“小烦”通过精心收集,向本站投稿了10篇提高网络服务安全性 匿名FTP安全设定,下面是小编精心整理后的提高网络服务安全性 匿名FTP安全设定,仅供参考,大家一起来看看吧。
篇1:提高网络服务安全性 匿名FTP安全设定
提高网络服务安全性 匿名FTP安全设定
。第二节提出当一个网站要在匿名FTP下提供可写入目录区的 相关议题与面临的问题。第三节提供CERT以前的FTP 相关Advisories信息。 以下的设定方式是由过去许多网站累积的经验与建议组成。我们认为可以让有个别需求的网站拥有不同设定的选择。 I.设定匿名FTP
正文:匿名FTP的设定 匿名FTP若有正确地设定与管理,将是一项很有价值的服务。这份文件的第一节提供一般 匿名FTP最起始的设定方式。第二节提出当一个网站要在匿名FTP下提供可写入目录区的 相关议题与面临的问题。第三节提供CERT以前的FTP 相关Advisories信息。
以下的设定方式是由过去许多网站累积的经验与建议组成。我们认为可以让有个别需求的网站拥有不同设定的选择。
I.设定匿名FTP
A.FTP daemon
网站必须确定目前使用的是最新版本的FTP daemon。
B.设定匿名FTP的目录
匿名ftp的根目录(~ftp)和其子目录的拥有者不能为ftp帐号,或与ftp相同群组的帐号。这是一般常见的设定问题。假如这些目录被ftp或与ftp相同群组的帐号所拥有,又没有做好防止写入的保护,入侵者便可能在其中增加档案(例如:.rhostsn)或修改其它档案。许多网站允许使用root帐号。让匿名FTP的根目录与子目录的拥有者是root,所属族群(group)为system,并限定存取权(如chmod 0755),如此只有root有写入的权力,这能帮助你维持FTP服务的安全。
以下是一个匿名ftp目录的设定范例:
drwxr-xr-x 7 root system 512 Mar 1 15:17 ./drwxr-xr-x 25 root system 512 Jan 4 11:30 ../drwxr-xr-x 2 root system 512 Dec 20 15:43 bin/drwxr-xr-x 2 root system 512 Mar 12 16:23 etc/drwxr-xr-x 10 root system 512 Jun 5 10:54 pub/
所有的档案和链接库,特别是那些被FTP daemon使用和那些在 ~ftp/bin 与~ftp/etc 中的档案,应该像上面范例中的目录做相同的保护。这些档案和链接库除了不应该被ftp帐号或与ftp相同群组的帐号所拥有之外,也必须防止写入。
C.使用合适的密码与群组档案
我们强烈建议网站不要使用系统中 /etc/passwd 做为~ftp/etc 目录中的密码档案或将系统中 /etc/group 做为 ~ftp/etc目录中的群组档案。在~ftp/etc目录中放置这些档案会使得入侵者取得它们。这些档案是可自定的而且不是用来做存取控制。
我们建议你在 ~ftp/etc/passwd 与 ~ftp/etc/group 使用代替的档案。这些档案必须由root所拥有。DIR命令会使用这代替的档案来显示档案及目录的拥有者和群组名称。网站必须确定 ~/ftp/etc/passwd档中没有包含任何与系统中 /etc/passwd文件中相同的帐号名称。这些档案应该仅仅包含需要显示的FTP阶层架构中档案与目录的拥有者与所属群组名称。此外,确定密码字段是“整理”过的。例如使用「*」来取代密码字段。
以下为cert中匿名ftp的密码档案范例
ssphwg:*:3144:20:Site Specific Policy Handbook Working Group::cops:*:3271:20:COPS Distribution::cert:*:9920:20:CERT::tools:*:9921:20:CERT Tools::ftp:*:9922:90:Anonymous FTP::nist:*:9923:90:NIST Files::
以下为cert中匿名ftp的群组档案范例
cert:*:20:ftp:*:90:
II.在你的匿名ftp提供可写入的目录
让一个匿名ftp服务允许使用者储存档案是有风险存在的。我们强烈提醒网站不要自动建立一个上传目录,除非已考虑过相关的风险。CERT/CC的事件回报成员接获许多使用上传目录造成非法传输版权软件或交换帐号与密码信息的事件。也接获恶意地将系统档案灌报造成denial of service问题。
本节在讨论利用三种方法来解决这个问题。第一种方法是使用一个修正过的FTP daemon。第二个方法是提供对特定目录的写入限制。第三种方法是使用独立的目录。
A.修正过的FTP daemon
假如你的网站计划提供目录用来做档案上传,我们建议使用修正过的FTP daemon对档案上传的目录做存取的控制。这是避免使用不需要的写入区域的最好的方法。以下有一些建议:
1.限定上传的档案无法再被存取, 如此可由系统管理者检测后,再放至于适当位置供人下载。
2.限制每个联机的上传资料大小。
3.依照现有的磁盘大小限制数据传输的总量。
4.增加登录记录以提前发现不当的使用。
若您欲修改FTP daemon, 您应该可以从厂商那里拿到程序代码,或者您可从下列地方取得公开的FTP程序原始码:
wuarchive.wustl.edu ~ftp/packages/wuarchive-ftpdftp.uu.net ~ftp/systems/unix/bsd-sources/libexec/ftpdgatekeeper.dec.com ~ftp/pub/DEC/gwtools/ftpd.tar.Z
CERT/CC 并没有正式地对所提到的FTP daemon做检测、评估或背书,
《提高网络服务安全性 匿名FTP安全设定》()。要使用何种FTP daemon由每个使用者或组织负责决定,而CERT/CC建议每个机关在安装使用这些程序之前,能做一个彻底的评估。
B.使用保护的目录
假如你想要在你的FTP站提供上传的服务, 而你又没办法去修改FTP daemon, 我们就可以使用较复杂的目录架构来控制存取。这个方法需要事先规划并且无法百分之百防止FTP可写入区域遭不当使用, 不过许多FTP站仍使用此方法。
为了保护上层的目录(~ftp/incoming),我们只给匿名的使用者进入目录的权限(chmod751~ftp/incoming)。这个动作将使得使用者能够更改目录位置(cd),但不允许使用者检视目录内容。Ex:drwxr-x--x 4 root system 512 Jun 11 13:29 incoming/在~ftp/incoming使用一些目录名只让你允许他们上传的人知道。为了要让别人不易猜到目录名称, 我们可以用设定密码的规则来设定目录名称。请不要使用本文的目录名称范例(避免被有心人士发现您的目录名,并上传档案)
drwxr-x-wx 10 root system 512 Jun 11 13:54 jAjwUth2/
drwxr-x-wx 10 root system 512 Jun 11 13:54 MhaLL-iF/
很重要的一点是,一旦目录名被有意无意的泄漏出来, 那这个方法就没什么保护作用。
只要目录名称被大部分人知道, 就无法保护那些要限定使用的区域。假如目录名被大家所知道, 那你就得选择删除或更改那些目录名。
C.只使用一颗硬盘
假如你想要在你的FTP站提供上传的服务, 而你又没办法去修改FTP daemon,您可以将所有上传的资料集中在同一个挂(mount)在~ftp/incoming上的档案系统。可以的话,将一颗单独的硬盘挂(mount)在~ftp/incoming上。系统管理者应持续检视这个目录(~ftp/incoming), 如此便可知道开放上传的目录是否有问题。
III.限制FTP用户目录
匿名FTP可以很好地限制用户只能在规定的目录范围内活动,但正式的FTP用户默认不会受到这种限制,这样,他可以自由在根目录、系统目录、其他用户的目录中读取一些允许其他用户读取的文件。
如何才能把指定的用户象匿名用户一样限制在他们自己的目录中呢?以下我们以red hat和wu-ftp为例做一介绍。
1 创建一个组,用groupadd命令,一般可以就用ftp组,或者任何组名。
-----相关命令:groupadd ftpuser
-----相关文件:/etc/group
-----相关帮助:man groupadd
-----相关命令:adduser testuser -g ftpuser
-----相关文件:/etc/passwd
-----相关帮助:man adduser
3 修改/etc/ftpaccess文件,加入guestgroup的定义:guestgroup ftpuser我是这样改的,加的是最后5行:
compress yes all tar yes all chmod no anonymous delete no anonymous overwrite no anonymous rename no anonymous chmod yes guest delete yes guest overwrite yes guest rename yes guest guestgroup ftpuser
除了加 guestgroup ftpuser 这行,其他4行也要加上,否则用户登陆后,虽然可以达到用户不能返回上级目录的目的,但是却只能上传,不能覆盖、删除文件!
