提升伺服器安全管理

⑴ 如何做好Linux伺服器安全維護

一、強化密碼強度

凡是涉及到登錄，就需要用到密碼，如果密碼設定不恰當，很容易被黑客破解，如果是超級管理員用戶，如果沒有設立良好的密碼機制，可能給系統造成無法挽回的成果。

很多用戶喜歡用自己的生日、姓名、英文名等信息來設定，這些方式可以通過字典或社會工程的手段去破解，因此建議用戶在設定密碼時，盡量使用非字典中出現的組合字元，且採用數字與字元、大小寫相結合的密碼，增加密碼被破譯的難度。

二、登錄用戶管理

進入Linux系統前，都是需要登錄的，只有通過系統驗證後，才能進入Linux操作系統，而Linux一般將密碼加密後，存放在/etc/passwd文件中，那麼所有用戶都可以讀取此文件，雖然其中保存的密碼已加密，但安全系數仍不高，因此可以設定影子文件/etc/shadow，只允許有特殊許可權的用戶操作。

三、賬戶安全等級管理

在Linux操作系統上，每個賬戶可以被賦予不同的許可權，因此在建立一個新用戶ID時，系統管理員應根據需要賦予該賬號不同的許可權，且歸並到不同的用戶組中。每個賬號ID應有專人負責，在企業中，如果負責某個ID的員工離職，該立即從系統中刪除該賬號。

四、謹慎使用r系列遠程程序管理

在Linux系統中，有一系列r開頭的公用程序，如rlogin、rcp等，非常容易被不法分子用來攻擊我們的系統，因此千萬不要將root賬號開放給這些公用程序，現如今很多安全工具都是針對此漏洞而設計的，比如PAM工具，就可以將其有效地禁止掉。

五、root用戶許可權管理

root可謂是Linux重點保護對象，因為其權利是最高的，因此千萬不要將它授權出去，但有些程序的安裝、維護必須要求是超級用戶許可權，在此情況下，可以利用其他工具讓這類用戶有部分超級用戶的許可權。sudo就是這樣的工具。

六、綜合防禦管理

防火牆、IDS等防護技術已成功應用到網路安全的各個領域，且都有非常成熟的產品，需要注意的是：在大多數情況下，需要綜合使用這兩項技術，因為防火牆相當於安全防護的第一層，它僅僅通過簡單地比較IP地址/埠來過濾網路流量，而IDS更加具體，它需要通過具體的數據包來過濾網路流量，是安全防護的第二層。綜合使用它們，能夠做到互補，並且發揮各自的優勢，最終實現綜合防禦。

七、保持更新，補丁管理

Linux作為一種優秀的開源軟體，其穩定性、安全性和可用性有極為可靠的保證，世界上的Linux高手共同維護著個優秀的產品，因而起流通渠道很多，而且經常有更新的程序和系統補丁出現，因此，為了加強系統安全，一定要經常更新系統內核。

⑵ 伺服器安全軟體除了雲鎖，安全狗，還有哪些

一般我們通常用的就只有下面這些，其他的建議慎重，以下這些比較權威，官方：
安全狗、
這款就是伺服器上用的最多的軟體，目前安全狗產品包括了伺服器安全狗、網站安全狗及安全狗雲中心等,而且所有的產品都是永久免費的，是國內首款支持Windows全系列伺服器操作系統(Windows2003/Windows2008 32位 64位)和Linux系統的基於內核級的伺服器安全防護軟體。
主要功能有:
一是面向網站安全的:網馬掃描及查殺(自有引擎,只針對網頁木馬);網馬主動防禦功能(可主動攔截網馬上傳和訪問的動作);防SQL注入功能、防XSS跨站攻擊功能;防盜鏈防下載;以及防止CC攻擊。
二是面向伺服器安全的:基於內核驅動的抗DDOS攻擊、抗ARP攻擊、抗WEBCC攻擊功能;
三則是基於雲端的監控和保護:利用雲計算技術,構造一個較為全面的伺服器和網站的監控和防護平台, 24小時的伺服器健康監控、資源監控和資源告警、伺服器可用性監控、基於雲端技術的網站防篡改功能,保障網站文件不被非法修改。

護衛神
護衛神的產品是大部分免費的,作為國內最大的伺服器軟體供應商,此款軟體在國內伺服器市場也是非常熱門產品。其中包含了20多款完全免費的伺服器應用軟體。入侵防護系統就是從黑客入侵的每個環節進行攔截,從而提升伺服器安全的軟體。網站安全系統是一款以分離許可權為基礎,通過一系列獨特技術手段,保障網站不被入侵的安全防護軟體。主機管理系統是一款通過網頁開設空間、SQL的管理系統,告別手工開設站點的煩惱。好備份系統是一款自動備份SQL資料庫和網站的免費軟體,只需設置好備份任務,軟體就會自動幫您完成備份工作.....產品眾多,各位用戶可以進入護衛神官網一一了解。
卡巴斯基伺服器企業版
是俄羅斯著名的信息安全領導廠商「卡巴斯基實驗室」所研發的,是世界上擁有最尖端科技的殺毒軟體之一,同時它也有伺服器版。它的主要功能包括有:與最新版本的 Kaspersky Security Center 兼容。可以遠程安裝和配置應用程序、管理操作和接收更新、通過 Microsoft Management Console,卡巴斯基網路安全管理中心或使用命令行來直接或遠程管理 IT 安全。
但其實還有一些軟體是商家基於自家伺服器開發的安全軟體系統，這種系統更能匹配和兼容伺服器，我用的是《小鳥雲》的伺服器，有自帶的雲管家和雲監控！還不錯！

⑶ Linux系統中如何提高VSFTP伺服器安全性

但是，安全問題也一直伴隨在FTP左右。如何防止攻擊者通過非法手段竊取FTP伺服器中的重要信息;如何防止攻擊者利用FTP伺服器來傳播木馬與病毒等等。這些都是系統管理員所需要關注的問題。這次我就已Linux操作系統平台上使用的最廣泛的VSFTP為例，談談如何來提高FTP伺服器的安全性。 一、禁止系統級別用戶來登錄FTP伺服器 為了提高FTP伺服器的安全，系統管理員最好能夠為員工設置單獨的FTP帳號，而不要把系統級別的用戶給普通用戶來使用，這會帶來很大的安全隱患。在VSFTP伺服器中，可以通過配置文件vsftpd.ftpusers來管理登陸帳戶。不過這個帳戶是一個黑名單，列入這個帳戶的人員將無法利用其帳戶來登錄FTP伺服器。部署好VSFTP伺服器後，我們可以利用vi命令來查看這個配置文件，發現其已經有了許多默認的帳戶。其中，系統的超級用戶root也在其中。可見出於安全的考慮，VSFTP伺服器默認情況下就是禁止root帳戶登陸FTP伺服器的。如果系統管理員想讓root等系統帳戶登陸到FTP伺服器，則知需要在這個配置文件中將root等相關的用戶名刪除即可。不過允許系統帳戶登錄FTP伺服器，會對其安全造成負面的影響，為此我不建議系統管理員這么做。對於這個文件中相關的系統帳戶管理員最好一個都不要改，保留這些帳號的設置。 如果出於其他的原因，需要把另外一些帳戶也禁用掉，則可以把帳戶名字加入到這個文件中即可。如在伺服器上可能同時部署了FTP伺服器與資料庫伺服器。那麼為了安全起見，把資料庫管理員的帳戶列入到這個黑名單，是一個不錯的做法。 匿名用戶是指那些在FTP伺服器中沒有定義相關的帳戶，而FTP系統管理員為了便於管理，仍然需要他們進行登陸。但是他們畢竟沒有取得伺服器的授權，為了提高伺服器的安全性，必須要對他們的許可權進行限制。在VSFTP伺服器上也有很多參數可以用來控制匿名用戶的許可權。系統管理員需要根據FTP伺服器的安全級別，來做好相關的配置工作。需要說明的是，匿名用戶的許可權控制的越嚴格，FTP伺服器的安全性越高，但是同時用戶訪問的便利性也會降低。故最終系統管理員還是需要在伺服器安全性與便利性上取得一個均衡。 一是參數anon_world_readable_only。這個參數主要用來控制匿名用戶是否可以從FTP伺服器上下載可閱讀的文件。如果FTP伺服器部署在企業內部，主要供企業內部員工使用的話，則最好把這個參數設置為YES。然後把一些企業常用表格等等可以公開的文件放置在上面，讓員工在匿名的情況下也可以下載這些文件。這即不會影響到FTP伺服器的安全，而且也有利於其他員工操作的便利性上。 二是參數anon_upload_enable。這個參數表示匿名用戶能否在匿名訪問的情況下向FTP伺服器上傳文件。通常情況下，應該把這個參數設置為No。即在匿名訪問時不允許用戶上傳文件。否則的話，隨便哪個人都可以上傳文件的話，那對方若上傳一個病毒文件，那企業不是要遭殃了。故應該禁止匿名用戶上傳文件。但是這也有例外。如有些企業通過FTP協議來備份文件。此時如果企業網路的安全性有所保障的話，可以把這個參數設置為YES，即允許操作系統調用FTP命令往FTP伺服器上備份文件。在這種情況下，為了簡化備份程序的部署，往往採用匿名訪問。故需要在FTP伺服器上允許匿名用戶上傳文件。 三是參數anon_other_write_enable與參數anon_mkdir_write_enable。這兩個參數主要涉及到匿名用戶的一些比較高級的許可權。如第一個參數表示匿名用戶具有上傳和建立子目錄之外的許可權，如可以更改FTP伺服器上文件的名字等等。而第二個參數則表示匿名用戶可以在特定的情況下建立子目錄。這些功能都會影響到FTP伺服器的安全與文件的安全。為此除非有特別需要的原因，否則的話都應該把這些許可權禁用掉。即把這些參數的值設置為NO。我認為，除非FTP伺服器是系統管理員拿來玩玩的，可以開啟這些參數。否則的話，還是把這些參數設置為NO為好，以提高FTP伺服器的安全。 三、做好目錄的控制 通常情況下，系統管理員需要為每個不同的用戶設置不同的根目錄。而為安全起見，不讓不同用戶之間進行相互的干擾，則系統管理員需要設置不讓用戶可以訪問其他用戶的根目錄。如有些企業為每個部門設置了一個FTP帳戶，以利於他們交流文件。那麼銷售部門Sales有一個根目錄sales;倉庫部門有一個根目錄Ware。作為銷售員工來說，他們可以訪問自己根目錄下的任何子目錄，但是無法訪問倉庫用戶的根目錄Ware。如此的話，銷售部門員工也就無法訪問倉庫用戶的文件了。可見，通過限制用戶訪問根目錄以外的目錄，可以防止不同用戶之間相互干擾，以提高FTP伺服器上文件的安全。為了實現這個目的，可以把參數chroot_local_user設置為NO。如此設置後，所有在本地登陸的用戶都不可以進入根目錄之外的其他目錄。不過在進行這個控制的時候，最好能夠設置一個大家都可以訪問的目錄，以存放一些公共的文件。我們既要保障伺服器的安全，也不能夠因此影響到文件的正常共享交流。 四、進行傳輸速率的限制 有時候為了保障FTP伺服器的穩定運行，需要對其文件上傳下載的速率進行限制。如在同一台伺服器上，分別部署了FTP伺服器、郵件伺服器等等。為了這些應用服務能夠和平共處，就需要對其的最大傳輸速率進行控制。因為同一台伺服器的帶寬是有最大限制的。若某個應用服務佔用比較大的帶寬時，就會對其他應用服務產生不利的影響，甚至為導致其他應用服務無法正常相應用戶的需求。再如有時候FTP用途的不同，也需要設置最大速率的限制。如FTP同時作為文件備份與文件上傳下載等用途，那麼為了提高文件備份的效率，縮短備份時間就需要對文件上傳下載的速率進行最大值的限制。 為了實現傳輸速率的限制，系統管理員可以設置local_max_rate參數。默認情況下，這個參數是不啟用的，即沒有最大速率的限制。不過基於以上這些原因，我還是建議各位系統管理員在把FTP伺服器投入生產運營之前能夠先對這個參數進行設置。防止因為上傳下載耗用了過多的帶寬而對其他應用服務產生負面的影響。系統管理員需要在各個應用服務之間取得一個均衡，合理的分配帶寬。至少要保證各個應用服務能夠正常響應客戶的請求。另外在有可能的情況下，需要執行錯峰運行。如在一台主機上同時部署有郵件伺服器與FTP伺服器。而FTP伺服器主要用來進行文件備份。那麼為了防止文件備份對郵件收發產生不利影響(因為文件備份需要比較大的帶寬會在很大程度上降低郵件收發的速度)，最好能夠把文件備份與郵件收發的高峰時期分開來。如一般情況下早上上班時是郵件收發的高峰時期，那就不要利用FTP服務來進行文件備份。而中午休息的時候一般收發郵件就比較少了。此時就可以利用FTP來進行文件備份。所以把FTP伺服器與其他應用服務錯峰運行，那麼就可以把這個速率設置的大一點，以提高FTP服務的運行效率。當然，這對系統管理員提出了比較高的要求。因為系統管理員需要分析各種應用，然後再結合伺服器的部署，來進行綜合的規劃。除非有更高的措施與更好的條件，否則的話對FTP伺服器進行最大速率傳輸是必須的。

