由於FTP服務器常被用來做文件上傳（chuán）與下載的工具，所以，其安全的重要性就不同一般。因為若（ruò）其被不法攻擊者（zhě）攻破的話，不但FTP服務器上的文件可能被破壞或者竊取;更重要的是，若它們在這些文件上下病毒、木馬，則會給全部的FTP用戶帶（dài）來潛在（zài）的威脅。所以，保（bǎo）護FTP服務器的（de）安全已經迫在眉睫。

　　而（ér）要（yào）保護FTP服務器，就要從保護其（qí）口令的安全做（zuò）起。筆者在這裏就（jiù）談談常見的FTP服務器具（jù）有的一些口令安全策略（luè），幫助大家一（yī）起來提高FTP服務器的（de）安全性。

　　策略一：口（kǒu）令的期限

　　有時候，FTP服務器不（bú）僅會給員工用，而且還會臨時給一個賬號給外部（bù）的合作夥伴使用（yòng）。如筆者（zhě）在FTP服務器管理的時候，銷售部門經常會因為一些文件比（bǐ）較（jiào）大，無法通過電子（zǐ）郵件發送,需要通過FTP 服（fú）務器把（bǎ）文件傳遞給客戶。所以，在客戶或者供應商需（xū）要一（yī）些大文件的（de）時候，筆者就得給他們一個FTP服務器的臨時帳號與密碼。

　　筆者現在的做（zuò）法就是，在（zài）FTP服務器設置一個賬號，但是，其口令則是當天有效,第（dì）二天就自動失效。如此的話，當客戶或者供應（yīng）商需要使用FTP服務器的話，我隻需要更改一些密碼（mǎ）即可。而不（bú）需要每次使（shǐ）用的時候，去創建一個用戶;用完後（hòu）再把它刪除。同時，也可以避免因為沒有及時注銷臨時帳戶（hù）而給服務器（qì）帶來（lái）安全（quán）上（shàng）的隱患,因為口令會自動失效。

　　大多數FTP服務器，如微軟操作係統自（zì）帶的FTP服務器（qì）軟件，都具有（yǒu）口令期限管理（lǐ）的功（gōng）能。一般來說，對於（yú）臨時的帳戶，就可以跟帳戶與口令的期限管理一起，來提高臨時帳（zhàng）戶的安全性。而對於內部用戶來說，也可以通（tōng）過期（qī）限管理，來督（dū）促員工提高密碼更改的頻率。

　　策略二：口令必須符（fú）合複雜性規則

　　現在由不少銀行，為（wéi）了用戶帳戶（hù）的安全，進（jìn）行了一些密碼的複雜性認證。如諸如888888等形式的密碼，已經不在被接受（shòu）。從密碼（mǎ）學上來說，這種形式的密（mì）碼是非（fēi）常危險的。因為他們可以通過一些密碼破解工具，如密（mì）碼電子字典等等，非常（cháng）輕鬆的進行破解。

　　故為了提高口令本身的安全性，最簡單的就是提高密碼的複雜程度（dù）。在FTP服務（wù）器中，可以通（tōng）過口令複雜性規則，強製用（yòng）戶采用一些安全級別比較高的口令（lìng）。具體的來說，可以進行如下（xià）的複雜性規則設定。

　　1、不能以純數字或（huò）者純字符作為密碼

　　若黑客想破（pò）解一個FTP服務器的帳號，其所用的時間直（zhí）接跟（gēn）密碼的（de）組成相關。如現在由一個八位數字的密碼，一個（gè）是純數字組成（chéng）的，另外一個是數字與字符的結合。如分別為82372182與32dwl98s。這兩個（gè）密碼看起來差不多，可是對與密碼破解（jiě）工具來說，就相差很（hěn）大（dà）。前（qián）麵這個純數字的密碼，通過一些先進的密碼（mǎ）破解工具，可能（néng）隻需要（yào）24個小時就（jiù）可以破解；可（kě）是（shì），對（duì）於（yú）後麵這（zhè）個字母與數字結合的（de）密碼，則其破解就需要2400個小時，甚至更多。其破解難度比原先那（nà）個起（qǐ）碼增加了100倍。

　　可見，字符與數字結合的口令，其安（ān）全程度是相當高的。為此，我們可以在FTP服務器上進行設置，讓其不接（jiē）受純數字或者純字符的口令（lìng）設置。

　　2、口（kǒu）令（lìng）不能與用戶名相（xiàng）同（tóng）

　　其實，我們（men）都知道，很多時候服（fú）務器被攻（gōng）破都是因為管理不當所造成（chéng）的（de）。而用戶名與口令相同，則是FTP服務器（qì）最不安全的因素之一。

　　很多（duō）用（yòng）戶，包括網絡管（guǎn）理員，為了容易記憶與（yǔ）管理，他們喜歡把密碼跟用戶名設置為一樣。這雖然方便了（le）使用，但（dàn）是，很明顯這是一個非常不安全的操作。根據密（mì）碼攻（gōng）擊字典的設計思路，其首先會檢查（chá）FTP服（fú）務器其帳（zhàng）戶（hù）的密碼是否為空；若不為空，則其會嚐試利用用戶（hù）名相同的口（kǒu）令（lìng）來進行破解。若以上兩個再（zài）不行的話，則其再嚐試其他可能的密（mì）碼構成。

