重庆分公司,新征程启航

为企业提供网站建设、域名注册、服务器等服务

重新定向其它服务器安全性 重新定向其它服务器安全性高吗

如何提高FTP服务器安全性

FTP是一种文件传输协议。有时我们把他形象的叫做文件交流集中地。FTP文件服务器的主要用途就是提供文件存储的空间,让用户可以上传或者下载所需要的文件。在企业中,往往会给客户提供一个特定的FTP空间,以方便跟可以进行一些大型文件的交流,如大到几百兆的设计图纸等等。同时,FTP还可以作为企业文件的备份服务器,如把数据库等关键应用在FTP服务器上实现异地备份等等。

我们提供的服务有:成都做网站、成都网站建设、微信公众号开发、网站优化、网站认证、平舆ssl等。为成百上千家企事业单位解决了网站和推广的问题。提供周到的售前咨询和贴心的售后服务,是有科学管理、有技术的平舆网站制作公司

可见,FTP服务器在企业中的应用是非常广泛的。真是因为其功能如此的强大,所以,很多黑客、病毒也开始关注他了。他们企图通过FTP服务器为跳板,作为他们传播木马、病毒的源头。同时,由于FTP服务器上存储着企业不少有价值的内容。在经济利益的诱惑下,FTP服务器也就成为了别人攻击的对象。

在考虑FTP服务器安全性工作的时候,第一步要考虑的就是谁可以访问FTP服务器。在Vsftpd服务器软件中,默认提供了三类用户。不同的用户对应着不同的权限与操作方式。

一类是Real帐户。这类用户是指在FTP服务上拥有帐号。当这类用户登录FTP服务器的时候,其默认的主目录就是其帐号命名的目录。但是,其还可以变更到其他目录中去。如系统的主目录等等。

第二类帐户实Guest用户。在FTP服务器中,我们往往会给不同的部门或者某个特定的用户设置一个帐户。但是,这个账户有个特点,就是其只能够访问自己的主目录。服务器通过这种方式来保障FTP服务上其他文件的安全性。这类帐户,在Vsftpd软件中就叫做Guest用户。拥有这类用户的帐户,只能够访问其主目录下的目录,而不得访问主目录以外的文件。

在组建FTP服务器的时候,我们就需要根据用户的类型,对用户进行归类。默认情况下,Vsftpd服务器会把建立的所有帐户都归属为Real用户。但是,这往往不符合企业安全的需要。因为这类用户不仅可以访问自己的主目录,而且,还可以访问其他用户的目录。这就给其他用户所在的空间 带来一定的安全隐患。所以,企业要根据实际情况,修改用户虽在的类别。

修改方法:第一步:修改/etc/Vsftpd/vsftpd.conf文件。

默认情况下,只启用了Real与Anonymous两类用户。若我们需要启用Guest类用户的时候,就需要把这个选项启用。修改/etc/Vsftpd/vsftpd.conf文件,把其中的chroot_list_enable=YES这项前面的注释符号去掉。去掉之后,系统就会自动启用Real类型的帐户。

第二步:修改/etc/vsftpd.conf文件。

若要把某个FTP服务器的帐户归属为Guest帐户,则就需要在这个文件中添加用户。通常情况下,FTP服务器上没有这个文件,需要用户手工的创建。利用VI命令创建这个文件之后,就可以把已经建立的FTP帐户加入到这个文件中。如此的话,某个帐户就属于Real类型的用户了。他们登录到FTP服务器后,只能够访问自己的主目录,而不能够更改主目录。

第三步:重新启动FTP服务器。

按照上述步骤配置完成后,需要重新启动FTP服务器,其配置才能够生效。我们可以重新启动服务器,也可以直接利用Restart命令来重新启动FTP服务。

在对用户尽心分类的时候,笔者有几个善意的提醒。

一是尽量采用Guest类型的用户,而减少Real类行的用户。一般我们在建立FTP帐户的时候,用户只需要访问自己的主目录下的文件即可。当给某个用户的权限过大时,会对其他用户文件的安全产生威胁。