⑷ 如何提高linux伺服器的安全策略

安全是IT行業一個老生常談的話題了，處理好信息安全問題已變得刻不容緩。做為運維人員，就必須了解一些安全運維准則，同時，要保護自己所負責的業務，首先要站在攻擊者的角度思考問題，修補任何潛在的威脅和漏洞。主要分五部分展開：賬戶和登錄安全賬戶安全是系統安全的第一道屏障，也是系統安全的核心，保障登錄賬戶的安全，在一定程度上可以提高伺服器的安全級別，下面重點介紹下Linux系統登錄賬戶的安全設置方法。
1、刪除特殊的賬戶和賬戶組 Linux提供了各種不同角色的系統賬號，在系統安裝完成後，默認會安裝很多不必要的用戶和用戶組，如果不需要某些用戶或者組，就要立即刪除它，因為賬戶越多，系統就越不安全，很可能被黑客利用，進而威脅到伺服器的安全。
Linux系統中可以刪除的默認用戶和組大致有如下這些：
可刪除的用戶，如adm,lp,sync,shutdown,halt,news,uucp,operator,games,gopher等。
可刪除的組，如adm,lp,news,uucp,games,dip,pppusers,popusers,slipusers等。
2、關閉系統不需要的服務Linux在安裝完成後，綁定了很多沒用的服務，這些服務默認都是自動啟動的。對於伺服器來說，運行的服務越多，系統就越不安全，越少服務在運行，安全性就越好，因此關閉一些不需要的服務，對系統安全有很大的幫助。具體哪些服務可以關閉，要根據伺服器的用途而定，一般情況下，只要系統本身用不到的服務都認為是不必要的服務。例如：某台Linux伺服器用於www應用，那麼除了httpd服務和系統運行是必須的服務外，其他服務都可以關閉。下面這些服務一般情況下是不需要的，可以選擇關閉： anacron、auditd、autofs、avahi-daemon、avahi-dnsconfd、bluetooth、cpuspeed、firstboot、gpm、haldaemon、hidd、ip6tables、ipsec、isdn、lpd、mcstrans、messagebus、netfs、nfs、nfslock、nscd、pcscd portmap、readahead_early、restorecond、rpcgssd、rpcidmapd、rstatd、sendmail、setroubleshoot、yppasswdd ypserv
3、密碼安全策略在Linux下，遠程登錄系統有兩種認證方式：密碼認證和密鑰認證。密碼認證方式是傳統的安全策略，對於密碼的設置，比較普遍的說法是：至少6個字元以上，密碼要包含數字、字母、下劃線、特殊符號等。設置一個相對復雜的密碼，對系統安全能起到一定的防護作用，但是也面臨一些其他問題，例如密碼暴力破解、密碼泄露、密碼丟失等，同時過於復雜的密碼對運維工作也會造成一定的負擔。密鑰認證是一種新型的認證方式，公用密鑰存儲在遠程伺服器上，專用密鑰保存在本地，當需要登錄系統時，通過本地專用密鑰和遠程伺服器的公用密鑰進行配對認證，如果認證成功，就成功登錄系統。這種認證方式避免了被暴力破解的危險，同時只要保存在本地的專用密鑰不被黑客盜用，攻擊者一般無法通過密鑰認證的方式進入系統。因此，在Linux下推薦用密鑰認證方式登錄系統，這樣就可以拋棄密碼認證登錄系統的弊端。Linux伺服器一般通過SecureCRT、putty、Xshell之類的工具進行遠程維護和管理，密鑰認證方式的實現就是藉助於SecureCRT軟體和Linux系統中的SSH服務實現的。
4、合理使用su、sudo命令su命令：是一個切換用戶的工具，經常用於將普通用戶切換到超級用戶下，當然也可以從超級用戶切換到普通用戶。為了保證伺服器的安全，幾乎所有伺服器都禁止了超級用戶直接登錄系統，而是通過普通用戶登錄系統，然後再通過su命令切換到超級用戶下，執行一些需要超級許可權的工作。通過su命令能夠給系統管理帶來一定的方便，但是也存在不安全的因素，例如：系統有10個普通用戶，每個用戶都需要執行一些有超級許可權的操作，就必須把超級用戶的密碼交給這10個普通用戶，如果這10個用戶都有超級許可權，通過超級許可權可以做任何事，那麼會在一定程度上對系統的安全造成了威協。因此su命令在很多人都需要參與的系統管理中，並不是最好的選擇，超級用戶密碼應該掌握在少數人手中，此時sudo命令就派上用場了。sudo命令：允許系統管理員分配給普通用戶一些合理的「權利」，並且不需要普通用戶知道超級用戶密碼，就能讓他們執行一些只有超級用戶或其他特許用戶才能完成的任務。比如：系統服務重啟、編輯系統配置文件等，通過這種方式不但能減少超級用戶登錄次數和管理時間，也提高了系統安全性。因此，sudo命令相對於許可權無限制性的su來說，還是比較安全的，所以sudo也被稱為受限制的su，另外sudo也是需要事先進行授權認證的，所以也被稱為授權認證的su。
sudo執行命令的流程是：將當前用戶切換到超級用戶下，或切換到指定的用戶下，然後以超級用戶或其指定切換到的用戶身份執行命令，執行完成後，直接退回到當前用戶，而這一切的完成要通過sudo的配置文件/etc/sudoers來進行授權。
sudo設計的宗旨是：賦予用戶盡可能少的許可權但仍允許它們完成自己的工作，這種設計兼顧了安全性和易用性，因此，強烈推薦通過sudo來管理系統賬號的安全，只允許普通用戶登錄系統，如果這些用戶需要特殊的許可權，就通過配置/etc/sudoers來完成，這也是多用戶系統下賬號安全管理的基本方式。
5、刪減系統登錄歡迎信息 系統的一些歡迎信息或版本信息，雖然能給系統管理者帶來一定的方便，但是這些信息有時候可能被黑客利用，成為攻擊伺服器的幫凶，為了保證系統的安全，可以修改或刪除某些系統文件，需要修改或刪除的文件有4個，分別是：/etc/issue、/etc/issue.net、/etc/redhat-release和/etc/motd。/etc/issue和/etc/issue.net文件都記錄了操作系統的名稱和版本號，當用戶通過本地終端或本地虛擬控制台等登錄系統時，/etc/issue的文件內容就會顯示，當用戶通過ssh或telnet等遠程登錄系統時，/etc/issue.net文件內容就會在登錄後顯示。在默認情況下/etc/issue.net文件的內容是不會在ssh登錄後顯示的，要顯示這個信息可以修改/etc/ssh/sshd_config文件，在此文件中添加如下內容即可：Banner /etc/issue.net其實這些登錄提示很明顯泄漏了系統信息，為了安全起見，建議將此文件中的內容刪除或修改。/etc/redhat-release文件也記錄了操作系統的名稱和版本號，為了安全起見，可以將此文件中的內容刪除/etc/motd文件是系統的公告信息。每次用戶登錄後，/etc/motd文件的內容就會顯示在用戶的終端。通過這個文件系統管理員可以發布一些軟體或硬體的升級、系統維護等通告信息，但是此文件的最大作用就、是可以發布一些警告信息，當黑客登錄系統後，會發現這些警告信息，進而產生一些震懾作用。看過國外的一個報道，黑客入侵了一個伺服器，而這個伺服器卻給出了歡迎登錄的信息，因此法院不做任何裁決。
遠程訪問和認證安全
1、遠程登錄取消telnet而採用SSH方式 telnet是一種古老的遠程登錄認證服務，它在網路上用明文傳送口令和數據，因此別有用心的人就會非常容易截獲這些口令和數據。而且，telnet服務程序的安全驗證方式也極其脆弱，攻擊者可以輕松將虛假信息傳送給伺服器。現在遠程登錄基本拋棄了telnet這種方式，而取而代之的是通過SSH服務遠程登錄伺服器。
2、合理使用Shell歷史命令記錄功能 在Linux下可通過history命令查看用戶所有的歷史操作記錄，同時shell命令操作記錄默認保存在用戶目錄下的.bash_history文件中，通過這個文件可以查詢shell命令的執行歷史，有助於運維人員進行系統審計和問題排查，同時，在伺服器遭受黑客攻擊後，也可以通過這個命令或文件查詢黑客登錄伺服器所執行的歷史命令操作，但是有時候黑客在入侵伺服器後為了毀滅痕跡，可能會刪除.bash_history文件，這就需要合理的保護或備份.bash_history文件。
3、啟用tcp_wrappers防火牆Tcp_Wrappers是一個用來分析TCP/IP封包的軟體，類似的IP封包軟體還有iptables。Linux默認都安裝了Tcp_Wrappers。作為一個安全的系統，Linux本身有兩層安全防火牆，通過IP過濾機制的iptables實現第一層防護。iptables防火牆通過直觀地監視系統的運行狀況，阻擋網路中的一些惡意攻擊，保護整個系統正常運行，免遭攻擊和破壞。如果通過了第一層防護，那麼下一層防護就是tcp_wrappers了。通過Tcp_Wrappers可以實現對系統中提供的某些服務的開放與關閉、允許和禁止，從而更有效地保證系統安全運行。