-----相关命令:vi /etc/ftpaccess
-----相关文件:/etc/ftpaccess
-----相关帮助:man ftpaccess,man chroot
4 向这个用户的根目录下拷贝必要的文件,拷贝ftp server自带的目录,把 /home/ftp/下的bin,lib两个目录拷贝到这个用户的根目录下,因为一些命令(主要是ls)需要Lib支持,否则不能列目录和文件。
-----相关命令:
cp -rf /home/ftp/lib /home/testuser;cp -rf /home/ftp/bin /home/testuser
-----相关命令:vi /etc/passwd
这一步可以在步骤2 创建一个用户时就先做好。
-----相关命令:adduser testuser -g ftpuser -s /dev/null
小经验:只要把/home/ftp下的bin和lib目录cp到/etc/skel目录里,以后新建用户都会自动把bin和lib目录CP到用户目录里,当然你也可以加上public_html目录和cgi-bin目录。
经过以上设置,testuser这个用户的所有FTP动作将限制在他的/home/testuser目录中。
篇2:提高网络安全性:匿名FTP安全设定服务器教程
匿名FTP的设定:匿名FTP若有正确地设定与管理,将是一项很有价值的服务,这份文件的第一节提供一般匿名FTP最起始的设定方式。第二节提出当一个网站要在匿名FTP下提供可写入目录区的相关议题与面临的问题。第三节提供CERT以前的FTP 相关Advisories信息。
以下的设定方式是由过去许多网站累积的经验与建议组成。我们认为可以让有个别需求的网站拥有不同设定的选择。
I.设定匿名FTP
A.FTP daemon
网站必须确定目前使用的是最新版本的FTP daemon。
B.设定匿名FTP的目录
匿名ftp的根目录(~ftp)和其子目录的拥有者不能为ftp帐号,或与ftp相同群组的帐号。这是一般常见的设定问题。假如这些目录被ftp或与ftp相同群组的帐号所拥有,又没有做好防止写入的保护,入侵者便可能在其中增加档案(例如:.rhostsn)或修改其它档案。许多网站允许使用root帐号。让匿名FTP的根目录与子目录的拥有者是root,所属族群(group)为system,并限定存取权(如chmod 0755),如此只有root有写入的权力,这能帮助你维持FTP服务的安全。
以下是一个匿名ftp目录的设定范例:
drwxr-xr-x 7 root system 512 Mar 1 15:17 ./
drwxr-xr-x 25 root system 512 Jan 4 11:30 ../
drwxr-xr-x 2 root system 512 Dec 20 15:43 bin/
drwxr-xr-x 2 root system 512 Mar 12 16:23 etc/
drwxr-xr-x 10 root system 512 Jun 5 10:54 pub/
所有的档案和链接库,特别是那些被FTP daemon使用和那些在 ~ftp/bin 与~ftp/etc 中的档案,应该像上面范例中的目录做相同的保护。这些档案和链接库除了不应该被ftp帐号或与ftp相同群组的帐号所拥有之外,也必须防止写入。
C.使用合适的密码与群组档案
我们强烈建议网站不要使用系统中 /etc/passwd 做为~ftp/etc 目录中的密码档案或将系统中 /etc/group 做为 ~ftp/etc目录中的群组档案。在~ftp/etc目录中放置这些档案会使得入侵者取得它们。这些档案是可自定的而且不是用来做存取控制。
我们建议你在 ~ftp/etc/passwd 与 ~ftp/etc/group 使用代替的档案。这些档案必须由root所拥有。DIR命令会使用这代替的档案来显示档案及目录的拥有者和群组名称。网站必须确定 ~/ftp/etc/passwd档中没有包含任何与系统中 /etc/passwd文件中相同的帐号名称。这些档案应该仅仅包含需要显示的FTP阶层架构中档案与目录的拥有者与所属群组名称。此外,确定密码字段是“整理”过的。例如使用「*」来取代密码字段。
以下为cert中匿名ftp的密码档案范例:
ssphwg:*:3144:20:Site Specific Policy Handbook Working Group::
cops:*:3271:20:COPS Distribution::
cert:*:9920:20:CERT::
tools:*:9921:20:CERT Tools::
ftp:*:9922:90:Anonymous FTP::
nist:*:9923:90:NIST Files::
以下为cert中匿名ftp的群组档案范例:
cert:*:20:
ftp:*:90:
II.在你的匿名ftp提供可写入的目录
让一个匿名ftp服务允许使用者储存档案是有风险存在的。我们强烈提醒网站不要自动建立一个上传目录,除非已考虑过相关的风险。CERT/CC的事件回报成员接获许多使用上传目录造成非法传输版权软件或交换帐号与密码信息的事件。也接获恶意地将系统档案灌报造成denial of service问题。
本节在讨论利用三种方法来解决这个问题。第一种方法是使用一个修正过的FTP daemon。第二个方法是提供对特定目录的写入限制。第三种方法是使用独立的目录。
A.修正过的FTP daemon
假如你的网站计划提供目录用来做档案上传,我们建议使用修正过的FTP daemon对档案上传的目录做存取的控制。这是避免使用不需要的写入区域的最好的方法。以下有一些建议:
1.限定上传的档案无法再被存取, 如此可由系统管理者检测后,再放至于适当位置供人下载。
2.限制每个联机的上传资料大小。
3.依照现有的磁盘大小限制数据传输的总量。
4.增加登录记录以提前发现不当的使用。
若您欲修改FTP daemon, 您应该可以从厂商那里拿到程序代码,或者您可从下列地方取得公开的FTP程序原始码:
wuarchive.wustl.edu ~ftp/packages/wuarchive-ftpd
ftp.uu.net ~ftp/systems/unix/bsd-sources/libexec/ftpd
