常見的FTP服務(wù)器的口令安全策略
由于FTP服務(wù)器常被用來做文件上傳與下載的工具,所以,其安全的重要性就不同一般。因為若其被不法攻擊者攻破的話,不但FTP服務(wù)器上的文件可能被破壞或者竊取;更重要的是,若它們在這些文件上下病毒、木馬,則會給全部的FTP用戶帶來潛在的威脅。所以,保護FTP服務(wù)器的安全已經(jīng)迫在眉睫。
而要保護FTP服務(wù)器,就要從保護其口令的安全做起。筆者在這里就談?wù)劤R姷腇TP服務(wù)器具有的一些口令安全策略,幫助大家一起來提高FTP服務(wù)器的安全性。
策略一:口令的期限
有時候,F(xiàn)TP服務(wù)器不僅會給員工用,而且還會臨時給一個賬號給外部的合作伙伴使用。如筆者在FTP服務(wù)器管理的時候,銷售部門經(jīng)常會因為一些文件比較大,無法通過電子郵件發(fā)送,需要通過FTP 服務(wù)器把文件傳遞給客戶。所以,在客戶或者供應(yīng)商需要一些大文件的時候,筆者就得給他們一個FTP服務(wù)器的臨時帳號與密碼。
筆者現(xiàn)在的做法就是,在FTP服務(wù)器設(shè)置一個賬號,但是,其口令則是當天有效,第二天就自動失效。如此的話,當客戶或者供應(yīng)商需要使用FTP服務(wù)器的話,我只需要更改一些密碼即可。而不需要每次使用的時候,去創(chuàng)建一個用戶;用完后再把它刪除。同時,也可以避免因為沒有及時注銷臨時帳戶而給服務(wù)器帶來安全上的隱患,因為口令會自動失效。
大多數(shù)FTP服務(wù)器,如微軟操作系統(tǒng)自帶的FTP服務(wù)器軟件,都具有口令期限管理的功能。一般來說,對于臨時的帳戶,就可以跟帳戶與口令的期限管理一起,來提高臨時帳戶的安全性。而對于內(nèi)部用戶來說,也可以通過期限管理,來督促員工提高密碼更改的頻率。
策略二:口令必須符合復(fù)雜性規(guī)則
現(xiàn)在由不少銀行,為了用戶帳戶的安全,進行了一些密碼的復(fù)雜性認證。如諸如888888等形式的密碼,已經(jīng)不在被接受。從密碼學(xué)上來說,這種形式的密碼是非常危險的。因為他們可以通過一些密碼破解工具,如密碼電子字典等等,非常輕松的進行破解。
故為了提高口令本身的安全性,最簡單的就是提高密碼的復(fù)雜程度。在FTP服務(wù)器中,可以通過口令復(fù)雜性規(guī)則,強制用戶采用一些安全級別比較高的口令。具體的來說,可以進行如下的復(fù)雜性規(guī)則設(shè)定。
1、不能以純數(shù)字或者純字符作為密碼
若黑客想破解一個FTP服務(wù)器的帳號,其所用的時間直接跟密碼的組成相關(guān)。如現(xiàn)在由一個八位數(shù)字的密碼,一個是純數(shù)字組成的,另外一個是數(shù)字與字符的結(jié)合。如分別為82372182與32dwl98s。這兩個密碼看起來差不多,可是對與密碼破解工具來說,就相差很大。前面這個純數(shù)字的密碼,通過一些先進的密碼破解工具,可能只需要24個小時就可以破解;可是,對于后面這個字母與數(shù)字結(jié)合的密碼,則其破解就需要2400個小時,甚至更多。其破解難度比原先那個起碼增加了100倍。
可見,字符與數(shù)字結(jié)合的口令,其安全程度是相當高的。為此,我們可以在FTP服務(wù)器上進行設(shè)置,讓其不接受純數(shù)字或者純字符的口令設(shè)置。
2、口令不能與用戶名相同
其實,我們都知道,很多時候服務(wù)器被攻破都是因為管理不當所造成的。而用戶名與口令相同,則是FTP服務(wù)器最不安全的因素之一。
很多用戶,包括網(wǎng)絡(luò)管理員,為了容易記憶與管理,他們喜歡把密碼跟用戶名設(shè)置為一樣。這雖然方便了使用,但是,很明顯這是一個非常不安全的操作。根據(jù)密碼攻擊字典的設(shè)計思路,其首先會檢查FTP服務(wù)器其帳戶的密碼是否為空;若不為空,則其會嘗試利用用戶名相同的口令來進行破解。若以上兩個再不行的話,則其再嘗試其他可能的密碼構(gòu)成。