　　所（suǒ）以（yǐ），在黑客眼中，若口令跟用戶（hù）名相同，則（zé）相當於（yú）沒有設置口令。為此，在（zài）FTP服務器的口令安全（quán）策略中，也要把禁止口令與密碼一致這個原則強製的進行實現。

　　3、密碼長（zhǎng）度的（de）要求

　　雖然說口令的安全（quán）跟密碼的長度不成正比，但是，一般來說，口令長總比短好。如對於隨機密碼來說，破解7位的口令要比破解5位的口令難度增加幾十倍，雖然說（shuō），其口（kǒu）令長度隻是增加了兩位。所以，筆者（zhě）在FTP服務器的口令策略中，強製用戶的口令必須（xū）達到六位。若用戶設置的口令低於（yú）六位（wèi）的話，則服務器會拒絕用戶密碼更改的（de）申請。

　　策略三：口令曆史紀錄

　　為了提高FTP服務器的安（ān）全，則為（wéi）用戶指定一（yī）個不能重複口令的時（shí）間間隔，這也是非常必要的。如筆者企業的（de）FTP服務器中，有一個文件夾，是專門用來存放（fàng）客戶的訂單信息，這方（fāng）便相關人員在出差的時候，可以及時的看到這方麵的內容。這個文件夾（jiá）中的資料是屬於高度（dù）機密的。若（ruò）這些內容泄露出去的話，則企業可能會失去大量的訂單，從而給企業帶來致（zhì）命的影響。

　　所以，對於存放了這麽敏感資料的FTP服務器（qì），在安全性方麵筆者是不敢小視。為此，筆者就啟用了口令曆史紀錄功能。根（gēn）據這個策略，用戶必須每隔一個星期更改一次FTP服務器密碼。同（tóng）時，用戶在60天之內，不能夠重複使用這個密碼。也就是說，啟（qǐ）用了口令曆史紀錄功能之（zhī）後，FTP服（fú）務器會紀錄用戶兩個月內使用過的（de）密碼。若（ruò）用戶新設置的密碼在（zài）兩個月內用過的話，則服務器就會拒絕（jué）用戶的密碼更改申請。

　　可見，口（kǒu）令史紀錄功能可以在一定程度上提高FTP服務器口令（lìng）的安全性。

　　策略四：賬戶鎖定策略

　　從理論（lùn）上（shàng）來說，再複雜的密（mì）碼，也有被電子字（zì）典攻破的可能。為此，我們除了要采用以上這些策略外，還需要（yào）啟用“帳戶鎖定策略”。這個（gè）策略可以有效的（de）避免不法之徒的密碼攻擊。

　　帳戶鎖定策略（luè）是指當一個用戶超過了（le）指定的失敗登陸次數時，服務器就會自動的鎖定這個帳號，並向（xiàng）管（guǎn）理員發出警（jǐng）告（gào）。通過這個策略，當不法（fǎ）人士試圖嚐試不同的口令登陸FTP服務器時，由於其最多隻能夠嚐試三次（假如管理員設置失敗的登陸次數最（zuì）多為3），則這個帳號就會被鎖定。這就會讓他們的（de）密碼攻擊無效。

　　在采用（yòng）帳戶鎖定策（cè）略時（shí），需要注意幾個方麵的內容。

　　一（yī）是采用（yòng）手工解禁還是自動解禁。若采用手工解（jiě）禁的話，則被鎖住的賬戶必須有管理（lǐ）員手（shǒu）工解禁。而若設置為自動解禁（jìn）的話，則當帳戶鎖住滿一定期限的時候，服務器會自動幫這個帳號進行解鎖。若對於服務器的安全性要（yào）求比（bǐ）較（jiào）高（gāo）的話，則筆者建議采用手工解禁的方式比較好（hǎo）。

　　二是錯誤登陸的次數設置。若這個次數設置（zhì）的太多，不能（néng）夠起到保（bǎo）護的作用。若設（shè）置的太少的話（huà），則用戶（hù）可能因為疏忽密碼輸入錯誤，而觸發帳戶鎖定，從（cóng）而給服務器管理員憑空增加不少（shǎo）的工（gōng）作量。為此，筆者的意見是，一般可以把這個次數設置為三（sān）到五次（cì）。這既可（kě）以保證安全（quán）性的需（xū）要，而且也給用戶密碼輸入錯誤提供了（le）一定的機會。

　　三（sān）是遇到帳戶鎖定（dìng）情況時，要能夠（gòu）自動向（xiàng）服務器管理員（yuán）發出警報。因為作為FTP服務器（qì）來說，其（qí）不能夠辨別這是惡意（yì）攻擊事件還是一個偶然（rán）事件。這需要（yào）服務器管理員根據經驗來進行判斷。FTP服（fú）務器（qì）隻能（néng）夠提供（gòng）暫時的保護作用。所以，當出現帳戶鎖定的情（qíng）況時，服務器要能夠向管理員發出警報，讓其判斷是否存在惡意攻擊。若存在的話，則就需采取（qǔ）相應的措施來避免這種情況的再次發生（shēng）。