gatekeeper.dec.com ~ftp/pub/DEC/gwtools/ftpd.tar.Z
CERT/CC 并没有正式地对所提到的FTP daemon做检测、评估或背书,
要使用何种FTP daemon由每个使用者或组织负责决定,而CERT/CC建议每个机关在安装使用这些程序之前,能做一个彻底的评估。
B.使用保护的目录
假如你想要在你的FTP站提供上传的服务, 而你又没办法去修改FTP daemon, 我们就可以使用较复杂的目录架构来控制存取。这个方法需要事先规划并且无法百分之百防止FTP可写入区域遭不当使用, 不过许多FTP站仍使用此方法。
为了保护上层的目录(~ftp/incoming),我们只给匿名的使用者进入目录的权限(chmod751~ftp/incoming)。这个动作将使得使用者能够更改目录位置(cd),但不允许使用者检视目录内容。Ex:drwxr-x--x 4 root system 512 Jun 11 13:29 incoming/在~ftp/incoming使用一些目录名只让你允许他们上传的人知道。为了要让别人不易猜到目录名称, 我们可以用设定密码的规则来设定目录名称。请不要使用本文的目录名称范例(避免被有心人士发现您的目录名,并上传档案)
drwxr-x-wx 10 root system 512 Jun 11 13:54 jAjwUth2/
drwxr-x-wx 10 root system 512 Jun 11 13:54 MhaLL-iF/
很重要的一点是,一旦目录名被有意无意的泄漏出来, 那这个方法就没什么保护作用。只要目录名称被大部分人知道, 就无法保护那些要限定使用的区域。假如目录名被大家所知道, 那你就得选择删除或更改那些目录名。
C.只使用一颗硬盘
假如你想要在你的FTP站提供上传的服务, 而你又没办法去修改FTP daemon,您可以将所有上传的资料集中在同一个挂(mount)在~ftp/incoming上的档案系统。可以的话,将一颗单独的硬盘挂(mount)在~ftp/incoming上。系统管理者应持续检视这个目录(~ftp/incoming), 如此便可知道开放上传的目录是否有问题。
III.限制FTP用户目录
匿名FTP可以很好地限制用户只能在规定的目录范围内活动,但正式的FTP用户默认不会受到这种限制,这样,他可以自由在根目录、系统目录、其他用户的目录中读取一些允许其他用户读取的文件。
如何才能把指定的用户象匿名用户一样限制在他们自己的目录中呢?以下我们以red hat和wu-ftp为例做一介绍。
1 创建一个组,用groupadd命令,一般可以就用ftp组,或者任何组名。
-----相关命令:groupadd ftpuser
-----相关文件:/etc/group
-----相关帮助:man groupadd
-----相关命令:adduser testuser -g ftpuser
-----相关文件:/etc/passwd
-----相关帮助:man adduser
3 修改/etc/ftpaccess文件,加入guestgroup的定义:guestgroup ftpuser我是这样改的,加的是最后5行:
compress yes all
tar yes all
chmod no anonymous
delete no anonymous
overwrite no anonymous
rename no anonymous
chmod yes guest
delete yes guest
overwrite yes guest
rename yes guest
guestgroup ftpuser
除了加 guestgroup ftpuser 这行,其他4行也要加上,否则用户登陆后,虽然可以达到用户不能返回上级目录的目的,但是却只能上传,不能覆盖、删除文件!
-----相关命令:vi /etc/ftpaccess
-----相关文件:/etc/ftpaccess
-----相关帮助:man ftpaccess,man chroot
4 向这个用户的根目录下拷贝必要的文件,拷贝ftp server自带的目录,把 /home/ftp/下的bin,lib两个目录拷贝到这个用户的根目录下,因为一些命令(主要是ls)需要Lib支持,否则不能列目录和文件。
-----相关命令:
cp -rf /home/ftp/lib /home/testuser;cp -rf /home/ftp/bin /home/testuser
-----相关命令:vi /etc/passwd
这一步可以在步骤2 创建一个用户时就先做好。
-----相关命令:adduser testuser -g ftpuser -s /dev/null
小经验:只要把/home/ftp下的bin和lib目录cp到/etc/skel目录里,以后新建用户都会自动把bin和lib目录CP到用户目录里,当然你也可以加上public_html目录和cgi-bin目录。
经过以上设置,testuser这个用户的所有FTP动作将限制在他的/home/testuser目录中。
请作者联系本站,及时附注您的姓名。联系邮箱:edu#chinaz.com(把#改为@)。
篇3:教你如何巧妙设定匿名FTP的安全
在网络上,匿名FTP是一个很常用的服务,常用于软件下载网站,软件交流网站等,为了提高匿名FTP服务开放的过程中的安全性,我们就这一问题进行一些讨论,
以下的设定方式是由过去许多网站累积的经验与建议组成。我们认为可以让有个别需求的网站拥有不同设定的选择。
设定匿名FTP
A.FTP daemon
网站必须确定目前使用的是最新版本的FTP daemon。
B设定匿名FTP的目录
匿名ftp的根目录(~ftp)和其子目录的拥有者不能为ftp帐号,或与ftp相同群组的帐号。这是 一般常见的设定问题。假如这些目录被ftp或与ftp相同群组的帐号所拥有,又没有做好防止写入的保护,入侵者便可能在其中增加文件(例如:.rhosts?n)或修改其它文件。许多网站?市硎褂?root帐号。让匿名FTP的根目录与子目录的拥有者是root,所属族群(group)为system?,如此只有root有写入的权力,这能帮助你维持FTP服务的安全???
