免费ftp服务器使用安全维护的方法:1。禁用标准FTP;2。使用强加密和散列密码。如AES或TDES;3。使用DMZ安全网关或增强反向代理;4。设置IP黑名单和白名单;5。对身份验证和数据通道强制加密;6。利用良好的帐户进行管理服务器;7。使用强密码。如密码至少为7个字符。同时包含数字。字母和特殊字符;8。实施文件和文件夹安全性。如加密静止的文件;9。将管理员职责限制为有限数量的用户。并要求他们使用多因素身份验证;10。保持FTPS或SFTP服务器软件为最新。
具体内容如下:
1。禁用标准FTP
如果服务器上正在运行标准FTP。则应尽快将其禁用。FTP已经有30多年的历史了。它并不能承受我们今天面临的现代安全威胁。FTP缺乏隐私和完整性。使黑客在传输过程中很容易获得访问权限并捕获或修改您的数据。我们建议您切换到其他几种安全FTP替代方法之一。
2。使用强加密和散列
SFTP和FTPS协议都使用加密密码来保护传输中的数据。密码是一种复杂的算法。它接收原始数据。并与密钥一起产生要传输的加密数据。您应该做的第一件事是禁用任何较旧的。过时的密码。例如Blowfish和DES。而仅使用更强的密码。例如AES或TDES。哈希或MAC算法用于验证传输的完整性。同样。您应该禁用较旧的哈希/ MAC算法(例如MD5或SHA-1)。并坚持使用SHA-2系列中的强大算法。
3。放置在网关后面
DMZ(非军事区)是组织存储其FTP服务器的网络的公共部分。DMZ的问题在于它面对着公共互联网。使其成为最容易受到攻击的部分。如果FTP服务器位于DMZ中。则通常还将贸易伙伴的数据文件和用户凭据存储在该区域中。即使文件被加密。也存在很大的风险。其他组织已经采取了将文件和用户凭据移入专用网络的步骤。这更安全。但是。此方法的问题在于。这需要您将端口打开到专用网络中。这会为攻击创建路径。并且可能无法满足合规性要求。
一种越来越流行的方法是使用DMZ安全网关或增强的反向代理。网关是您在DMZ中的服务器上安装的软件。然后在启动时从专用网络打开一个专用控制通道进入DMZ。您的贸易伙伴将连接到网关。网关将通过控制通道将会话发送到专用网络上的FTP服务器。文件和用户凭据保留在专用网络中。不需要入站端口。
4。实施IP黑名单和白名单
IP黑名单会暂时或永久拒绝访问系统的IP地址范围。例如。您可能想阻止某些国家访问。您还可以让FTP服务器针对某些类型的攻击(例如DoS攻击)执行自动黑名单。
另一种方法是仅将指定的IP地址列入白名单以访问系统。例如您的贸易伙伴。困难在于。这只有在贸易伙伴使用固定IP的情况下才能很好地起作用。
5。加强您的FTPS服务器
如果您使用的是FTPS服务器。则应采取一些措施来确保其安全。包括:除非对身份验证和数据通道强制加密。否则不要使用显式FTPS 不要使用任何版本的SSL或TLS 1.0 使用椭圆曲线Diffie-Hellman密钥交换算法
6。利用良好的帐户管理
为贸易伙伴创建操作系统级别的用户帐户是有风险的。因为它创建了获取对服务器上其他资源的访问的途径。此外。用户凭据应与FTP应用程序分开保存。不允许匿名用户或共享帐户。设置一些规则。例如帐户用户名的长度至少应为7个字符。并且在6次登录失败或90天不活动后应自动禁用帐户。
7。使用强密码
密码的长度至少应为7个字符。同时包含数字和字母数字字符。并至少包含一个特殊字符。确保管理员密码每90天更改一次。请勿重复使用最后4个密码。并使用SHA-2等强大的哈希加密算法存储用户密码。
8。实施文件和文件夹安全性
贸易伙伴应仅具有他们绝对需要的文件夹访问权限。例如。仅仅因为合作伙伴需要从文件夹中下载内容的权限。并不表示他们需要对该文件夹的全部权限。需要将文件上传到文件夹并不需要它们具有对该文件夹的读取权限。加密静止的文件(尤其是存储在DMZ中的文件)。并仅在需要时将文件保留在FTP服务器上。
9。锁定管理
服务器的管理应受到严格控制。将管理员职责限制为有限数量的用户。并要求他们使用多因素身份验证。不要将密码存储在服务器上。而应将它们存储在AD域或LDAP服务器中。请勿使用常见的管理员用户ID(例如“ root”或“ admin”)。这是黑客会尝试的第一件事。
10。遵循最佳做法
保持FTPS或SFTP服务器软件为最新。如果要处理美国政府数据。请仅使用经过FIPS 140-2验证的加密密码。请勿使用首次登录时显示的默认SFTP软件版本-这将为黑客提供如何利用服务器的线索。将所有后端数据库保留在其他服务器上。要求重新认证不活动的会话。实施良好的密钥管理。
本文地址:https://gpu.xuandashi.com/42756.html,转载请说明来源于:渲大师
声明:本站部分内容来自网络,如无特殊说明或标注,均为本站原创发布。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。分享目的仅供大家学习与参考,不代表本站立场!