所以,在黑客眼中,若口令跟用戶名相同,則相當于沒有設(shè)置口令。為此,在FTP服務(wù)器的口令安全策略中,也要把禁止口令與密碼一致這個原則強制的進行實現(xiàn)。
3、密碼長度的要求
雖然說口令的安全跟密碼的長度不成正比,但是,一般來說,口令長總比短好。如對于隨機密碼來說,破解7位的口令要比破解5位的口令難度增加幾十倍,雖然說,其口令長度只是增加了兩位。所以,筆者在FTP服務(wù)器的口令策略中,強制用戶的口令必須達到六位。若用戶設(shè)置的口令低于六位的話,則服務(wù)器會拒絕用戶密碼更改的申請。
策略三:口令歷史紀錄
為了提高FTP服務(wù)器的安全,則為用戶指定一個不能重復(fù)口令的時間間隔,這也是非常必要的。如筆者企業(yè)的FTP服務(wù)器中,有一個文件夾,是專門用來存放客戶的訂單信息,這方便相關(guān)人員在出差的時候,可以及時的看到這方面的內(nèi)容。這個文件夾中的資料是屬于高度機密的。若這些內(nèi)容泄露出去的話,則企業(yè)可能會失去大量的訂單,從而給企業(yè)帶來致命的影響。
所以,對于存放了這么敏感資料的FTP服務(wù)器,在安全性方面筆者是不敢小視。為此,筆者就啟用了口令歷史紀錄功能。根據(jù)這個策略,用戶必須每隔一個星期更改一次FTP服務(wù)器密碼。同時,用戶在60天之內(nèi),不能夠重復(fù)使用這個密碼。也就是說,啟用了口令歷史紀錄功能之后,F(xiàn)TP服務(wù)器會紀錄用戶兩個月內(nèi)使用過的密碼。若用戶新設(shè)置的密碼在兩個月內(nèi)用過的話,則服務(wù)器就會拒絕用戶的密碼更改申請。
可見,口令史紀錄功能可以在一定程度上提高FTP服務(wù)器口令的安全性。
策略四:賬戶鎖定策略
從理論上來說,再復(fù)雜的密碼,也有被電子字典攻破的可能。為此,我們除了要采用以上這些策略外,還需要啟用“帳戶鎖定策略”。這個策略可以有效的避免不法之徒的密碼攻擊。
帳戶鎖定策略是指當一個用戶超過了指定的失敗登陸次數(shù)時,服務(wù)器就會自動的鎖定這個帳號,并向管理員發(fā)出警告。通過這個策略,當不法人士試圖嘗試不同的口令登陸FTP服務(wù)器時,由于其最多只能夠嘗試三次(假如管理員設(shè)置失敗的登陸次數(shù)最多為3),則這個帳號就會被鎖定。這就會讓他們的密碼攻擊無效。
在采用帳戶鎖定策略時,需要注意幾個方面的內(nèi)容。
一是采用手工解禁還是自動解禁。若采用手工解禁的話,則被鎖住的賬戶必須有管理員手工解禁。而若設(shè)置為自動解禁的話,則當帳戶鎖住滿一定期限的時候,服務(wù)器會自動幫這個帳號進行解鎖。若對于服務(wù)器的安全性要求比較高的話,則筆者建議采用手工解禁的方式比較好。
二是錯誤登陸的次數(shù)設(shè)置。若這個次數(shù)設(shè)置的太多,不能夠起到保護的作用。若設(shè)置的太少的話,則用戶可能因為疏忽密碼輸入錯誤,而觸發(fā)帳戶鎖定,從而給服務(wù)器管理員憑空增加不少的工作量。為此,筆者的意見是,一般可以把這個次數(shù)設(shè)置為三到五次。這既可以保證安全性的需要,而且也給用戶密碼輸入錯誤提供了一定的機會。
三是遇到帳戶鎖定情況時,要能夠自動向服務(wù)器管理員發(fā)出警報。因為作為FTP服務(wù)器來說,其不能夠辨別這是惡意攻擊事件還是一個偶然事件。這需要服務(wù)器管理員根據(jù)經(jīng)驗來進行判斷。FTP服務(wù)器只能夠提供暫時的保護作用。所以,當出現(xiàn)帳戶鎖定的情況時,服務(wù)器要能夠向管理員發(fā)出警報,讓其判斷是否存在惡意攻擊。若存在的話,則就需采取相應(yīng)的措施來避免這種情況的再次發(fā)生。
關(guān)鍵詞:FTP服務(wù)器,安全策略
閱讀本文后您有什么感想? 已有 人給出評價!
- 1
- 1
- 1
- 1
- 1
- 1