由于FTP服务器经常被用作上传和下载文件的工具,其安全性具有不同的重要性。因为如果被非法攻击者攻破,不仅FTP服务器上的文件可能被破坏或窃取;更重要的是,如果他们在这些文件上放上病毒和木马,会给所有FTP用户带来潜在的威胁。因此,保护FTP服务器的安全迫在眉睫。
为了保护FTP服务器,有必要保护其密码的安全。在这里,我就讲一些常见的FTP服务器的密码安全策略,帮助大家提高FTP服务器的安全性。
策略1:密码期限
有时候FTP服务器不仅会被员工使用,还会临时给外部合作伙伴一个账号。例如,当作者管理FTP服务器时,销售部门经常需要通过FTP服务器将文件传递给客户,因为有些文件太大,无法通过电子邮件发送。因此,当客户或供应商需要一些大文件时,我必须给他们一个FTP服务器的临时帐号和密码。
笔者目前的做法是在FTP服务器上设置一个账号,但是密码当天有效,第二天自动失效。在这种情况下,当客户或供应商需要使用FTP服务器时,我只需要更改一些密码。而不是每次使用时都创建一个用户;用完之后删除。同时也可以避免不及时注销临时账号带来的服务器安全隐患,因为密码会自动失效。
大多数FTP服务器,比如微软操作系统自带的FTP服务器软件,都有密码期限管理的功能。一般来说,对于临时账号,临时账号的安全性可以和账号、密码的期限管理一起提高。对于内部用户,我们也可以通过期限管理来督促员工增加密码更改的频率。
策略2:密码必须符合复杂性规则。
现在很多银行为了用户账户的安全,都进行了一些密码复杂度认证。不再接受88888等密码。就密码学而言,这种形式的密码非常危险。因为他们可以使用一些密码破解工具,比如密码电子词典,非常轻松地破解。
所以为了提高密码本身的安全性,最简单的就是增加密码的复杂度。在FTP服务器中,可以通过密码复杂度规则强制用户采用一些安全级别更高的密码。具体来说,可以设置以下复杂性规则。
1.不能用纯数字或字符做密码。
如果黑客想破解FTP服务器的账号,所花费的时间与密码的构成直接相关。比如现在,它由一个八位密码组成,一个由纯数字组成,一个是数字和字符的组合。例如82372182和32dwl98s。这两个密码看起来很像,但是和密码破解工具有很大区别。正面纯数字密码,通过一些先进的密码破解工具,只需要24小时就可以破解;然而,用最后一个字母和数字破解密码需要2400小时甚至更长时间。它的破解难度比原来至少高100倍。
可见,字符和数字组合的密码具有很高的安全性。为此,我们可以在FTP服务器上进行设置,使其不接受纯数字或字符的密码设置。
2.密码不能与用户名相同。
其实大家都知道,很多时候服务器被攻破都是因为管理不当。相同的用户名和密码是FTP服务器最不安全的因素之一。
许多用户,包括网络管理员,喜欢将他们的密码和用户名设置为相同的,以便于记忆和管理。虽然这样用起来很方便,但是很明显这是一个很不安全的操作。按照密码攻击字典的设计思路,它会先检查FTP服务器的账号密码是否为空;如果不是空的,它会尝试用相同用户名的密码破解。如果以上两个再次失败,尝试其他可能的密码组成。
所以在黑客眼里,如果密码和用户名一样,就相当于没有设置密码。因此,在FTP服务器的密码安全策略中,应执行禁止密码与密码一致的原则。
3、密码长度要求
虽然密码的安全性与密码的长度不成正比,但一般来说,长密码比短密码好。对于随机密码来说,虽然密码长度只增加了两位数,但破解7位密码的难度是5位密码的几十倍。所以在FTP服务器的密码策略中,作者强制要求用户密码达到六位数。如果用户设置的密码低于六位数,服务器将拒绝更改密码的申请。
策略3:密码历史
为了提高FTP服务器的安全性,还需要为用户指定一个不重复密码的时间间隔。比如在笔者所在企业的FTP服务器中,有一个文件夹专门用来存储客户的订单信息,方便相关人员出差时及时看到这些内容。这个文件夹里的信息是高度机密的。如果这些内容泄露出去,企业可能会失去大量订单,对企业造成致命的影响。
所以我不敢小觑存储这种敏感信息的FTP服务器的安全性。因此,作者启用了密码历史记录功能。根据该策略,用户必须每隔一周更改一次FTP服务器密码。同时,用户不能在60天内重复使用该密码。也就是说,密码历史功能启用后,FTP服务器会记录用户两个月内使用的密码。如果用户新设置的密码在两个月内被使用过,服务器将拒绝用户的密码更改申请。
可见,密码历史记录功能可以在一定程度上提高FTP服务器密码的安全性。
策略4:账户锁定策略
理论上,即使是复杂的密码也能被电子词典破解。因此,除了上述策略,我们还需要启用‘账户锁定策略’。这种策略可以有效避免犯罪分子的密码攻击。
账户锁定策略是指当用户超过指定的失败登录次数时,服务器会自动锁定账户,并向管理员发出警告。通过这种策略,当非法人员试图使用不同的密码登录FTP服务器时,该帐户将被锁定,因为它最多只能尝试三次(如果管理员将失败登录次数设置为最多3次)。这将使他们的密码攻击无效。
在采用账户锁定策略时,需要注意几个方面。
是手动解禁还是自动解禁。如果采用手动解除,被锁定的账户必须由管理员手动解除。如果设置为自动解禁,当账号锁定一定时间后,服务器会自动解锁账号。如果对服务器的安全要求高,笔者建议还是手动解禁比较好。
第二,登录次数设置错误。如果这个数字设得太多,就起不到保护作用。如果设置得太少,用户可能会因粗心的密码输入错误而触发帐户锁定,从而给服务器管理员增加大量工作量。为此,笔者的意见是,这个数字一般可以设置为三到五次。这样既能保证安全的需要,又能给用户提供一定的输入密码错误的机会。
第三,当帐户被锁定时,您应该能够自动提醒服务器管理员。作为FTP服务器,它分不清这是恶意攻击还是意外。这需要服务器管理员根据经验来判断。FTP服务器只能提供临时保护。因此,当帐户被锁定时,服务器应该能够提醒管理员确定是否存在恶意攻击。如果存在,应采取相应措施避免这种情况的再次发生。