文件系統安全
1、鎖定系統重要文件系統運維人員有時候可能會遇到通過root用戶都不能修改或者刪除某個文件的情況，產生這種情況的大部分原因可能是這個文件被鎖定了。在Linux下鎖定文件的命令是chattr，通過這個命令可以修改ext2、ext3、ext4文件系統下文件屬性，但是這個命令必須有超級用戶root來執行。和這個命令對應的命令是lsattr，這個命令用來查詢文件屬性。對重要的文件進行加鎖，雖然能夠提高伺服器的安全性，但是也會帶來一些不便。例如：在軟體的安裝、升級時可能需要去掉有關目錄和文件的immutable屬性和append-only屬性，同時，對日誌文件設置了append-only屬性，可能會使日誌輪換(logrotate)無法進行。因此，在使用chattr命令前，需要結合伺服器的應用環境來權衡是否需要設置immutable屬性和append-only屬性。另外，雖然通過chattr命令修改文件屬性能夠提高文件系統的安全性，但是它並不適合所有的目錄。chattr命令不能保護/、/dev、/tmp、/var等目錄。根目錄不能有不可修改屬性，因為如果根目錄具有不可修改屬性，那麼系統根本無法工作：/dev在啟動時，syslog需要刪除並重新建立/dev/log套接字設備，如果設置了不可修改屬性，那麼可能出問題；/tmp目錄會有很多應用程序和系統程序需要在這個目錄下建立臨時文件，也不能設置不可修改屬性；/var是系統和程序的日誌目錄，如果設置為不可修改屬性，那麼系統寫日誌將無法進行，所以也不能通過chattr命令保護。
2、文件許可權檢查和修改不正確的許可權設置直接威脅著系統的安全，因此運維人員應該能及時發現這些不正確的許可權設置，並立刻修正，防患於未然。下面列舉幾種查找系統不安全許可權的方法。
（1）查找系統中任何用戶都有寫許可權的文件或目錄
查找文件：find / -type f -perm -2 -o -perm -20 |xargs ls -al查找目錄：find / -type d -perm -2 -o -perm -20 |xargs ls –ld
（2）查找系統中所有含「s」位的程序
find / -type f -perm -4000 -o -perm -2000 -print | xargs ls –al
含有「s」位許可權的程序對系統安全威脅很大，通過查找系統中所有具有「s」位許可權的程序，可以把某些不必要的「s」位程序去掉，這樣可以防止用戶濫用許可權或提升許可權的可能性。
（3）檢查系統中所有suid及sgid文件
find / -user root -perm -2000 -print -exec md5sum {} \;find / -user root -perm -4000 -print -exec md5sum {} \;
將檢查的結果保存到文件中，可在以後的系統檢查中作為參考。
（4）檢查系統中沒有屬主的文件
find / -nouser -o –nogroup
沒有屬主的孤兒文件比較危險，往往成為黑客利用的工具，因此找到這些文件後，要麼刪除掉，要麼修改文件的屬主，使其處於安全狀態。
3、/tmp、/var/tmp、/dev/shm安全設定在Linux系統中，主要有兩個目錄或分區用來存放臨時文件，分別是/tmp和/var/tmp。存儲臨時文件的目錄或分區有個共同點就是所有用戶可讀寫、可執行，這就為系統留下了安全隱患。攻擊者可以將病毒或者木馬腳本放到臨時文件的目錄下進行信息收集或偽裝，嚴重影響伺服器的安全，此時，如果修改臨時目錄的讀寫執行許可權，還有可能影響系統上應用程序的正常運行，因此，如果要兼顧兩者，就需要對這兩個目錄或分區就行特殊的設置。/dev/shm是Linux下的一個共享內存設備，在Linux啟動的時候系統默認會載入/dev/shm，被載入的/dev/shm使用的是tmpfs文件系統，而tmpfs是一個內存文件系統，存儲到tmpfs文件系統的數據會完全駐留在RAM中，這樣通過/dev/shm就可以直接操控系統內存，這將非常危險，因此如何保證/dev/shm安全也至關重要。對於/tmp的安全設置，需要看/tmp是一個獨立磁碟分區，還是一個根分區下的文件夾，如果/tmp是一個獨立的磁碟分區，那麼設置非常簡單，修改/etc/fstab文件中/tmp分區對應的掛載屬性，加上nosuid、noexec、nodev三個選項即可，修改後的/tmp分區掛載屬性類似如下：LABEL=/tmp /tmp ext3 rw,nosuid,noexec,nodev 0 0 其中，nosuid、noexec、nodev選項，表示不允許任何suid程序，並且在這個分區不能執行任何腳本等程序，並且不存在設備文件。在掛載屬性設置完成後，重新掛載/tmp分區，保證設置生效。對於/var/tmp，如果是獨立分區，安裝/tmp的設置方法是修改/etc/fstab文件即可；如果是/var分區下的一個目錄，那麼可以將/var/tmp目錄下所有數據移動到/tmp分區下，然後在/var下做一個指向/tmp的軟連接即可。也就是執行如下操作：
[root@server ~]# mv /var/tmp/* /tmp[root@server ~]# ln -s /tmp /var/tmp
如果/tmp是根目錄下的一個目錄，那麼設置稍微復雜，可以通過創建一個loopback文件系統來利用Linux內核的loopback特性將文件系統掛載到/tmp下，然後在掛載時指定限制載入選項即可。一個簡單的操作示例如下：
[root@server ~]# dd if=/dev/zero of=/dev/tmpfs bs=1M count=10000[root@server ~]# mke2fs -j /dev/tmpfs[root@server ~]# cp -av /tmp /tmp.old[root@server ~]# mount -o loop,noexec,nosuid,rw /dev/tmpfs /tmp[root@server ~]# chmod 1777 /tmp[root@server ~]# mv -f /tmp.old/* /tmp/[root@server ~]# rm -rf /tmp.old
最後，編輯/etc/fstab，添加如下內容，以便系統在啟動時自動載入loopback文件系統：
/dev/tmpfs /tmp ext3 loop,nosuid,noexec,rw 0 0
Linux後門入侵檢測工具rootkit是Linux平台下最常見的一種木馬後門工具，它主要通過替換系統文件來達到入侵和和隱蔽的目的，這種木馬比普通木馬後門更加危險和隱蔽，普通的檢測工具和檢查手段很難發現這種木馬。rootkit攻擊能力極強，對系統的危害很大，它通過一套工具來建立後門和隱藏行跡，從而讓攻擊者保住許可權，以使它在任何時候都可以使用root許可權登錄到系統。rootkit主要有兩種類型：文件級別和內核級別，下面分別進行簡單介紹。文件級別的rootkit一般是通過程序漏洞或者系統漏洞進入系統後，通過修改系統的重要文件來達到隱藏自己的目的。在系統遭受rootkit攻擊後，合法的文件被木馬程序替代，變成了外殼程序，而其內部是隱藏著的後門程序。通常容易被rootkit替換的系統程序有login、ls、ps、ifconfig、、find、netstat等，其中login程序是最經常被替換的，因為當訪問Linux時，無論是通過本地登錄還是遠程登錄，/bin/login程序都會運行，系統將通過/bin/login來收集並核對用戶的賬號和密碼，而rootkit就是利用這個程序的特點，使用一個帶有根許可權後門密碼的/bin/login來替換系統的/bin/login，這樣攻擊者通過輸入設定好的密碼就能輕松進入系統。此時，即使系統管理員修改root密碼或者清除root密碼，攻擊者還是一樣能通過root用戶登錄系統。攻擊者通常在進入Linux系統後，會進行一系列的攻擊動作，最常見的是安裝嗅探器收集本機或者網路中其他伺服器的重要數據。在默認情況下，Linux中也有一些系統文件會監控這些工具動作，例如ifconfig命令，所以，攻擊者為了避免被發現，會想方設法替換其他系統文件，常見的就是ls、ps、ifconfig、、find、netstat等。如果這些文件都被替換，那麼在系統層面就很難發現rootkit已經在系統中運行了。這就是文件級別的rootkit，對系統維護很大，目前最有效的防禦方法是定期對系統重要文件的完整性進行檢查，如果發現文件被修改或者被替換，那麼很可能系統已經遭受了rootkit入侵。檢查件完整性的工具很多，常見的有Tripwire、 aide等，可以通過這些工具定期檢查文件系統的完整性，以檢測系統是否被rootkit入侵。內核級rootkit是比文件級rootkit更高級的一種入侵方式，它可以使攻擊者獲得對系統底層的完全控制權，此時攻擊者可以修改系統內核，進而截獲運行程序向內核提交的命令，並將其重定向到入侵者所選擇的程序並運行此程序，也就是說，當用戶要運行程序A時，被入侵者修改過的內核會假裝執行A程序，而實際上卻執行了程序B。內核級rootkit主要依附在內核上，它並不對系統文件做任何修改，因此一般的檢測工具很難檢測到它的存在，這樣一旦系統內核被植入rootkit，攻擊者就可以對系統為所欲為而不被發現。目前對於內核級的rootkit還沒有很好的防禦工具，因此，做好系統安全防範就非常重要，將系統維持在最小許可權內工作，只要攻擊者不能獲取root許可權，就無法在內核中植入rootkit。
1、rootkit後門檢測工具chkrootkit chkrootkit是一個Linux系統下查找並檢測rootkit後門的工具，它的官方址:http://www.chkrootkit.org/。 chkrootkit沒有包含在官方的CentOS源中，因此要採取手動編譯的方法來安裝，不過這種安裝方法也更加安全。chkrootkit的使用比較簡單，直接執行chkrootkit命令即可自動開始檢測系統。下面是某個系統的檢測結果：
[root@server chkrootkit]# /usr/local/chkrootkit/chkrootkitChecking `ifconfig』… INFECTEDChecking `ls』… INFECTEDChecking `login』… INFECTEDChecking `netstat』… INFECTEDChecking `ps』… INFECTEDChecking `top』… INFECTEDChecking `sshd』… not infectedChecking `syslogd』… not tested
從輸出可以看出，此系統的ifconfig、ls、login、netstat、ps和top命令已經被感染。針對被感染rootkit的系統，最安全而有效的方法就是備份數據重新安裝系統。chkrootkit在檢查rootkit的過程中使用了部分系統命令，因此，如果伺服器被黑客入侵，那麼依賴的系統命令可能也已經被入侵者替換，此時chkrootkit的檢測結果將變得完全不可信。為了避免chkrootkit的這個問題，可以在伺服器對外開放前，事先將chkrootkit使用的系統命令進行備份，在需要的時候使用備份的原始系統命令讓chkrootkit對rootkit進行檢測。
2、rootkit後門檢測工具RKHunter RKHunter是一款專業的檢測系統是否感染rootkit的工具，它通過執行一系列的腳本來確認伺服器是否已經感染rootkit。在官方的資料中，RKHunter可以作的事情有：MD5校驗測試，檢測文件是否有改動
檢測rootkit使用的二進制和系統工具文件 檢測特洛伊木馬程序的特徵碼 檢測常用程序的文件屬性是否異常 檢測系統相關的測試 檢測隱藏文件 檢測可疑的核心模塊LKM 檢測系統已啟動的監聽埠
在Linux終端使用rkhunter來檢測，最大的好處在於每項的檢測結果都有不同的顏色顯示，如果是綠色的表示沒有問題，如果是紅色的，那就要引起關注了。另外，在執行檢測的過程中，在每個部分檢測完成後，需要以Enter鍵來繼續。如果要讓程序自動運行，可以執行如下命令：
[root@server ~]# /usr/local/bin/rkhunter –check –skip-keypress
同時，如果想讓檢測程序每天定時運行，那麼可以在/etc/crontab中加入如下內容：
30 09 * * * root /usr/local/bin/rkhunter –check –cronjob
這樣，rkhunter檢測程序就會在每天的9:30分運行一次。伺服器遭受攻擊後的處理過程安全總是相對的，再安全的伺服器也有可能遭受到攻擊。作為一個安全運維人員，要把握的原則是：盡量做好系統安全防護，修復所有已知的危險行為，同時，在系統遭受攻擊後能夠迅速有效地處理攻擊行為，最大限度地降低攻擊對系統產生的影響。

