False

免费ftp服务器使用的安全维护方法:1。禁用标准FTP2.使用强加密和哈希密码，如aes或tdes；3.使用dmz安全网关或增强型反向代理；4.设置ip黑名单和白名单；5.加强认证和数据信道加密；6.用好账号管理服务器；7.使用强密码，如至少7个字符的密码，包括数字、字母和特殊字符；8.实现文件和文件夹安全，如加密静态文件；9.将管理员的职责限于有限数量的用户，并要求他们使用多因素身份认证；10.保持ftps或sftp服务器软件最新。

详情如下:

1.禁用标准ftp

如果服务器上正在运行标准ftp，应尽快将其禁用。Ftp已经有30多年的历史了，它无法抵御我们今天面临的现代安全威胁。ftp缺乏隐私性和完整性，这使得黑客很容易获得访问权限，并在传输过程中捕获或修改您的数据。我们建议您改用其他几种方法来保护ftp。

2.使用强加密和散列

sftp和ftps协议都使用加密密码来保护传输中的数据。密码是一种复杂的算法，它接收原始数据并生成加密数据与密钥一起传输。你应该做的第一件事是禁用任何旧的，过时的密码，如blowfish和des，只使用更强的密码，如aes或tdes。或者使用mac算法来验证传输的完整性。同样，您应该禁用较旧的hash/mac算法(例如md5或sha-1 ),坚持使用sha-2系列中功能强大的算法。

3.把它放在大门后面

Dmz(非军事区)是网络的公共部分，组织在此存储其ftp服务器。dmz的问题在于它面对的是公共互联网，这使得它成为最脆弱的部分。如果ftp服务器位于dmz中，则贸易伙伴的数据文件和用户凭证通常也存储在该区域中。即使文件加密了，也有很大的风险。其他组织已经采取措施将文件和用户凭据转移到更安全的专用网络。然而，这种方法的问题是，它要求您将端口开放到专用网络中，这为攻击创造了机会，并且可能不符合合规性要求。

越来越流行的方法是使用dmz安全网关或增强的反向代理。网关是您安装在dmz中的服务器上的软件。然后，在启动时，从专用网络打开专用控制信道以进入dmz。您的贸易伙伴将连接到网关，网关将通过控制通道将会话发送到专用网络上的ftp服务器。和文件用户凭证保存在专用网络中，不需要入站端口。

4.实现ip黑名单和白名单。

ip黑名单将暂时或永久拒绝访问系统的ip地址范围。例如，您可能想要阻止某些国家的访问。您还可以让ftp服务器对某些类型的攻击(如dos攻击)执行自动黑名单。

另一种方法是只将指定的ip地址加入白名单，以便访问系统，比如您的贸易伙伴。困难在于，这只有在贸易伙伴使用固定ip的情况下才能很好地工作。

5.增强您的ftps服务器

如果使用的是ftps服务器，要采取一些措施保证其安全性，包括:不使用显式ftps，不使用任何版本的ssl或tls 1.0，使用椭圆曲线diffie-hellman密钥交换算法，除非在认证和数据通道上强制加密。

6.利用良好的账户管理。

为贸易伙伴创建操作系统级别的用户帐户是有风险的，因为它创建了一种访问服务器上其他资源的方法。此外，用户凭据应该与ftp应用程序分开保存。不允许匿名用户或共享帐户。设置一些规则，比如账号用户名长度至少要7个字符，6次登录失败或90天不活动后自动禁用账号。

7.使用强密码。

密码长度至少应为7个字符，包含数字和字母数字字符，并且至少包含一个特殊字符。确保管理员密码每90天更改一次。不要重复使用后4位密码，使用sha-2等强大的哈希加密算法存储用户密码。

8.实现文件和文件夹安全性。

贸易伙伴应该只有绝对需要的文件夹访问权限。例如，仅仅因为合作伙伴需要从文件夹下载内容的权限，并不意味着他们需要对该文件夹的完全权限。将文件上传到文件夹并不要求他们对该文件夹具有读取权限。加密静态文件(尤其是存储在dmz中的文件),仅在需要时将它们保存在ftp服务器上。

9.锁管理

应该严格控制服务器的管理。将管理员职责限制在有限数量的用户，并要求他们使用多因素身份认证。密码应该存储在ad域或ldap服务器中，而不是存储在服务器上。不要使用普通的管理员用户id(如“root”或“admin”)，这是黑客首先会尝试的。

10.遵循最佳实践。

保持ftps或sftp服务器软件最新。如果您想要处理美国政府数据，请仅使用fips 140-2验证的加密密码，不要使用首次登录时显示的默认sftp软件版本——这将为黑客提供如何利用服务器的线索，将所有后端数据库保留在其他服务器上，要求对非活动会话进行重新认证，并实施良好的密钥管理。

以上内容来自互联网，不代表本站全部观点！欢迎关注我们:zhujipindao。com