があります。これは、TCP /IPフィルタリングよりも便利で強力です。独自のファイアウォールポートオープンルールに加えて、自分で追加および削除できます。 [コントロールパネル]で[ネットワーク接続]を開き、ダイヤルアップ接続を右クリックして[詳細設定]タブに移動し、[インターネットからのこのコンピュータへのアクセスを制限またはブロックしてコンピュータとネットワークを保護する]チェックボックスをオンにします。有効にします。デフォルトでは、FTPポートは閉じているため、使用しているFTPポートを開くためにファイアウォールを設定する必要があります。右下にある[設定]ボタンをクリックして[詳細設定]に移動し、[FTPサーバー]を選択して編集します。 FTPサービスのデフォルトポートは21なので、IPアドレスの欄以外は変更できません。 [IPアドレス]列にサーバーのパブリックネットワークIPアドレスを入力して終了し、すぐに有効にできます。 FTPサーバーのポートが22などの別のポートに設定されている場合は、[サービス]タブの[追加]をクリックし、サーバー名とパブリックIPアドレスを入力して、外部ポート番号と内部ポート番号を入力します。 22を入力してください。安定したFTPサーバの構築III。IISやServ-uなどのサーバソフトウェアの設定システムが提供するセキュリティ対策に頼ることに加えて、サーバ全体のセキュリティを向上させるためにFTPサーバソフトウェアの設定を使用する必要があります。 1. IISのセキュリティ設定1）新しいパッチを適時にインストールするIISのセキュリティ上の脆弱性については、「非常に優れている」と言え、2〜3ヶ月に2〜2つの脆弱性があります。幸い、マイクロソフトは新たに発見された脆弱性に基づいたパッチを提供します。そのため、最新のパッチを更新してインストールする必要があります。 2）インストールディレクトリをシステム以外のディスクに設定し、不要なサービスを無効にする悪意のあるユーザーの中には、IISの脆弱性を介してシステムにアクセスする可能性があるものがあります。システムパーティションにIISを配置すると、システムファイルとIISも不正アクセスに直面することになり、不正ユーザーがシステムパーティションに侵入するのは簡単です。また、IISは包括的なサービスコンポーネントであるため、各サービスによってサービス全体のセキュリティが低下するため、必要のないサービスをインストールまたは起動しないでください。 3）匿名接続のみを許可するFTPの最大のセキュリティホールは、デフォルトでパスワードを送信するプロセスがプレーンテキストで送信されることです。これは盗聴されやすいです。 IISもWindowsのユーザーアカウントに基づいて管理されているため、システムアカウント名とパスワードが漏洩しやすく、そのアカウントに特定の管理権限があると、システム全体のセキュリティに影響を与えます。送信中にリークするリスクを回避するには、「匿名接続のみを許可する」に設定します。プロパティの[セキュリティアカウント]タブで[デフォルトのFTPサイト]に移動し、このオプションを選択します。 4）ホームディレクトリとその権限を注意深く設定するIISはFTPサイトのホームディレクトリをLAN内の他のコンピュータの共有ディレクトリに設定することができますが、LAN内では、共有ディレクトリは深刻な場合でも他のコンピュータ感染ウイルス攻撃を被りやすいですLAN全体が最後の手段ではないので、ローカルディレクトリを使用し、ホームディレクトリをNTFSフォーマットの非システムパーティションに設定することをお勧めします。このようにして、ディレクトリに権限を設定するときに、異なるグループまたはユーザーによって各ディレクトリに対応する権限を設定できます。設定するディレクトリを右クリックして、設定の[共有とセキュリティ]の[セキュリティ]に移動します。必要でない場合は、[書き込み]アクセス許可を付与しないでください。 5）異常な状況のため、ロギングを有効にするためにデフォルトのポート番号21を使用しないようにしてください。 2. Serv-uのセキュリティ設定IISのFTPサービスと比較して、Serv-uはセキュリティの面で優れた仕事をしています。 1）[ローカルサーバー]設定を設定するまず、[FTPバウンス攻撃を遮断]と[XP]を選択します。通常、ファイル転送にFTPプロトコルを使用する場合、クライアントは最初に "Port"プロトコルをFTPサーバーに送信します。これには、ユーザーのIPアドレスとデータ転送に使用されるポート番号が含まれています。コマンドによって提供されるユーザーのアドレス情報は、ユーザーとの接続を確立するために使用されます。ほとんどの場合、上記のプロセスで問題は発生しませんが、クライアントが悪意のあるユーザーの場合、PORTコマンドに特定のアドレス情報を追加することで、FTPサーバーが他のクライアント以外のコンピューターに接続される可能性があります。この悪意のあるユーザーは特定のマシンに直接アクセスする権限を持っていない可能性がありますが、FTPサーバーがそのマシンにアクセスできる場合でも、悪意のあるユーザーは最終的にターゲットサーバーとの接続を確立するための仲介者として使用できます。これはFXPで、クロスサーバ攻撃とも呼ばれます。これを選択して防ぐことができます。次に、[詳細設定]タブで[パスワードの暗号化]と[セキュリティを有効にする]が選択されている場合は選択し、選択されていない場合は選択します。 「暗号化パスワード」は一方向ハッシュ関数（MD5）を使用してユーザーのパスワードを暗号化し、ServUDaemon.iniまたはレジストリに保存されます。このオプションを選択しない場合、ユーザーパスワードはファイルにクリアテキストで保存されます。"セキュリティを有効にする"はServ-uサーバーのセキュリティを成功させます。

2）ドメインへのサーバーのセットアップ前述のように、FTPはデフォルトでプレーンテキストを使用してパスワードを送信しますが、これは盗聴されやすいため、一般的な権限しか持たないアカウントの場合、リスクはそれほど大きくありません。リモート管理、特にシステム管理者権限、サーバー全体が他のユーザーによってリモートから制御されます。 Serv-uでは、アカウントパスワードごとに、ルールパスワード、OTP S /KEY MD4、OTP S /KEY MD5の3種類のセキュリティが提供されています。 。特定の管理権限を持つアカウントの設定で、[全般]タブの下にある[パスワードの種類]ドロップダウンリストボックスを探し、2番目または3番目の種類を選択して保存します。ユーザがこのアカウントでサーバにログインするとき、FTPクライアントソフトウェアはCuteFTP Proのようなこのパスワードタイプをサポートする必要がありますパスワードが入力されるとき、対応するパスワードタイプはサーバを通して認証するために選択することができます。 IISと同様に、ホームディレクトリとそのアクセス許可を設定するように注意してくださいサーバーのファイルやディレクトリを変更するために書き込みやその他のアクセス許可を与える必要がない場合は、それらを与えないでください。最後に、[設定]タブの[ログ]タブで[ファイルへのログ記録を有効にする]を選択し、ログファイル名とパスの保存、パラメータの記録などを設定します。 。