⑸ 如何進行全面提高FTP伺服器的安全性能呢

Windows2000系統提供了FTP服務功能，由於簡單易用，伺服器託管與Windows系統本身結合緊密，深受廣大用戶的喜愛。但使用IIS5.0 架設的FTP伺服器真的安全嗎？它的默認設置其實存在很多安全隱患，很容易成為黑客們的攻擊目標。伺服器託管如何讓FTP伺服器更加安全，只要稍加改造，就能做到。

一 取消匿名訪問功能

默認情況下伺服器託管，Windows2000系統的FTP伺服器是允許匿名訪問的，雖然匿名訪問為用戶上傳、下載文件提供方便，但卻存在極大的安全隱患。用戶不需要申請合法的賬號，就能訪問FTP伺服器，甚至還可以上傳、下載文件，特別對於一些存儲重要資料的FTP伺服器，伺服器託管很容易出現泄密的情況，因此建議用戶取消匿名訪問功能。

在Windows2000系統中，點擊「開始→程序→管理工具→Internet服務管理器」，彈出管理控制台窗口。然後展開窗口左側的本地計算機選項，就能看到IIS5.0自帶的FTP伺服器，下面筆者以默認FTP站點為例，介紹如何取消匿名訪問功能。

右鍵點擊「默認FTP站點」項，在右鍵菜單中選擇「屬性」，伺服器託管接著彈出默認FTP站點屬性對話框，切換到「安全賬號」標簽頁，取消「允許匿名連接」前的勾選，最後點擊「確定」按鈕，這樣用戶就不能使用匿名賬號訪問FTP伺服器了，必須擁有合法賬號。

二 啟用日誌記錄

Windows日誌記錄著系統運行的一切信息，但很多管理員對日誌記錄功能不夠重視，為了節省伺服器資源，禁用了FTP伺服器日誌記錄功能，伺服器託管這是萬萬要不得的。FTP伺服器日誌記錄著所有用戶的訪問信息，如訪問時間、客戶機IP地址、使用的登錄賬號等，這些信息對於FTP伺服器的穩定運行具有很重要的意義，一旦伺服器出現問題，就可以查看FTP日誌，找到故障所在，及時排除。因此一定要啟用FTP日誌記錄。

在默認FTP站點屬性對話框中，切換到「FTP站點」標簽頁，一定要確保「啟用日誌記錄」選項被選中，這樣就可以在「事件查看器」中查看FTP日誌記錄了。

三 正確設置用戶訪問許可權

每個FTP用戶賬號都具有一定的訪問許可權，但對用戶許可權的不合理設置，也能導致FTP伺服器出現安全隱患。如伺服器中的CCE文件夾，只允許 CCEUSER賬號對它有讀、寫、修改、列表的許可權，禁止其他用戶訪問，但系統默認設置，還是允許其他用戶對CCE文件夾有讀和列表的許可權，伺服器託管因此必須重新設置該文件夾的用戶訪問許可權。

右鍵點擊CCE文件夾，在彈出菜單中選擇「屬性」，然後切換到「安全」標簽頁，首先刪除Everyone用戶賬號，接著點擊「添加」按鈕，伺服器託管將 CCEUSER賬號添加到名稱列表框中，然後在「許可權」列表框中選中修改、讀取及運行、列出文件夾目錄、讀取和寫入選項，最後點擊「確定」按鈕。這樣一來，CCE文件夾只有CCEUSER用戶才能訪問。

四 啟用磁碟配額

FTP伺服器磁碟空間資源是寶貴的，無限制的讓用戶使用，勢必造成巨大的浪費，因此要對每位FTP用戶使用的磁碟空間進行限制。下面筆者以CCEUSER用戶為例，將其限制為只能使用100M磁碟空間。