以下是一个匿名ftp目录的设定范例:
drwxr-xr-x 7 root system 512 Mar 1 15:17 ./
drwxr-xr-x 25 root system 512 Jan 4 11:30 ../
drwxr-xr-x 2 root system 512 Dec 20 15:43 bin/
drwxr-xr-x 2 root system 512 Mar 12 16:23 etc/
drwxr-xr-x 10 root system 512 Jun 5 10:54 pub/
所有的文件和链接库,特别是那些被FTP daemon使用和那些在 ~ftp/bin 与~ftp/etc 中的文
件,应该像上面范例中的目录做相同的保护。这些文件和链接库除了不应该被ftp帐号或与f
tp相同群组的帐号所拥有之外,也必须防止写入。
C.我们强烈建议网站不要使用系统中 /etc/passwd 做为~ftp/etc 目录中的密码文件或将系统
中 /etc/group 做为 ~ftp/etc目录中的群组文件。在~ftp/etc目录中放置这些文件会使得入
侵者取得它们。这些文件是可自定的而且不是用来做存取控制。
我们建议你在 ~ftp/etc/passwd 与 ~ftp/etc/group 使用代替的文件。这些文件必须由roo
t所拥有。DIR命令会使用这代替的文件来显示文件及目录的拥有者和群组名称。网站必须确
定 ~/ftp/etc/passwd档中没有包含任何与系统中 /etc/passwd文件中相同的帐号名称。这些
文件应该仅仅包含需要显示的FTP阶层架构中文件与目录的拥有者与所属群组名称。此外,确
定密码字段是“整理”过的。例如使用「*」来取代密码字段。
以下为cert中匿名ftp的密码文件范例
ssphwg:*:3144:20:Site Specific Policy Handbook Working Group::
cops:*:3271:20:COPS Distribution::
cert:*:9920:20:CERT::
tools:*:9921:20:CERT Tools::
ftp:*:9922:90:Anonymous FTP::
nist:*:9923:90:NIST Files::
以下为cert中匿名ftp的群组文件范例
cert:*:20:
ftp:*:90:
II..在你的匿名ftp提供可写入的目录
让一个匿名ftp服务允许使用者储存文件是有风险存在的。我们强烈提醒网站不要自动建立一个上传目录,除非已考虑过相关的风险。CERT/CC的事件回报成员接获许多使用上传目录造成非法传输版权软件或交换帐号与密码信息的事件。也接获恶意地将系统文件灌报造成denialof service问题。
本节在讨论利用三种方法来解决这个问题。第一种方法是使用一个修正过的FTP daemon。第二个方法是提供对特定目录的写入限制。第三种方法是使用独立的目录。
A. 修正过的FTP daemon
假如你的网站计划提供目录用来做文件上传,我们建议使用修正过的FTP daemon对文件上传的目录做存取的控制。这是避免使用不需要的写入区域的最好的方法。以下有一些建议:
1.限定上传的文件无法再被存取, 如此可由系统管理者检测后,再放至于适当位置供人下载。
2.限制每个联机的上传资料大小。
3.依照现有的磁盘大小限制数据传输的总量。
4.增加登录记录以提前发现不当的使用。
若您欲修改FTP daemon, 您应该可以从厂商那里拿到程序代码, 或者您可从下列地方取得公开的FTP程序原始码:
wuarchive.wustl.edu ~ftp/packages/wuarchive-ftpd
ftp.uu.net ~ftp/systems/unix/bsd-sources/libexec/ftpd
gatekeeper.dec.com ~ftp/pub/DEC/gwtools/ftpd.tar.Z
CERT/CC 并没有正式地对所提到的FTP daemon做检测、评估或背书,
要使用何种FTP daemon 由每个使用者或组织负责决定,而CERT/CC建议每个机关在安装使用这些程序之前, 能做一个彻底的评估。
B. 使用保护的目录
假如你想要在你的FTP站提供上传的服务, 而你又没办法去修改FTP daemon, 我们就可以使用较复杂的目录架构来控制存取。这个方法需要事先规划并且无法百分之百防止FTP可写入区域遭不当使用, 不过许多FTP站仍使用此方法。
为了保护上层的目录(~ftp/incoming), 我们只给匿名的使用者进入目录的权限(chmod 751~ftp/incoming)。这个动作将使得使用者能够更改目录位置(cd),但不允许使用者检视目录内容。Ex:
drwxr-x--x 4 root system 512 Jun 11 13:29 incoming/
在~ftp/incoming使用一些目录名只让你允许他们上传的人知道。为了要让别人不易猜到目录名称, 我们可以用设定密码的规则来设定目录名称。请不要使用本文的目录名称范例(避免被有心人士发现您的目录名, 并上传文件)
drwxr-x-wx 10 root system 512 Jun 11 13:54 jAjwUth2/
drwxr-x-wx 10 root system 512 Jun 11 13:54 MhaLL-iF/
很重要的一点是,一旦目录名被有意无意的泄漏出来, 那这个方法就没什么保护作用。只要目录名称被大部分人知道, 就无法保护那些要限定使用的区域。假如目录名被大家所知道,那你就得选择删除或更改那些目录名。
C. 只使用一颗硬盘:
假如你想要在你的FTP站提供上传的服务, 而你又没办法去修改FTP daemon,您可以将所有上传的资料集中在同一个挂(mount)在~ftp/incoming上的文件系统。可以的话 ,将一颗单独的硬盘挂(mount)在~ftp/incoming上。系统管理者应持续检视这个目录(~ftp/incoming), 如此便可知道开放上传的目录是否有问题。
限制FTP用户目录
匿名FTP可以很好地限制用户只能在规定的目录范围内活动,但正式的FTP用户默认不会受到这种限制,这样,他可以自由在根目录、系统目录、其他用户的目录中读取一些允许其他用户读取的文件。
如何才能把指定的用户象匿名用户一样限制在他们自己的目录中呢?以下我们以red hat和wu-ftp为例做一介绍。
1 创建一个组,用groupadd命令,一般可以就用ftp组,或者任何组名.
-----相关命令: groupadd ftpuser
-----相关文件: /etc/group
-----相关帮助: man groupadd
-----相关命令: adduser testuser -g ftpuser
-----相关文件: /etc/passwd
-----相关帮助: man adduser
3 修改/etc/ftpaccess文件,加入guestgroup的定义: guestgroup ftpuser我是这样改的,加的是最后5行
compress yes all
tar yes all
chmod no anonymous
delete no anonymous
overwrite no anonymous
rename no anonymous
chmod yes guest
delete yes guest
overwrite yes guest
rename yes guest
guestgroup ftpuser
除了加 guestgroup ftpuser 这行,其他4行也要加上,否则用户登陆后,虽然可以达到用户不能返回上级目录的目的,但是却只能上传,不能覆盖、删除文件!
-----相关命令: vi /etc/ftpaccess
-----相关文件: /etc/ftpaccess
-----相关帮助: man ftpaccess,man chroot
4 向这个用户的根目录下拷贝必要的文件,拷贝ftp server自带的目录,把 /home/ftp/下的Bin,lib两个目录拷贝到这个用户的根目录下,因为一些命令(主要是ls)需要Lib支持,否则不能列目录和文件.
-----相关命令:
cp -rf /home/ftp/lib /home/testuser;cp -rf /home/ftp/bin /home/testuser
-----相关命令: vi /etc/passwd
这一步可以在步骤2 创建一个用户时就先做好.
-----相关命令: adduser testuser -g ftpuser -s /dev/null
小经验:只要把/home/ftp下的bin和lib目录cp到/etc/skel目录里,以后新建用户都会自动把bin和lib目录CP到用户目录里,当然你也可以加上public_html目录和cgi-bin目录.