在以下几种情况下,我们要禁止这些账户访问FTP服务器,以提高服务器的安全。

一是某些系统帐户。如ROOT帐户。这个账户默认情况下是Linxu系统的管理员帐户,其对系统具有最高的操作与管理权限。若允许用户以这个账户为账户名进行登陆的话,则用户不但可以访问Linux系统的所有资源,而且,还好可以进行系统配置。这对于FTP服务器来说,显然危害很大。所以,往往不允许用户以这个Root等系统帐户身份登陆到FTP服务器上来。

第二类是一些临时账户。有时候我们出于临时需要,为开一些临时账户。如需要跟某个客户进行图纸上的交流,而图纸本身又比较大时,FTP服务器就是一个很好的图纸中转工具。在这种情况下,就需要为客户设立一个临时账户。这些账户用完之后,一般就加入到了黑名单。等到下次需要再次用到的时候,再启用他。

在vstftpd服务器中,要把某些用户加入到黑名单,也非常的简单。在Vsftpd软件中,有一个/etc/vsftpd.user_lise配置文件。这个文件就是用来指定哪些账户不能够登陆到这个服务器。我们利用vi命令查看这个文件,通常情况下,一些系统账户已经加入到了这个黑名单中。FTP服务器管理员要及时的把一些临时的或者不再使用的帐户加入到这个黑名单中。从而才可以保证未经授权的账户访问FTP服务器。在配置后,往往不需要重新启动FTP服务,配置就会生效。

不过,一般情况下,不会影响当前会话。也就是说,管理员在管理FTP服务器的时候,发现有一个非法账户登陆到了FTP服务器。此时,管理员马上把这个账户拉入黑名单。但是,因为这个账户已经连接到FTP服务器上,所以,其当前的会话不会受到影响。当其退出当前会话,下次再进行连接的时候,就不允许其登陆FTP服务器了。所以,若要及时的把该账户禁用掉的话,就需要在设置好黑名单后,手工的关掉当前的会话。

对于一些以后不再需要使用的帐户时,管理员不需要把他加入黑名单,而是直接删除用户为好。同时,在删除用户的时候,要记得把用户对应的主目录也一并删除。不然主目录越来越多,会增加管理员管理的工作量。在黑名单中,只保留那些将来可能利用的账户或者不是用作FTP服务器登陆的账户。这不但可以减少服务器管理的工作量,而且,还可以提高FTP服务器的安全性。

在系统默认配置下,匿名类型的用户只可以下载文件,而不能够上传文件。虽然这不是我们推荐的配置,但是,有时候出于一些特殊的需要,确实要开启这个功能。如笔者以前在企业中,利用这个功能实现了对用户终端文件进行备份的功能。为了设置的方便,就在FTP服务器上开启了匿名访问,并且允许匿名访问账户网某个特定的文件夹中上传某个文件。

笔者再次重申一遍,一般情况下,是不建议用户开启匿名账户的文件上传功能。因为很难保证匿名账户上传的文件中,不含有一些破坏性的程序,如病毒或者木马等等。有时候,虽然开启了这个功能,但是往往会在IP上进行限制。如只允许企业内部IP可以进行匿名访问并上传文件,其他账户则不行。如此的话,可以防止外部用户未经授权匿名访问企业的FTP服务器。若用户具有合法的账户,就可以在外网中登陆到FTP服务器上。

总之,在FTP服务器安全管理上,主要关注三个方面的问题。一是未经授权的用户不能往FTP空间上上传文件;二是用户不得访问未经授权的目录,以及对这些目录的文件进行更改,包括删除与上传;三是FTP服务器本身的稳定性。以上三个问题中的前两部分内容,都可以通过上面的三个方法有效的解决。

服务器重定向是什么意思?

我们在网站建设中,时常会遇到需要网页重定向的情况:

1.网站调整(如改变网页目录结构);

2.网页被移到一个新地址;

3.网页扩展名改变(如应用需要把.php改成.Html或.shtml)。

这种情况下,如果不做重定向,则用户收藏夹或搜索引擎数据库中旧地址只能让访问客户得到一个404页面错误信息,访问流量白白丧失;再者某些注册了多个域名的网站,也需要通过重定向让访问这些域名的用户自动跳转到主站点等。

301 redirect

301代表永久性转移(Permanently Moved),301重定向是网页更改地址后对搜索引擎友好的最好方法,只要不是暂时搬移的情况,都建议使用301来做转址。