在資源管理器窗口中，右鍵點擊CCE文件夾所在的硬碟盤符，在彈出的菜單中選擇「屬性」，接著切換到「配額」標簽頁，選中伺服器託管「啟用配額管理」復選框，激活「配額」標簽頁中的所有配額設置選項，為了不讓某些FTP用戶佔用過多的伺服器磁碟空間，一定要選中「拒絕將磁碟空間給超過配額限制的用戶」復選框。

然後在「為該卷上的新用戶選擇默認配額限制」框中選擇「將磁碟空間限制為」單選項，接著在後面的欄中輸入100，磁碟容量單位選擇為「MB」，然後進行警告等級設置，在「將警告等級設置為」欄中輸入「96」，容量單位也選擇為「MB」，這樣就完成了默認配額設置。伺服器託管此外，還要選中「用戶超出配額限制時記錄事件」和「用戶超過警告等級時記錄事件」復選框，以便將配額告警事件記錄到Windows日誌中。

點擊配額標簽頁下方的「配額項」按鈕，打開磁碟配額項目對話框，接著點擊「配額→新建配額項」，彈出選擇用戶對話框，選中CCEUSER用戶後，點擊「確定」按鈕，接著在「添加新配額項」對話框中為CCEUSER用戶設置配額參數，伺服器託管選擇「將磁碟空間限制為」單選項，在後面的欄中輸入 「100」，接著在「將警告等級設置為」欄中輸入「96」，它們的磁碟容量單位為「MB」，最後點擊「確定」按鈕，完成磁碟配額設置，這樣CCEUSER 用戶就只能使用100MB磁碟空間，超過96MB就會發出警告。

五 TCP/IP訪問限制

為了保證FTP伺服器的安全，還可以拒絕某些IP地址的訪問。在默認FTP站點屬性對話框中，切換到「目錄安全性」標簽頁，選中「授權訪問」單選項，然後在「以下所列除外」框中點擊「添加」按鈕，彈出「拒絕以下訪問」對話框，這里可以拒絕單個IP地址或一組IP地址訪問，伺服器託管以單個IP地址為例，選中「單機」選項，然後在「IP地址」欄中輸入該機器的IP地址，最後點擊「確定」按鈕。這樣添加到列表中的IP地址都不能訪問FTP伺服器了。

六 合理設置組策略

通過對組策略項目的修改，也可以增強FTP伺服器的安全性。在Windows2000系統中，進入到「控制面板→管理工具」，運行本地安全策略工具。

1. 審核賬戶登錄事件

在本地安全設置窗口中，伺服器託管依次展開「安全設置→本地策略→審核策略」，然後在右側的框體中找到「審核賬戶登錄事件」項目，雙擊打開該項目，在設置對話框中選中「成功」和「失敗」這兩項，最後點擊「確定」按鈕。該策略生效後，FTP用戶的每次登錄都會被記錄到日誌中。

2. 增強賬號密碼的復雜性

一些FTP賬號的密碼設置的過於簡單，就有可能被「不法之徒」所破解。為了提高FTP伺服器的安全性，必須強制用戶設置復雜的賬號密碼。

在本地安全設置窗口中，伺服器託管依次展開「安全設置→賬戶策略→密碼策略」，在右側框體中找到「密碼必須符合復雜性要求」項，雙擊打開後，選中「已啟用」單選項，最後點擊「確定」按鈕。

然後，打開「密碼長度最小值」項，為FTP賬號密碼設置最短字元限制。這樣以來，密碼的安全性就大大增強了。

3. 賬號登錄限制

有些非法用戶使用黑客工具，反復登錄FTP伺服器，來猜測賬號密碼。這是非常危險的，因此建議大家對賬號登錄次數進行限制。

依次展開「安全設置→賬戶策略→賬戶鎖定策略」，伺服器託管在右側框體中找到「賬戶鎖定閾值」項，雙擊打開後，設置賬號登錄的最大次數，如果超過此數值，賬號會被自動鎖定。接著打開「賬戶鎖定時間」項，設置FTP賬號被鎖定的時間，賬號一旦被鎖定，超過這個時間值，才能重新使用。

通過伺服器託管以上幾步設置後，用戶的FTP伺服器就會更加安全，再也不用怕被非法入侵了。

⑹ 如何遠程提升Linux伺服器安全

你好。

1.安裝和配置一個防火牆
一個配置適當的防火牆不僅是系統有效應對外部攻擊的第一道防線，也是最重要的一道防線。在新系統第一次連接上Internet之前，防火牆就應該被安裝並且配置好。防火牆配置成拒絕接收所有數據包，然後再打開允許接收的數據包，將有利於系統的安全。Linux為我們提供了一個非常優秀的防火牆工具，它就是netfilter/iptables。它完全是免費的，並且可以在一台低配置的老機器上很好地運行。防火牆的具體設置方法請參見iptables使用方法。

2、關閉無用的服務和埠
任何網路連接都是通過開放的應用埠來實現的。如果我們盡可能少地開放埠，就使網路攻擊變成無源之水，從而大大減少了攻擊者成功的機會。把Linux作為專用伺服器是個明智的舉措。例如，希望Linux成為的Web伺服器，可以取消系統內所有非必要的服務，只開啟必要服務。這樣做可以盡量減少後門，降低隱患，而且可以合理分配系統資源，提高整機性能。以下是幾個不常用的服務：
① fingerd（finger伺服器）報告指定用戶的個人信息，包括用戶名、真實姓名、shell、目錄和聯系方式，它將使系統暴露在不受歡迎的情報收集活動下，應避免啟動此服務。
② R服務（rshd、rlogin、rwhod、rexec）提供各種級別的命令，它們可以在遠程主機上運行或與遠程主機交互，在封閉的網路環境中登錄而不再要求輸入用戶名和口令，相當方便。然而在公共伺服器上就會暴露問題，導致安全威脅。

3、刪除不用的軟體包
在進行系統規劃時，總的原則是將不需要的服務一律去掉。默認的Linux就是一個強大的系統，運行了很多的服務。但有許多服務是不需要的，很容易引起安全風險。這個文件就是/etc/xinetd.conf，它制定了/usr/sbin/xinetd將要監聽的服務，你可能只需要其中的一個：ftp，其它的類如telnet、shell、login、exec、talk、ntalk、imap、finger、auth等，除非你真的想用它，否則統統關閉。

4、不設置預設路由
在主機中，應該嚴格禁止設置預設路由，即default route。建議為每一個子網或網段設置一個路由，否則其它機器就可能通過一定方式訪問該主機。

5、口令管理
口令的長度一般不要少於8個字元，口令的組成應以無規則的大小寫字母、數字和符號相結合，嚴格避免用英語單詞或片語等設置口令，而且各用戶的口令應該養成定期更換的習慣。另外，口令的保護還涉及到對/etc/passwd和/etc/shadow文件的保護，必須做到只有系統管理員才能訪問這2個文件。安裝一個口令過濾工具加npasswd，能幫你檢查你的口令是否耐得住攻擊。如果你以前沒有安裝此類的工具，建議你現在馬上安裝。如果你是系統管理員，你的系統中又沒有安裝口令過濾工具，請你馬上檢查所有用戶的口令是否能被窮盡搜索到，即對你的／ect／passwd文件實施窮盡搜索攻擊。用單詞作密碼是根本架不住暴力攻擊的。黑客們經常用一些常用字來破解密碼。曾經有一位美國黑客表示，只要用「password」這個字，就可以打開全美多數的計算機。其它常用的單詞還有：account、ald、alpha、beta、computer、dead、demo、dollar、games、bod、hello、help、intro、kill、love、no、ok、okay、please、sex、secret、superuser、system、test、work、yes等。
密碼設置和原則：
a.足夠長，指頭只要多動一下為密碼加一位，就可以讓攻擊者的辛苦增加十倍;
b. 不要用完整的單詞，盡可能包括數字、標點符號和特殊字元等;
c.混用大小寫字元;
d.經常修改。

6、分區管理
一個潛在的攻擊，它首先就會嘗試緩沖區溢出。在過去的幾年中，以緩沖區溢出為類型的安全漏洞是最為常見的一種形式了。更為嚴重的是，緩沖區溢出漏洞佔了遠程網路攻擊的絕大多數，這種攻擊可以輕易使得一個匿名的Internet用戶有機會獲得一台主機的部分或全部的控制權！。
為了防止此類攻擊，我們從安裝系統時就應該注意。如果用root分區記錄數據，如log文件，就可能因為拒絕服務產生大量日誌或垃圾郵件，從而導致系統崩潰。所以建議為/var開辟單獨的分區，用來存放日誌和郵件，以避免root分區被溢出。最好為特殊的應用程序單獨開一個分區，特別是可以產生大量日誌的程序，還建議為/home單獨分一個區，這樣他們就不能填滿/分區了，從而就避免了部分針對Linux分區溢出的惡意攻擊。
很多Linux桌面用戶往往是使用Windows、Linux雙系統。最好使用雙硬碟。方法如下：首先將主硬碟的數據線拆下，找一個10GB左右的硬碟掛在計算機上，將小硬碟設置為從盤，按照平常的操作安裝Linux伺服器版本，除了啟動的引導程序放在MBR外，其它沒有區別。 安裝完成，調試出桌面後，關閉計算機。將小硬碟的數據線拆下，裝上原硬碟，並設定為主盤（這是為了原硬碟和小硬碟同時掛接在一個數據線上），然後安裝Windows軟體。將兩個硬碟都掛在數據線上，數據線是IDE 0介面，將原硬碟設定為主盤，小硬碟設定為從盤。如果要從原硬碟啟動，就在CMOS里將啟動的順序設定為「C、D、CDROM」，或者是「IDE0(HDD-0)」。這樣計算機啟動的時候，進入Windows界面。如果要從小硬碟啟動，就將啟動順序改為「D、C、CDROM」，或者是「IDE1(HDD-1)」，啟動之後，將進入Linux界面。平時兩個操作系統是互相不能夠訪問的。