经过以上设置,testuser这个用户的所有FTP动作将限制在他的/home/testuser目录中
篇4:三招提高FTP服务器使用过程中安全性
FTP是一种文件传输协议,有时我们把他形象的叫做“文件交流集中地”。FTP文件服务器的主要用途就是提供文件存储的空间,让用户可以上传或者下载所需要的文件。在企业中,往往会给客户提供一个特定的FTP空间,以方便跟可以进行一些大型文件的交流,如大到几百兆的设计图纸等等。同时,FTP还可以作为企业文件的备份服务器,如把数据库等关键应用在FTP服务器上实现异地备份等等。
可见,FTP服务器在企业中的应用是非常广泛的。真是因为其功能如此的强大,所以,很多 、病毒也开始“关注”他了。他们企图通过FTP服务器为跳板,作为他们传播木马、病毒的源头。同时,由于FTP服务器上存储着企业不少有价值的内容。在经济利益的诱惑下,FTP服务器也就成为了别人攻击的对象。
所以,FTP服务器的安全性工作也逐渐显得重要。笔者采用的FTP服务器是基于Linxu操作系统平台上的Vsftpd软件。笔者今天就以这个软件为例,谈谈如何若照FTP服务器的安全设计。
一、谁可以访问FTP服务器?
在考虑FTP服务器安全性工作的时候,第一步要考虑的就是谁可以访问FTP服务器。在Vsftpd服务器软件中,默认提供了三类用户。不同的用户对应着不同的权限与操作方式。
一类是Real帐户。这类用户是指在FTP服务上拥有帐号。当这类用户登录FTP服务器的时候,其默认的主目录就是其帐号命名的目录。但是,其还可以变更到其他目录中去。如系统的主目录等等。
第二类帐户实Guest用户。在FTP服务器中,我们往往会给不同的部门或者某个特定的用户设置一个帐户。但是,这个账户有个特点,就是其只能够访问自己的主目录。服务器通过这种方式来保障FTP服务上其他文件的安全性。这类帐户,在Vsftpd软件中就叫做Guest用户。拥有这类用户的帐户,只能够访问其主目录下的目录,而不得访问主目录以外的文件。
第三类帐户是Anonymous(匿名)用户,这也是我们通常所说的匿名访问,
这类用户是指在FTP服务器中没有指定帐户,但是其仍然可以进行匿名访问某些公开的资源。
在组建FTP服务器的时候,我们就需要根据用户的类型,对用户进行归类。默认情况下,Vsftpd服务器会把建立的所有帐户都归属为Real用户。但是,这往往不符合企业安全的需要。因为这类用户不仅可以访问自己的主目录,而且,还可以访问其他用户的目录。这就给其他用户所在的空间 带来一定的安全隐患。所以,企业要根据实际情况,修改用户虽在的类别。
修改方法:
第一步:修改/etc/Vsftpd/vsftpd.conf文件。
默认情况下,只启用了Real与Anonymous两类用户。若我们需要启用Guest类用户的时候,就需要把这个选项启用。修改/etc/Vsftpd/vsftpd.conf文件,把其中的“chroot_list_enable=YES”这项前面的注释符号去掉。去掉之后,系统就会自动启用Real类型的帐户。
第二步:修改/etc/vsftpd.conf文件。
若要把某个FTP服务器的帐户归属为Guest帐户,则就需要在这个文件中添加用户。通常情况下,FTP服务器上没有这个文件,需要用户手工的创建。利用VI命令创建这个文件之后,就可以把已经建立的FTP帐户加入到这个文件中。如此的话,某个帐户就属于Real类型的用户了。他们登录到FTP服务器后,只能够访问自己的主目录,而不能够更改主目录。
第三步:重新启动FTP服务器。
按照上述步骤配置完成后,需要重新启动FTP服务器,其配置才能够生效。我们可以重新启动服务器,也可以直接利用Restart命令来重新启动FTP服务。
在对用户尽心分类的时候,笔者有几个善意的提醒。
一是尽量采用Guest类型的用户,而减少Real类行的用户。一般我们在建立FTP帐户的时候,用户只需要访问自己的主目录下的文件即可。当给某个用户的权限过大时,会对其他用户文件的安全产生威胁。
二是尽量不要采用匿名类型的帐户。因为他们在没有授权的情况下,就可以访问FTP服务器。虽然其访问的资源受到一定的限制,但是,仍然具有危险性。故在没有特殊需要的情况下,最好把匿名类型帐户禁用掉。
篇5:如何来提高FTP服务器的安全性
一、禁止系统级别用户来登录FTP服务器,
为了提高FTP服务器的安全,系统管理员最好能够为员工设置单独的FTP帐号,而不要把系统级别的用户给普通用户来使用,这会带来很大的安全隐患。在VSFTP服务器中,可以通过配置文件vsftpd.ftpusers来管理登陆帐户。不过这个帐户是一个黑名单,列入这个帐户的人员将无法利用其帐户来登录FTP服务器。部署好VSFTP服务器后,我们可以利用vi命令来查看这个配置文件,发现其已经有了许多默认的帐户。其中,系统的超级用户root也在其中。可见出于安全的考虑,VSFTP服务器默认情况下就是禁止root帐户登陆FTP服务器的。如果系统管理员想让root等系统帐户登陆到FTP服务器,则知需要在这个配置文件中将root等相关的用户名删除即可。不过允许系统帐户登录FTP服务器,会对其安全造成负面的影响,为此我不建议系统管理员这么做。对于这个文件中相关的系统帐户管理员最好一个都不要改,保留这些帐号的设置。
如果出于其他的原因,需要把另外一些帐户也禁用掉,则可以把帐户名字加入到这个文件中即可。如在服务器上可能同时部署了FTP服务器与数据库服务器。那么为了安全起见,把数据库管理员的帐户列入到这个黑名单,是一个不错的做法。
二、加强对匿名用户的控制。
匿名用户是指那些在FTP服务器中没有定义相关的帐户,而FTP系统管理员为了便于管理,仍然需要他们进行登陆,
但是他们毕竟没有取得服务器的授权,为了提高服务器的安全性,必须要对他们的权限进行限制。在VSFTP服务器上也有很多参数可以用来控制匿名用户的权限。系统管理员需要根据FTP服务器的安全级别,来做好相关的配置工作。需要说明的是,匿名用户的权限控制的越严格,FTP服务器的安全性越高,但是同时用户访问的便利性也会降低。故最终系统管理员还是需要在服务器安全性与便利性上取得一个均衡。
下面是我推荐的几个针对匿名用户的配置,大家若不清楚该如何配置的话,可以参考这些配置。这些配置兼顾了服务器的安全与用户的使用便利。
一是参数anon_world_readable_only。这个参数主要用来控制匿名用户是否可以从FTP服务器上下载可阅读的文件。如果FTP服务器部署在企业内部,主要供企业内部员工使用的话,则最好把这个参数设置为YES。然后把一些企业常用表格等等可以公开的文件放置在上面,让员工在匿名的情况下也可以下载这些文件。这即不会影响到FTP服务器的安全,而且也有利于其他员工操作的便利性上。
二是参数anon_upload_enable。这个参数表示匿名用户能否在匿名访问的情况下向FTP服务器上传文件。通常情况下,应该把这个参数设置为No。即在匿名访问时不允许用户上传文件。否则的话,随便哪个人都可以上传文件的话,那对方若上传一个病毒文件,那企业不是要遭殃了。故应该禁止匿名用户上传文件。但是这也有例外。如有些企业通过FTP协议来备份文件。此时如果企业网络的安全性有所保障的话,可以把这个参数设置为YES,即允许操作系统调用FTP命令往FTP服务器上备份文件。
篇6:技巧放送:三招提高FTP服务器安全性
FTP是一种文件传输协议,有时我们把他形象的叫做“文件交流集中地”。FTP文件服务器的主要用途就是提供文件存储的空间,让用户可以上传或者下载所需要的文件。在企业中,往往会给客户提供一个特定的FTP空间,以方便跟可以进行一些大型文件的交流,如大到几百兆的设计图纸等等。同时,FTP还可以作为企业文件的备份服务器,如把数据库等关键应用在FTP服务器上实现异地备份等等。
可见,FTP服务器在企业中的应用是非常广泛的。真是因为其功能如此的强大,所以,很多 、病毒也开始“关注”他了。他们企图通过FTP服务器为跳板,作为他们传播木马、病毒的源头。同时,由于FTP服务器上存储着企业不少有价值的内容。在经济利益的诱惑下,FTP服务器也就成为了别人攻击的对象。
所以,FTP服务器的安全性工作也逐渐显得重要。笔者采用的FTP服务器是基于Linxu操作系统平台上的Vsftpd软件。笔者今天就以这个软件为例,谈谈如何若照FTP服务器的安全设计。
一、谁可以访问FTP服务器?
