當前國內很多企事業單位元件了自己的FTP檔案伺服器,讓區域網使用者可以通過FTP工具進行檔案的上傳、下載,以此來方便區域網使用者對單位共享檔案的訪問使用,便於大家協調工作,並可以更加便捷地儲存勞動成果。
但是,在實踐中,由於沒有對FTP伺服器檔案進行有效的管理,使得經常出現FTP伺服器檔案丟失、被刪除的情況出現,同時網管員通常也無法得知究竟是區域網那個使用者對FTP伺服器檔案做了不適當的操作。同時,由於大家工作中隨時都有可能通過FTP工具向FTP伺服器上傳、下載或修改檔案,因此一般也都具有修改許可權,從而也具有了刪除許可權。因此,一旦員工不小心或惡意刪除了FTP伺服器檔案,網管員常常也無法得知。而這些FTP伺服器的檔案,由於是員工工作中積累的工作成果,因此一旦丟失、刪除,也會給單位帶來較大的損失。
為此,我們需要對區域網使用者使用FTP檔案的行為進行監控,需要記錄區域網使用者訪問FTP伺服器檔案的時間、操作動作、訪問者的IP地址和MAC地址等資訊,這樣一旦員工不小心或惡意做了不適當的操作,也可以被詳細記錄,這樣一方面可以審查、明瞭員工訪問FTP伺服器檔案的行為,另一方面一旦員工不小心或惡意刪除了FTP伺服器檔案也可以被詳細的監控到,從而責任到人,也使得員工使用FTP伺服器檔案的行為更加仔細和謹慎,從而更好地保護單位FTP伺服器檔案的安全。
那麼,如何實現區域網FTP伺服器檔案管理呢,防止非法訪問FTP伺服器呢?筆者以為可以通過以下兩種途徑:
一、通過FTP檔案伺服器作業系統相關配置來實現,這個一般是在FTP檔案伺服器上設定Serv-U的許可權來實現分配FTP檔案伺服器訪問許可權的功能。
FTP服務使用Serv-U提供。許可權分配以部門為組群,每個部門的人處於同一個組群。同一組群的使用者可以繼承組群的設定。
在訪問多個資料夾時,採用了虛擬路徑的方法,將不在根目錄下的檔案通過虛擬路徑的方式虛擬到根目錄中。
使用者分為三個型別
1. 域管理員
許可權:訪問FTP下所有資料夾,並具有上傳,下載,刪除,建立等所有許可權。
2. 部門管理員
許可權:可訪問所在部門資料夾,並具有上傳,下載,刪除,建立等所有許可權。
3. 部門員工
許可權:可訪問所在部門資料夾和公共共享資料夾,只具有下載許可權。
在實際部署中,資訊化室可以管理域管理員,管理公共共享檔案的上傳。各個部門指定一名管理員,管理部門內的檔案上傳。
例如:
現建立一個FTP Server資料夾,資料夾下包含財務部、營運管理部、共享檔案三個資料夾。
建立5個賬戶,分別為:
1. 域管理員admin
2. 部門管理員admin_YYGL admin_CW
3. 部門員工 財務部700110 營運管理部701132
Admin可遍歷所有目錄並具有所有許可權
Admin_YYGL可遍歷營運管理部並具有所有許可權
Admin_CW可遍歷財務部資料夾並具有所有許可權
700110可遍歷財務部資料夾以及共享資料夾,具有下載許可權
701132可遍歷營運管理部資料夾以及共享資料夾,具有下載許可權
二、通過專門的FTP檔案伺服器監控軟體來監視FTP檔案伺服器檔案訪問情況,記錄FTP伺服器檔案操作行為。
通過一些專門的FTP伺服器檔案訪問操作軟體來記錄區域網使用者對FTP伺服器檔案操作行為是一個比較簡單明瞭的管理FTP伺服器檔案的方法。目前,國內有一些專門的FTP檔案伺服器監控軟體可以實現。例如有一款“大勢至FTP伺服器檔案監控軟體”(下載地址:就可以實現上述功能。如下圖所示:
通過在FTP檔案伺服器部署“大勢至FTP檔案伺服器監控軟體”之後就可以詳細記錄區域網使用者和外網使用者對FTP伺服器檔案操作記錄,詳細記錄訪問FTP檔案伺服器的電腦IP地址、MAC地址和主機名等資訊,同時詳細記錄訪問者FTP檔案伺服器操作動作,詳細記錄上傳、下載、修改、刪除、移動和重新命名等情況,從而可以讓網管員詳細得知FTP伺服器檔案訪問和使用情況,從而一方面可以更好地檢視員工工作記錄、工作進度和工作效率等情況,另一方面也可以對員工操作FTP伺服器檔案有一個詳細的記錄,便於事後備查或調查取證,同時也讓員工訪問FTP伺服器檔案的行為更為規範,約束非法操作和非法使用FTP伺服器檔案的行為。
總之,有效管理FTP伺服器檔案的安全,一方面需要充分藉助於FTP伺服器作業系統的相關配置,尤其是通過熟練掌握Serv-U軟體的訪問許可權設定方法;另一方面,也需要藉助於專門的FTP檔案伺服器監控軟體來實時記錄區域網使用者對FTP伺服器檔案的訪問行為,便於提供事後備查、調查取證等,從而更進一步實現FTP檔案伺服器的監控和管理功能。