7、防範網路嗅探：
嗅探器技術被廣泛應用於網路維護和管理方面，它工作的時候就像一部被動聲納，默默的接收看來自網路的各種信息，通過對這些數據的分析，網路管理員可以深入了解網路當前的運行狀況，以便找出網路中的漏洞。在網路安全日益被注意的今天.我們不但要正確使用嗅探器.還要合理防範嗅探器的危害.嗅探器能夠造成很大的安全危害，主要是因為它們不容易被發現。對於一個安全性能要求很嚴格的企業，同時使用安全的拓撲結構、會話加密、使用靜態的ARP地址是有必要的。

8、完整的日誌管理
日誌文件時刻為你記錄著你的系統的運行情況。當黑客光臨時，也不能逃脫日誌的法眼。所以黑客往往在攻擊時修改日誌文件，來隱藏蹤跡。因此我們要限制對／var／log文件的訪問，禁止一般許可權的用戶去查看日誌文件。
另外要使用日誌伺服器。將客戶機的日誌信息保存副本是好主意，創建一台伺服器專門存放日誌文件，可以通過檢查日誌來發現問題。修改/etc/sysconfig/syslog文件加入接受遠程日誌記錄。

/etc/sysconfig/syslog SYSLOGD_OPTIONS="-m r 0"

還應該設定日誌遠程保存。修改/etc/syslog.conf文件加入日誌伺服器的設置，syslog將保存副本在日誌伺服器上。
/etc/syslog.conf *.* @log_server_IP

可以使用彩色日誌過濾器。彩色日誌loco過濾器，目前版本是0.32。使用loco /var/log/messages | more可以顯示出彩色的日誌，明顯標記出root的位置和日誌中異常的命令。這樣可以減少分析日誌時人為遺漏。還要進行日誌的定期檢查。Red Hat Linux中提供了logwatch工具，定期自動檢查日誌並發送郵件到管理員信箱。需要修改/etc/log.d/conf/ logwatch.conf文件，在MailTo = root參數後增加管理員的郵件地址。Logwatch會定期檢查日誌，過濾有關使用root、sudo、telnet、ftp登錄等信息，協助管理員分析日常安全。完整的日誌管理要包括網路數據的正確性、有效性、合法性。對日誌文件的分析還可以預防入侵。例如、某一個用戶幾小時內的20次的注冊失敗記錄，很可能是入侵者正在嘗試該用戶的口令。

9、終止正進行的攻擊
假如你在檢查日誌文件時，發現了一個用戶從你未知的主機登錄，而且你確定此用戶在這台主機上沒有賬號，此時你可能正被攻擊。首先你要馬上鎖住此賬號(在口令文件或shadow文件中，此用戶的口令前加一個Ib或其他的字元)。若攻擊者已經連接到系統，你應馬上斷開主機與網路的物理連接。如有可能，你還要進一步查看此用戶的歷史記錄，查看其他用戶是否也被假冒，攻擊音是否擁有根許可權。殺掉此用戶的所有進程並把此主機的ip地址掩碼加到文件hosts.deny中。

10、使用安全工具軟體：
Linux已經有一些工具可以保障伺服器的安全。如bastille linux和Selinux。 bastille linux對於不熟悉 linux 安全設定的使用者來說，是一套相當方便的軟體，bastille linux 目的是希望在已經存在的 linux 系統上，建構出一個安全性的環境。增強安全性的Linux（SELinux）是美國安全部的一個研發項目，它的目的在於增強開發代碼的Linux內核，以提供更強的保護措施，防止一些關於安全方面的應用程序走彎路，減輕惡意軟體帶來的災難。普通的Linux系統的安全性是依賴內核的，這個依賴是通過setuid/setgid產生的。在傳統的安全機制下，暴露了一些應用授權問題、配置問題或進程運行造成整個系統的安全問題。這些問題在現在的操作系統中都存在，這是由於他們的復雜性和與其它程序的互用性造成的。SELinux只單單依賴於系統的內核和安全配置政策。一旦你正確配置了系統，不正常的應用程序配置或錯誤將只返回錯誤給用戶的程序和它的系統後台程序。其它用戶程序的安全性和他們的後台程序仍然可以正常運行，並保持著它們的安全系統結構。用簡單一點的話說就是：沒有任何的程序配置錯誤可以造成整個系統的崩潰。安裝SELinux SELinux的內核、工具、程序/工具包，還有文檔都可以到增強安全性的Linux網站上上下載你必須有一個已經存在的Linux系統來編譯你的新內核，這樣才能訪問沒有更改的系統補丁包。

11.使用保留IP地址
維護網路安全性最簡單的方法是保證網路中的主機不同外界接觸。最基本的方法是與公共網路隔離。然而，這種通過隔離達到的安全性策略在許多情況下是不能接受的。這時，使用保留IP地址是一種簡單可行的方法，它可以讓用戶訪問Internet同時保證一定的安全性。- RFC 1918規定了能夠用於本地 TCP/IP網路使用的IP地址范圍，這些IP地址不會在Internet上路由，因此不必注冊這些地址。通過在該范圍分配IP地址，可以有效地將網路流量限制在本地網路內。這是一種拒絕外部計算機訪問而允許內部計算機互聯的快速有效的方法。 保留IP地址范圍:
---- 10.0.0 .0 - 10.255.255.255
---- 172.16.0.0 - 172.31.255.255
--- 192.168.0.0 - 192.168.255.255。
來自保留IP地址的網路交通不會經過Internet路由器，因此被賦予保留IP地址的任何計算機不能從外部網路訪問。但是，這種方法同時也不允許用戶訪問外部網路。IP偽裝可以解決這一問題。

12、合理選擇Linux發行版本：
對於伺服器使用的Linux版本，既不使用最新的發行版本，也不選擇太老的版本。應當使用比較成熟的版本：前一個產品的最後發行版本如RHEL 3.0等。畢竟對於伺服器來說安全穩定是第一的。

13、部署Linux防範病毒軟體
Linux操作系統一直被認為是Windows系統的勁敵，因為它不僅安全、穩定、成本低，而且很少發現有病毒傳播。但是，隨著越來越多的伺服器、工作站和個人電腦使用Linux軟體，電腦病毒製造者也開始攻擊這一系統。對於Linux系統無論是伺服器，還是工作站的安全性和許可權控制都是比較強大的，這主要得力於其優秀的技術設計，不僅使它的作業系統難以宕機，而且也使其難以被濫用。Unix經過20多年的發展和完善，已經變得非常堅固，而Linux基本上繼承了它的優點。在Linux里，如果不是超級用戶，那麼惡意感染系統文件的程序將很難得逞。速客一號(Slammer)、沖擊波(Blast)、霸王蟲(Sobig)、 米蟲(Mimail)、勞拉（Win32.Xorala）病毒等惡性程序雖然不會損壞Linux伺服器，但是卻會傳播給訪問它的Windows系統平台的計算機。

⑺ 新手站長如何輕松管理伺服器安全

在伺服器上安裝安全狗軟體，並把伺服器加入服雲。
這樣不僅可以為伺服器提供防護功能，而且可以登陸服雲管理伺服器。
服雲客戶端有web版、pc版、手機端的，可以隨時隨地了解伺服器實時情況並進行調整伺服器安全策略來應對攻擊。讓伺服器更安全。