在考虑FTP服务器安全性工作的时候,第一步要考虑的就是谁可以访问FTP服务器。在Vsftpd服务器软件中,默认提供了三类用户。不同的用户对应着不同的权限与操作方式。
一类是Real帐户。这类用户是指在FTP服务上拥有帐号。当这类用户登录FTP服务器的时候,其默认的主目录就是其帐号命名的目录。但是,其还可以变更到其他目录中去。如系统的主目录等等。
第二类帐户实Guest用户。在FTP服务器中,我们往往会给不同的部门或者某个特定的用户设置一个帐户。但是,这个账户有个特点,就是其只能够访问自己的主目录。服务器通过这种方式来保障FTP服务上其他文件的安全性。这类帐户,在Vsftpd软件中就叫做Guest用户。拥有这类用户的帐户,只能够访问其主目录下的目录,而不得访问主目录以外的文件。
第三类帐户是Anonymous(匿名)用户,这也是我们通常所说的匿名访问。这类用户是指在FTP服务器中没有指定帐户,但是其仍然可以进行匿名访问某些公开的资源。
在组建FTP服务器的时候,我们就需要根据用户的类型,对用户进行归类。默认情况下,Vsftpd服务器会把建立的所有帐户都归属为Real用户。但是,这往往不符合企业安全的需要。因为这类用户不仅可以访问自己的主目录,而且,还可以访问其他用户的目录。这就给其他用户所在的空间 带来一定的安全隐患。所以,企业要根据实际情况,修改用户虽在的类别。
修改方法:
第一步:修改/etc/Vsftpd/vsftpd.conf文件。
默认情况下,只启用了Real与Anonymous两类用户。若我们需要启用Guest类用户的时候,就需要把这个选项启用。修改/etc/Vsftpd/vsftpd.conf文件,把其中的“chroot_list_enable=YES”这项前面的注释符号去掉。去掉之后,系统就会自动启用Real类型的帐户。
第二步:修改/etc/vsftpd.conf文件。
若要把某个FTP服务器的帐户归属为Guest帐户,则就需要在这个文件中添加用户。通常情况下,FTP服务器上没有这个文件,需要用户手工的创建。利用VI命令创建这个文件之后,就可以把已经建立的FTP帐户加入到这个文件中。如此的话,某个帐户就属于Real类型的用户了。他们登录到FTP服务器后,只能够访问自己的主目录,而不能够更改主目录。
第三步:重新启动FTP服务器。
按照上述步骤配置完成后,需要重新启动FTP服务器,其配置才能够生效。我们可以重新启动服务器,也可以直接利用Restart命令来重新启动FTP服务。
在对用户尽心分类的时候,笔者有几个善意的提醒。
一是尽量采用Guest类型的用户,而减少Real类行的用户。一般我们在建立FTP帐户的时候,用户只需要访问自己的主目录下的文件即可。当给某个用户的权限过大时,会对其他用户文件的安全产生威胁。
二是尽量不要采用匿名类型的帐户。因为他们在没有授权的情况下,就可以访问FTP服务器。虽然其访问的资源受到一定的限制,但是,仍然具有危险性,
故在没有特殊需要的情况下,最好把匿名类型帐户禁用掉。
二、哪些帐号不可以访问FTP服务器?