302 redirect

302代表暂时性转移(Temporarily Moved ),在前些年,不少Black Hat SEO(黑帽SEO)曾广泛应用这项技术作弊,目前,各大主要搜索引擎均加强了打击力度,象Google前些年对域名之王(Business)以及近来对BMW德国网站的惩罚。即使网站客观上不是spam,也很容易被搜寻引擎容易误判为spam而遭到惩罚。

什么是 DNS 劫持/重定向攻击

域名服务器 ( DNS ) 劫持,也称为 DNS 重定向,是一种 DNS 攻击,其中 DNS 查询被错误解析,以便将用户意外重定向到恶意站点。为了执行攻击,犯罪者要么在用户计算机上安装恶意软件、接管路由器,要么拦截或破解 DNS 通信。

DNS 劫持可用于 欺骗 (在这种情况下,攻击者通常会显示不需要的广告以产生收入)或用于 网络钓鱼 (显示用户访问的站点的虚假版本并窃取数据或凭据)。

许多 Internet 服务提供商 (ISP) 还使用一种 DNS 劫持,以在用户访问未知域时接管用户的 DNS 请求、收集统计信息并返回广告。一些政府使用 DNS 劫持进行审查,将用户重定向到政府授权的站点。

DNS劫持攻击类型

DNS 重定向有四种基本类型:

DNS劫持和重定向示例

重定向与 DNS 欺骗攻击

DNS 欺骗 是一种将流量从合法网站(例如 )重定向到恶意网站(例如 google.attacker.com)的攻击。 DNS 欺骗 可以通过 DNS 重定向来实现。例如,攻击者可以破坏 DNS 服务器,并通过这种方式“欺骗”合法网站并将用户重定向到恶意网站。

缓存中毒 是实现 DNS 欺骗的另一种方法,不依赖于 DNS 劫持(物理上接管 DNS 设置)。DNS 服务器、路由器和计算机缓存 DNS 记录。攻击者可以通过插入伪造的 DNS 条目来“毒化”DNS 缓存,其中包含相同域名的替代 IP 目标。 DNS 服务器将域解析为欺骗网站,直到刷新缓存。

缓解方法

名称服务器和解析器的缓解措施

DNS 名称服务器是高度敏感的基础设施,需要强大的安全措施,因为它可以被黑客劫持并用于 对他人进行 DDoS 攻击:

最终用户的缓解措施

最终用户可以通过更改路由器密码、安装防病毒软件和使用加密的 VPN 通道来保护自己免受 DNS 劫持。如果用户的 ISP 劫持了他们的 DNS,他们可以使用免费的替代 DNS 服务,例如 Google Public DNS、Google DNS over HTTPS 和 Cisco OpenDNS。

网站所有者的缓解措施

使用域名注册商的网站所有者可以采取措施避免 DNS 对其 DNS 记录的重定向:

以上就是什么是 DNS 劫持/重定向攻击的全部内容。

服务器被攻击怎么办

1、换高防IP或切换高防服务器,流量攻击进入高防IP将异常流量清洗后,保留正常流量转到我们正常服务器IP。

2、网站业务添加CDN,预算充足的情况下可以考虑添加CDN,但是大流量的攻击可能产生高额CDN费用,需要酌情考虑。

3、定期排查服务器安全漏洞,及时修补服务器漏洞,防止被黑客利用漏洞进行服务器攻击。

4、设置防火墙,防火墙是可以在部分攻击上打到抵御的效果的,禁用一些不用的端口防止非法分子利用其端口进行攻击,同时可以通过防火墙设置把攻击重定向。

5、提升服务器配置,一般的攻击如果不是非常猛烈,可以适当提升服务器带宽,CPU和内存,保证资源不被攻击消耗殆尽。

6、通过反向路由进行ip真实性检测,禁用非真实IP也可以防御攻击。

7、限制SYN/ICMP流量,在路由器上配置SYN/ICMP的最大流量限制SYN/ICMP封包所能占有的最高频宽,大量的异常流量那基本上就是攻击了。

8、过滤所有RFC1918,IP地址RFC1918是内部网的IP地址,过滤攻击时伪造的大量虚假内部IP,也是能减轻攻击DDOS攻击。


文章标题:重新定向其它服务器安全性 重新定向其它服务器安全性高吗
新闻来源:http://cqcxhl.cn/article/dddigse.html

其他资讯

在线咨询
服务热线
服务热线:028-86922220
TOP