請採納，謝謝

⑻ Linux伺服器的安全防護都有哪些措施

隨著開源系統Linux的盛行，其在大中型企業的應用也在逐漸普及，很多企業的應用服務都是構築在其之上，例如Web服務、資料庫服務、集群服務等等。因此，Linux的安全性就成為了企業構築安全應用的一個基礎，是重中之重，如何對其進行安全防護是企業需要解決的一個基礎性問題，基於此，本文將給出十大企業級Linux伺服器安全防護的要點。 1、強化：密碼管理 設定登錄密碼是一項非常重要的安全措施，如果用戶的密碼設定不合適，就很容易被破譯，尤其是擁有超級用戶使用許可權的用戶，如果沒有良好的密碼，將給系統造成很大的安全漏洞。 目前密碼破解程序大多採用字典攻擊以及暴力攻擊手段，而其中用戶密碼設定不當，則極易受到字典攻擊的威脅。很多用戶喜歡用自己的英文名、生日或者賬戶等信息來設定密碼，這樣，黑客可能通過字典攻擊或者是社會工程的手段來破解密碼。所以建議用戶在設定密碼的過程中，應盡量使用非字典中出現的組合字元，並且採用數字與字元相結合、大小寫相結合的密碼設置方式，增加密碼被黑客破解的難度。而且，也可以使用定期修改密碼、使密碼定期作廢的方式，來保護自己的登錄密碼。 在多用戶系統中，如果強迫每個用戶選擇不易猜出的密碼，將大大提高系統的安全性。但如果passwd程序無法強迫每個上機用戶使用恰當的密碼，要確保密碼的安全度，就只能依靠密碼破解程序了。實際上，密碼破解程序是黑客工具箱中的一種工具，它將常用的密碼或者是英文字典中所有可能用來作密碼的字都用程序加密成密碼字，然後將其與Linux系統的/etc/passwd密碼文件或/etc/shadow影子文件相比較，如果發現有吻合的密碼，就可以求得明碼了。在網路上可以找到很多密碼破解程序，比較有名的程序是crack和john the ripper.用戶可以自己先執行密碼破解程序，找出容易被黑客破解的密碼，先行改正總比被黑客破解要有利。 2、限定：網路服務管理 早期的Linux版本中，每一個不同的網路服務都有一個服務程序(守護進程，Daemon)在後台運行，後來的版本用統一的/etc/inetd伺服器程序擔此重任。Inetd是Internetdaemon的縮寫，它同時監視多個網路埠，一旦接收到外界傳來的連接信息，就執行相應的TCP或UDP網路服務。由於受inetd的統一指揮，因此Linux中的大部分TCP或UDP服務都是在/etc/inetd.conf文件中設定。所以取消不必要服務的第一步就是檢查/etc/inetd.conf文件，在不要的服務前加上“#”號。 一般來說，除了http、smtp、telnet和ftp之外，其他服務都應該取消，諸如簡單文件傳輸協議tftp、網路郵件存儲及接收所用的imap/ipop傳輸協議、尋找和搜索資料用的gopher以及用於時間同步的daytime和time等。還有一些報告系統狀態的服務，如finger、efinger、systat和netstat等，雖然對系統查錯和尋找用戶非常有用，但也給黑客提供了方便之門。例如，黑客可以利用finger服務查找用戶的電話、使用目錄以及其他重要信息。因此，很多Linux系統將這些服務全部取消或部分取消，以增強系統的安全性。Inetd除了利用/etc/inetd.conf設置系統服務項之外，還利用/etc/services文件查找各項服務所使用的埠。因此，用戶必須仔細檢查該文件中各埠的設定，以免有安全上的漏洞。 在後繼的Linux版本中(比如Red Hat Linux7.2之後)，取而代之的是採用xinetd進行網路服務的管理。 當然，具體取消哪些服務不能一概而論，需要根據實際的應用情況來定，但是系統管理員需要做到心中有數，因為一旦系統出現安全問題，才能做到有步驟、有條不紊地進行查漏和補救工作，這點比較重要。 3、嚴格審計：系統登錄用戶管理 在進入Linux系統之前，所有用戶都需要登錄，也就是說，用戶需要輸入用戶賬號和密碼，只有它們通過系統驗證之後，用戶才能進入系統。 與其他Unix操作系統一樣，Linux一般將密碼加密之後，存放在/etc/passwd文件中。Linux系統上的所有用戶都可以讀到/etc/passwd文件，雖然文件中保存的密碼已經經過加密，但仍然不太安全。因為一般的用戶可以利用現成的密碼破譯工具，以窮舉法猜測出密碼。比較安全的方法是設定影子文件/etc/shadow，只允許有特殊許可權的用戶閱讀該文件。 在Linux系統中，如果要採用影子文件，必須將所有的公用程序重新編譯，才能支持影子文件。這種方法比較麻煩，比較簡便的方法是採用插入式驗證模塊(PAM)。很多Linux系統都帶有Linux的工具程序PAM，它是一種身份驗證機制，可以用來動態地改變身份驗證的方法和要求，而不要求重新編譯其他公用程序。這是因為PAM採用封閉包的方式，將所有與身份驗證有關的邏輯全部隱藏在模塊內，因此它是採用影子檔案的最佳幫手。 此外，PAM還有很多安全功能：它可以將傳統的DES加密方法改寫為其他功能更強的加密方法，以確保用戶密碼不會輕易地遭人破譯;它可以設定每個用戶使用電腦資源的上限;它甚至可以設定用戶的上機時間和地點。 Linux系統管理人員只需花費幾小時去安裝和設定PAM，就能大大提高Linux系統的安全性，把很多攻擊阻擋在系統之外。 4、設定：用戶賬號安全等級管理 除密碼之外，用戶賬號也有安全等級，這是因為在Linux上每個賬號可以被賦予不同的許可權，因此在建立一個新用戶ID時，系統管理員應該根據需要賦予該賬號不同的許可權，並且歸並到不同的用戶組中。 在Linux系統中的部分文件中，可以設定允許上機和不允許上機人員的名單。其中，允許上機人員名單在/etc/hosts.allow中設置，不允許上機人員名單在/etc/hosts.deny中設置。此外，Linux將自動把允許進入或不允許進入的結果記錄到/var/log/secure文件中，系統管理員可以據此查出可疑的進入記錄。 每個賬號ID應該有專人負責。在企業中，如果負責某個ID的職員離職，管理員應立即從系統中刪除該賬號。很多入侵事件都是借用了那些很久不用的賬號。 在用戶賬號之中，黑客最喜歡具有root許可權的賬號，這種超級用戶有權修改或刪除各種系統設置，可以在系統中暢行無阻。因此，在給任何賬號賦予root許可權之前，都必須仔細考慮。 Linux系統中的/etc/securetty文件包含了一組能夠以root賬號登錄的終端機名稱。例如，在RedHatLinux系統中，該文件的初始值僅允許本地虛擬控制台(rtys)以root許可權登錄，而不允許遠程用戶以root許可權登錄。最好不要修改該文件，如果一定要從遠程登錄為root許可權，最好是先以普通賬號登錄，然後利用su命令升級為超級用戶。 5、謹慎使用：“r系列”遠程程序管理 在Linux系統中有一系列r字頭的公用程序，比如rlogin，rcp等等。它們非常容易被黑客用來入侵我們的系統，因而非常危險，因此絕對不要將root賬號開放給這些公用程序。由於這些公用程序都是用。rhosts文件或者hosts.equiv文件核准進入的，因此一定要確保root賬號不包括在這些文件之內。 由於r等遠程指令是黑客們用來攻擊系統的較好途徑，因此很多安全工具都是針對這一安全漏洞而設計的。例如，PAM工具就可以用來將r字頭公用程序有效地禁止掉，它在/etc/pam.d/rlogin文件中加上登錄必須先核準的指令，使整個系統的用戶都不能使用自己home目錄下的。rhosts文件。 6、限制：root用戶許可權管理 Root一直是Linux保護的重點，由於它權力無限，因此最好不要輕易將超級用戶授權出去。但是，有些程序的安裝和維護工作必須要求有超級用戶的許可權，在這種情況下，可以利用其他工具讓這類用戶有部分超級用戶的許可權。sudo就是這樣的工具。 sudo程序允許一般用戶經過組態設定後，以用戶自己的密碼再登錄一次，取得超級用戶的許可權，但只能執行有限的幾個指令。例如，應用sudo後，可以讓管理磁帶備份的管理人員每天按時登錄到系統中，取得超級用戶許可權去執行文檔備份工作，但卻沒有特權去作其他只有超級用戶才能作的工作。 sudo不但限制了用戶的許可權，而且還將每次使用sudo所執行的指令記錄下來，不管該指令的執行是成功還是失敗。在大型企業中，有時候有許多人同時管理Linux系統的各個不同部分，每個管理人員都有用sudo授權給某些用戶超級用戶許可權的能力，從sudo的日誌中，可以追蹤到誰做了什麼以及改動了系統的哪些部分。 值得注意的是，sudo並不能限制所有的用戶行為，尤其是當某些簡單的指令沒有設置限定時，就有可能被黑客濫用。例如，一般用來顯示文件內容的/etc/cat指令，如果有了超級用戶的許可權，黑客就可以用它修改或刪除一些重要的文件。 7、追蹤黑客蹤跡：日誌管理 當用戶仔細設定了各種與Linux相關的配置(最常用日誌管理選項)，並且安裝了必要的安全防護工具之後，Linux操作系統的安全性的確大為提高，但是卻並不能保證防止那些比較熟練的網路黑客的入侵。 在平時，網路管理人員要經常提高警惕，隨時注意各種可疑狀況，並且按時檢查各種系統日誌文件，包括一般信息日誌、網路連接日誌、文件傳輸日誌以及用戶登錄日誌等。在檢查這些日誌時，要注意是否有不合常理的時間記載。例如： 正常用戶在半夜三更登錄; 不正常的日誌記錄，比如日誌只記錄了一半就切斷了，或者整個日誌文件被刪除了; 用戶從陌生的網址進入系統; 因密碼錯誤或用戶賬號錯誤被擯棄在外的日誌記錄，尤其是那些一再連續嘗試進入失敗，但卻有一定模式的試錯法; 非法使用或不正當使用超級用戶許可權su的指令; 重新開機或重新啟動各項服務的記錄。 上述這些問題都需要系統管理員隨時留意系統登錄的用戶狀況以及查看相應日誌文件，許多背離正常行為的蛛絲馬跡都應當引起高度注意。 8、橫向擴展：綜合防禦管理 防火牆、IDS等防護技術已經成功地應用到網路安全的各個領域，而且都有非常成熟的產品。 在Linux系統來說，有一個自帶的Netfilter/Iptables防火牆框架，通過合理地配置其也能起到主機防火牆的功效。在Linux系統中也有相應的輕量級的網路入侵檢測系統Snort以及主機入侵檢測系統LIDS(Linux Intrusion Detection System)，使用它們可以快速、高效地進行防護。 需要提醒注意的是：在大多數的應用情境下，我們需要綜合使用這兩項技術，因為防火牆相當於安全防護的第一層，它僅僅通過簡單地比較IP地址/埠對來過濾網路流量，而IDS更加具體，它需要通過具體的數據包(部分或者全部)來過濾網路流量，是安全防護的第二層。綜合使用它們，能夠做到互補，並且發揮各自的優勢，最終實現綜合防禦。 9、評測：漏洞追蹤及管理 Linux作為一種優秀的開源軟體，其自身的發展也日新月異，同時，其存在的問題也會在日後的應用中慢慢暴露出來。黑客對新技術的關注從一定程度上來說要高於我們防護人員，所以要想在網路攻防的戰爭中處於有利地位，保護Linux系統的安全，就要求我們要保持高度的警惕性和對新技術的高度關注。用戶特別是使用Linux作為關鍵業務系統的系統管理員們，需要通過Linux的一些權威網站和論壇上盡快地獲取有關該系統的一些新技術以及一些新的系統漏洞的信息，進行漏洞掃描、滲透測試等系統化的相關配套工作，做到防範於未然，提早行動，在漏洞出現後甚至是出現前的最短時間內封堵系統的漏洞，並且在實踐中不斷地提高安全防護的技能，這樣才是一個比較的解決辦法和出路。 10、保持更新：補丁管理 Linux作為一種優秀的開源軟體，其穩定性、安全性和可用性有極為可靠的保證，世界上的Linux高手共同維護著個優秀的產品，因而起流通渠道很多，而且經常有更新的程序和系統補丁出現，因此，為了加強系統安全，一定要經常更新系統內核。 Kernel是Linux操作系統的核心，它常駐內存，用於載入操作系統的其他部分，並實現操作系統的基本功能。由於Kernel控制計算機和網路的各種功能，因此，它的安全性對整個系統安全至關重要。早期的Kernel版本存在許多眾所周知的安全漏洞，而且也不太穩定，只有2.0.x以上的版本才比較穩定和安全(一般說來，內核版本號為偶數的相對穩定，而為奇數的則一般為測試版本，用戶們使用時要多留意)，新版本的運行效率也有很大改觀。在設定Kernel的功能時，只選擇必要的功能，千萬不要所有功能照單全收，否則會使Kernel變得很大，既佔用系統資源，也給黑客留下可乘之機。 在Internet上常常有最新的安全修補程序，Linux系統管理員應該消息靈通，經常光顧安全新聞組，查閱新的修補程序。