在以下几种情况下,我们要禁止这些账户访问FTP服务器,以提高服务器的安全。
一是某些系统帐户。如ROOT帐户。这个账户默认情况下是Linxu系统的管理员帐户,其对系统具有最高的操作与管理权限。若允许用户以这个账户为账户名进行登陆的话,则用户不但可以访问Linux系统的所有资源,而且,还好可以进行系统配置。这对于FTP服务器来说,显然危害很大。所以,往往不允许用户以这个Root等系统帐户身份登陆到FTP服务器上来。
第二类是一些临时账户。有时候我们出于临时需要,为开一些临时账户。如需要跟某个客户进行图纸上的交流,而图纸本身又比较大时,FTP服务器就是一个很好的图纸中转工具。在这种情况下,就需要为客户设立一个临时账户。这些账户用完之后,一般就加入到了黑名单。等到下次需要再次用到的时候,再启用他。
在vstftpd服务器中,要把某些用户加入到黑名单,也非常的简单。在Vsftpd软件中,有一个/etc/vsftpd.user_lise配置文件。这个文件就是用来指定哪些账户不能够登陆到这个服务器。我们利用vi命令查看这个文件,通常情况下,一些系统账户已经加入到了这个黑名单中。FTP服务器管理员要及时的把一些临时的或者不再使用的帐户加入到这个黑名单中。从而才可以保证未经授权的账户访问FTP服务器。在配置后,往往不需要重新启动FTP服务,配置就会生效。
不过,一般情况下,不会影响当前会话。也就是说,管理员在管理FTP服务器的时候,发现有一个非法账户登陆到了FTP服务器。此时,管理员马上把这个账户拉入黑名单。但是,因为这个账户已经连接到FTP服务器上,所以,其当前的会话不会受到影响。当其退出当前会话,下次再进行连接的时候,就不允许其登陆FTP服务器了。所以,若要及时的把该账户禁用掉的话,就需要在设置好黑名单后,手工的关掉当前的会话。
对于一些以后不再需要使用的帐户时,管理员不需要把他加入黑名单,而是直接删除用户为好。同时,在删除用户的时候,要记得把用户对应的主目录也一并删除。不然主目录越来越多,会增加管理员管理的工作量。在黑名单中,只保留那些将来可能利用的账户或者不是用作FTP服务器登陆的账户。这不但可以减少服务器管理的工作量,而且,还可以提高FTP服务器的安全性。
三、匿名账户也可以上传文件。
在系统默认配置下,匿名类型的用户只可以下载文件,而不能够上传文件。虽然这不是我们推荐的配置,但是,有时候出于一些特殊的需要,确实要开启这个功能。如笔者以前在企业中,利用这个功能实现了对用户终端文件进行备份的功能。为了设置的方便,就在FTP服务器上开启了匿名访问,并且允许匿名访问账户网某个特定的文件夹中上传某个文件。
若要让匿名用户上传文件,则首先要建立一个目录,并且把这个目录指定为匿名用户具有更新的权限。以后匿名用户需要上传文件的时候,只能够王这个文件夹中传。而不能够像Real用户那样,网其他用户的文件夹中上传文件。
文件目录设置好之后,再修改/etc/vsftpd/vsftpd.conf配置文件。把这个文件下的有关匿名账户的功能启用。默认情况下,跟匿名账户相关的功能,如更新、增加目录等功能都是被注释掉的。管理员需要把这个注释符号去掉,匿名账户才能够网特定的账户中上传文件。
笔者再次重申一遍,一般情况下,是不建议用户开启匿名账户的文件上传功能。因为很难保证匿名账户上传的文件中,不含有一些破坏性的程序,如病毒或者木马等等。有时候,虽然开启了这个功能,但是往往会在IP上进行限制。如只允许企业内部IP可以进行匿名访问并上传文件,其他账户则不行。如此的话,可以防止外部用户未经授权匿名访问企业的FTP服务器。若用户具有合法的账户,就可以在外网中登陆到FTP服务器上。
总之,在FTP服务器安全管理上,主要关注三个方面的问题。一是未经授权的用户不能往FTP空间上上传文件;二是用户不得访问未经授权的目录,以及对这些目录的文件进行更改,包括删除与上传;三是FTP服务器本身的稳定性。以上三个问题中的前两部分内容,都可以通过上面的三个方法有效的解决。相信管理员灵活采用如上的方法,可以在保障企业应用的前期下,提高FTP服务器的安全性。
篇7:FTP服务器如何实现安全性(上)服务器教程
作为Internet上的FTP服务器,系统的安全性是非常重要的,这是建立FTP服务器者所考虑的第一个问题,其安全性主要包括以下几个方面:
一、未经授权的用户禁止在服务器上进行FTP操作。
二、FTP用户不能读取未经系统所有者允许的文件或目录。
三、未经允许,FTP用户不能在服务器上建立文件或目录。
四、FTP用户不能删除服务器上的文件或目录。
FTP服务器采取了一些验明用户身份的办法来解决上述第一个问题,主要包括以下几个措施:
FTP用户所使用的用户帐号必须在/etc/passwd文件中有所记载(匿名FTP用户除外),并且他的口令不能为空。在没有正确输入用户帐号和口令的情况下,服务器拒绝访问。
FTP守护进程FTPd还使用一个/etc/FTPusers文件,凡在这个文件中出现的用户都将被服务器拒绝提供FTP服务,
服务器管理可以建立“不受欢迎”的用户目录,拒绝这些用户访问。
只有在服务器的/etc/passwd文件中存在名为“FTP”的用户时,服务器才可以接受匿名FTP连接,匿名FTP用户可以使用“anonymous”或“FTP”作为用户名,自己的Internet电子邮件地址作为保密字。为了解决上述安全性的另外三个问题,应该对FTP主目录下的文件属性进行管理,建议对每个目录及其文件采取以下一些措施:
FTP主目录:将这个目录的所有者设为“FTP”,并且将属性设为所有的用户都不可写,防止不怀好意的用户删改文件。
FTP/bin目录:该目录主要放置一些系统文件,应将这个目录的所有者设为“root”(即超级用户),并且将属性设为所有的用户都不可写。为保证合法用户可显示文件,应将目录中的ls文件属性设为可执行。
FTP/etc目录:将这个目录的所有者设为“root”,并且将属性设为所有的用户都不可写。将目录下的group文件和passwd文件的属性设为所有用户只读属性,并用编辑器将passwd文件中用户加过密的口令删掉。
篇8:如何设置虚拟匿名FTP主机Windows系统
软件环境: Redhat Linux 6.0 1. 设置别名IP地址,即在一块网卡上绑定多个IP地址, 如你的内部FTP主机为192.168.11.12 你可再绑定一个IP地址如下: /sbin/ifconfig eth0:0 192.168.11.7 up /sbin/route add -host 192.168.11.7 eth0:0 2. 修改/etc/ftpaccess
软件环境: Redhat Linux 6.0
1. 设置别名IP地址,即在一块网卡上绑定多个IP地址。
如你的内部FTP主机为192.168.11.12
你可再绑定一个IP地址如下:
/sbin/ifconfig eth0:0 192.168.11.7 up
/sbin/route add -host 192.168.11.7 eth0:0
2. 修改/etc/ftpaclearcase/“ target=”_blank" >ccess,enable virtual ftp .
加下面的行到该文件中
virtual 192.168.11.7 root /home/virtualftp
virtual 192.168.11.7 banner /home/virtualftp/banner_message
virtual 192.168.11.7 logfile /var/log/virtualftp/xferlog
当然,你需要先登录作为root,创建目录/home/virtualftp
and /var/log/virtualftp
你也要准备banner文件/home/virtualftp/banner_message
上面三行的路径和文件名你可随便定义,
3. 拷贝所需要的匿名FTP文件,主要是/lib,/etc,/bin目录
# cp /home/ftp/* /home/virtualftp -a
4.如可能,你也最好在DNS中定义192.168.11.7,设置成你需要的虚拟FTP
主机名。
5.ok.