⑼ 如何提高FTP伺服器安全性

FTP是一種文件傳輸協議。有時我們把他形象的叫做文件交流集中地。FTP文件伺服器的主要用途就是提供文件存儲的空間，讓用戶可以上傳或者下載所需要的文件。在企業中，往往會給客戶提供一個特定的FTP空間，以方便跟可以進行一些大型文件的交流，如大到幾百兆的設計圖紙等等。同時，FTP還可以作為企業文件的備份伺服器，如把資料庫等關鍵應用在FTP伺服器上實現異地備份等等。
可見，FTP伺服器在企業中的應用是非常廣泛的。真是因為其功能如此的強大，所以，很多黑客、病毒也開始關注他了。他們企圖通過FTP伺服器為跳板，作為他們傳播木馬、病毒的源頭。同時，由於FTP伺服器上存儲著企業不少有價值的內容。在經濟利益的誘惑下，FTP伺服器也就成為了別人攻擊的對象。
在考慮FTP伺服器安全性工作的時候，第一步要考慮的就是誰可以訪問FTP伺服器。在Vsftpd伺服器軟體中，默認提供了三類用戶。不同的用戶對應著不同的許可權與操作方式。
一類是Real帳戶。這類用戶是指在FTP服務上擁有帳號。當這類用戶登錄FTP伺服器的時候，其默認的主目錄就是其帳號命名的目錄。但是，其還可以變更到其他目錄中去。如系統的主目錄等等。
第二類帳戶實Guest用戶。在FTP伺服器中，我們往往會給不同的部門或者某個特定的用戶設置一個帳戶。但是，這個賬戶有個特點，就是其只能夠訪問自己的主目錄。伺服器通過這種方式來保障FTP服務上其他文件的安全性。這類帳戶，在Vsftpd軟體中就叫做Guest用戶。擁有這類用戶的帳戶，只能夠訪問其主目錄下的目錄，而不得訪問主目錄以外的文件。
在組建FTP伺服器的時候，我們就需要根據用戶的類型，對用戶進行歸類。默認情況下，Vsftpd伺服器會把建立的所有帳戶都歸屬為Real用戶。但是，這往往不符合企業安全的需要。因為這類用戶不僅可以訪問自己的主目錄，而且，還可以訪問其他用戶的目錄。這就給其他用戶所在的空間 帶來一定的安全隱患。所以，企業要根據實際情況，修改用戶雖在的類別。
修改方法：第一步：修改/etc/Vsftpd/vsftpd.conf文件。
默認情況下，只啟用了Real與Anonymous兩類用戶。若我們需要啟用Guest類用戶的時候，就需要把這個選項啟用。修改/etc/Vsftpd/vsftpd.conf文件，把其中的chroot_list_enable=YES這項前面的注釋符號去掉。去掉之後，系統就會自動啟用Real類型的帳戶。
第二步：修改/etc/vsftpd.conf文件。
若要把某個FTP伺服器的帳戶歸屬為Guest帳戶，則就需要在這個文件中添加用戶。通常情況下，FTP伺服器上沒有這個文件，需要用戶手工的創建。利用VI命令創建這個文件之後，就可以把已經建立的FTP帳戶加入到這個文件中。如此的話，某個帳戶就屬於Real類型的用戶了。他們登錄到FTP伺服器後，只能夠訪問自己的主目錄，而不能夠更改主目錄。
第三步：重新啟動FTP伺服器。
按照上述步驟配置完成後，需要重新啟動FTP伺服器，其配置才能夠生效。我們可以重新啟動伺服器，也可以直接利用Restart命令來重新啟動FTP服務。
在對用戶盡心分類的時候，筆者有幾個善意的提醒。
一是盡量採用Guest類型的用戶，而減少Real類行的用戶。一般我們在建立FTP帳戶的時候，用戶只需要訪問自己的主目錄下的文件即可。當給某個用戶的許可權過大時，會對其他用戶文件的安全產生威脅。
在以下幾種情況下，我們要禁止這些賬戶訪問FTP伺服器，以提高伺服器的安全。
一是某些系統帳戶。如ROOT帳戶。這個賬戶默認情況下是Linxu系統的管理員帳戶，其對系統具有最高的操作與管理許可權。若允許用戶以這個賬戶為賬戶名進行登陸的話，則用戶不但可以訪問Linux系統的所有資源，而且，還好可以進行系統配置。這對於FTP伺服器來說，顯然危害很大。所以，往往不允許用戶以這個Root等系統帳戶身份登陸到FTP伺服器上來。
第二類是一些臨時賬戶。有時候我們出於臨時需要，為開一些臨時賬戶。如需要跟某個客戶進行圖紙上的交流，而圖紙本身又比較大時，FTP伺服器就是一個很好的圖紙中轉工具。在這種情況下，就需要為客戶設立一個臨時賬戶。這些賬戶用完之後，一般就加入到了黑名單。等到下次需要再次用到的時候，再啟用他。
在vstftpd伺服器中，要把某些用戶加入到黑名單，也非常的簡單。在Vsftpd軟體中，有一個/etc/vsftpd.user_lise配置文件。這個文件就是用來指定哪些賬戶不能夠登陸到這個伺服器。我們利用vi命令查看這個文件，通常情況下，一些系統賬戶已經加入到了這個黑名單中。FTP伺服器管理員要及時的把一些臨時的或者不再使用的帳戶加入到這個黑名單中。從而才可以保證未經授權的賬戶訪問FTP伺服器。在配置後，往往不需要重新啟動FTP服務，配置就會生效。
不過，一般情況下，不會影響當前會話。也就是說，管理員在管理FTP伺服器的時候，發現有一個非法賬戶登陸到了FTP伺服器。此時，管理員馬上把這個賬戶拉入黑名單。但是，因為這個賬戶已經連接到FTP伺服器上，所以，其當前的會話不會受到影響。當其退出當前會話，下次再進行連接的時候，就不允許其登陸FTP伺服器了。所以，若要及時的把該賬戶禁用掉的話，就需要在設置好黑名單後，手工的關掉當前的會話。
對於一些以後不再需要使用的帳戶時，管理員不需要把他加入黑名單，而是直接刪除用戶為好。同時，在刪除用戶的時候，要記得把用戶對應的主目錄也一並刪除。不然主目錄越來越多，會增加管理員管理的工作量。在黑名單中，只保留那些將來可能利用的賬戶或者不是用作FTP伺服器登陸的賬戶。這不但可以減少伺服器管理的工作量，而且，還可以提高FTP伺服器的安全性。
在系統默認配置下，匿名類型的用戶只可以下載文件，而不能夠上傳文件。雖然這不是我們推薦的配置，但是，有時候出於一些特殊的需要，確實要開啟這個功能。如筆者以前在企業中，利用這個功能實現了對用戶終端文件進行備份的功能。為了設置的方便，就在FTP伺服器上開啟了匿名訪問，並且允許匿名訪問賬戶網某個特定的文件夾中上傳某個文件。
筆者再次重申一遍，一般情況下，是不建議用戶開啟匿名賬戶的文件上傳功能。因為很難保證匿名賬戶上傳的文件中，不含有一些破壞性的程序，如病毒或者木馬等等。有時候，雖然開啟了這個功能，但是往往會在IP上進行限制。如只允許企業內部IP可以進行匿名訪問並上傳文件，其他賬戶則不行。如此的話，可以防止外部用戶未經授權匿名訪問企業的FTP伺服器。若用戶具有合法的賬戶，就可以在外網中登陸到FTP伺服器上。
總之，在FTP伺服器安全管理上，主要關注三個方面的問題。一是未經授權的用戶不能往FTP空間上上傳文件；二是用戶不得訪問未經授權的目錄，以及對這些目錄的文件進行更改，包括刪除與上傳；三是FTP伺服器本身的穩定性。以上三個問題中的前兩部分內容，都可以通過上面的三個方法有效的解決。