原文转自:www.ltesting.net
篇9:浅析如何提高智能布线安全性
在智能布线的实际应用中,经常会遇到智能布线安全性问题,这里将介绍解决类似问题的方法,以便提高智能布线安全性,使用户更加放心的使用,
每个网络管理员都会告诉你网络档案记录完整的重要性。这个文件应记录包括所有的工作站IP地址,配置路由,防火墙参数等。但物理层的描述很可能会达不到要求。尤其是一些使用期限比较久的网络,在经历了很多次移动、添加和变更(MAC)后,已经无法保证文档记录和机房内的实际连接情况完全一致对应。当危机发生时,这可能意味着是快速寻找到问题还是花费很多时间去寻找到问题之间的差别。
有个很好的案例,某移动网络装置出现了一个问题。这个案例发生的背景是,公司在园区里有5座建筑物。用户的笔记本电脑由于病毒的原因正在内部发起一个拒绝服务式(DOS)的攻击。交换机关闭了端口,网管人员将进入电信间,以确定故障设备的位置。但是问题来了——因为对物理层线缆路径的档案不足,无法寻找笔记本电脑的位置。或者他们根据电缆路径追踪到该位置,却发现笔记本电脑已经不在了。笔记本电脑用户觉得失去连接是由于网络问题,每次他被关闭连接后,就转移到另一个位置,但是一段时间后,很快又失去连接。
在这个案例中,交换机在不断的执行它们的工作关闭端口。该用户也在不断地想办法排除他自己的问题-更换座位。网管人员则在寻找病源以及纠正问题方面陷入困境...并且这个循环不断继续。该用户觉得该楼层的设备很可能有一些特殊的设定,于是他转移到另一层。在再次失去连接后,他觉得可能是这座大楼的安全设置上出了问题。于是他又转移到另一座大楼。循环仍然在继续。大约5小时之后,笔记本电脑及其用户被找到,问题才得以解决。对于IT人员在说,这绝对是5小时的混乱;对于这个用户来说,这是5小时的挫败感;对企业来说,则损失了5个小时的生产力。
在数据中心和电信领域里,技术人员也会制造一些额外的风险,当他们不小心拔下一些不该拔的插头。假设偶然断开的是一个VoIP交换机或一个关键服务器。就像最近在新闻里多次报导的那样,如果一个存有关键信息的装置脱线了会有什么样的后果?网络管理员如何知道谁进入了网络?这些操作如何被记录下来?
智能布线给用户带来的最大好处是可以保证准确的存档数据库,可以跟踪所有物理层及活动的连接,提高了IT支持人员的响应速度,更少的宕机时间,提高了工作任务单的处理速度,充分利用了有源和无源的网络资产,更好的智能布线安全性,更好的管理远端工作区,审计方便,适应未来发展的灵活性。
西蒙公司近期推出的第二代智能布线系统MapIT G2是明星产品MapIT智能布线管理解决方案的全新升级版本。MapIT G2整合了功能强大的创新智能配线架、界面友好的主/分布控制器以及MapIT软件,对整个网络的物理层活动实施实时追踪和报告,
这种标准的智能布线安全性,毫无疑问是管理复杂网络系统的不二选择。
MapIT G2能够实现对整个公司物理层网络的监视和控制,无论是从总部数据中心到地球另一端的小分支机构,还是之间的任何连接。通过集成功能强大的MapIT软件和创新的智能连接技术,MapIT帮助您实时监控每一个信道,集中管理全球广泛分布的网络资产。
无论规模大小,网络管理的关键是在问题发生之前能预测,问题发生后能快速解决,确保每个细节运作顺畅。MapIT G2具备多种物理层管理功能,帮助您的网络发挥巅峰性能,并提供各种工具确保运作良好。
您的网络也许能够免于病毒、骇客和其他一些外部威胁,但如何保护您的物理层网络资源呢?MapIT G2能够通过追踪所有物理层改变(例如未经授权的设备移动或者未经批准的设备连接)保证您的网络安全——准确地告诉您何时何处发现不安全事件。
1 MapIT G2-实际应用
(1)智能:智能配线架和智能光纤配线箱都配有一个图形化的液晶显示屏,用于显示跳线连接、诊断和技术指导。液晶显示屏还能够显示从MapIT软件数据库中直接调出的动态标示信息。
(2)强大:MCP主控制器从系统中的各个配线架搜集数据,并转给MapIT软件。这个先进的设备具有一个与MapIT软件相连接的大屏幕液晶显示屏和键盘——技术人员无需登入软件或者使用PDA设备即可现场解决问题。
(3)可靠:MapIT G2以稳定著称,所有组件均通过大量耐久性测试,并达到MTBF(平均故障间隔时间)。除此之外,我们还在主控制器上配备了备用电源和备用以太网接口。整个系统是一个标准的模块化架构,万一某个部件发生问题,可以在不影响网络连接和应用的情况下对部件进行更换或者维修。
(4)环保,能耗降低75%:MapIT G2在尽情施展全部先进技术水平的同时,还能够比同类系统消耗更少的电能。实际上,和其他智能布线系统相比,MapIT G2要节约将近75%的能源。而且采用休眠设定,更将节能进行到底。
(5)冷却:MapIT G2能够在数据中心应用中保证全部组件最大限度地运行在一个凉爽的环境下。所有的组件运行时几乎不散发热量,因此不需要冷却风扇。而且,组件的形体尺寸很小(1U),不会妨碍机柜里的空气流通。
(6)紧凑,增加80%的密度:MapIT G2的神奇设计最大限度地减少了智能布线管理组件所需的机架空间。由于在配线架上融入了智能,MapIT G2比同类系统提供了超过80%的更高密度。例如,某些系统至少需要60个机架空间来管理0个端口,而MapIT G2仅需要7U的机架空间即可管理同样的端口数。
(7)高效,少用76%的线槽空间:MapIT G2系统融合了创新的系统布局。由于在智能配线架和智能光纤配线箱中融合了智能组件,就无需从中央分析仪或者扫描仪中向各个配线架布放额外的线缆。这就使得连接智能系统所需的线槽空间大大减少。例如,在一个拥有2000个管理端口的中等规模的项目中,连接MapIT G2组件所需的线缆比起同类系统要减少76%的线槽空间。
篇10:提高网络安全性 安全配置交换机端口
交换机端口安全:交换机端口安全是通过对交换接接口的配置,来限定只允许特定的mac地址向交换机接口发送帧,如果交换机收到mac地址的帧,则丢弃来自该设备的帧,
基本配置命令:
switch(config)#int f0/0
switch(config-if)#switchport mode access /配置此接口为接入接口,不能是中继接口/
switch(config-if)#switchport port-security /启用端口安全/
switch(config-if)#switchport port-security mac-address mac /指定允许向这个接口内发送帧的mac地址,
多次使用此命令,可定义多个mac地址/
其它命令:
switch(config-if)#switchport port-security macaddress sticky /与上面命令功能一样。利用粘带学习,动态的获悉和配置当前已连接主机的mac地址/ switch(config-if)#switchport port-security maxinum /指定当前接口最多允许多少个mac地址,默认为一个/ switch(config-if)#switchport port-security violation {protect restrict shutdown} /规定在接收到来自规定地址之外某个mac地址帧时应该采取的动作,默认是关闭该端口/
switch#show port-security int f0/0 /查看接口安全的状态/
