Обеспечение безопасности узла

Я уже затрагивал безопасность узла, когда говорил о проверке подлинности. При наличии ограничения до 10 подключений в Windows ХР Professional предполагается, что вы используете Windows ХР для предоставления доступа к FTP-узлу во внутренней сети. Однако, если вы предоставляете FTP широкой публике, скорее всего, это друзья. В противном случае целесообразно использовать серверную платформу без ограничения по числу подключений.

Я не рекомендую разрешать анон*имный доступ на FTP-сервер, подключенный к Интернету, разве что вы готовы, что каждый, кому взбредет это в голову, будет загружать файлы на ваш компьютер (подробнее об этом в следующем разделе). Предоставляйте доступ людям индивидуально, создавая для каждого учетную запись либо давая имя пользователя и пароль общей учетной записи (но только после получения информации о каждом человеке!).

Альтернативой является назначение анонимным пользователям права Read (Чтение), а право Write (Запись) давать только пользователям с определенной учетной записью. Чтобы это осуществить, для начала создайте папки FTP-узла на разделе NTFS. Настройте узел на разрешение анонимного и авторизованного доступа, как я рассказал ранее в этой главе. Затем настройте NTFS-разреііїения, чтобы учетная запись IUSR имела только право Read (Чтение), а у других учетных записей было право Write (Запись). Вы можете назначить право Write (Запись) по необходимости либо дать право Write (Запись) группе пользователей FTP, если все, кроме анонимных пользователей, должны иметь возможность загрузки файлов на сайт.

Совет Вы можете настроить NTFS-разрешения для каждой папки, что даст вам большую гибкость в управлении тем, какой тип доступа будет иметь каждый пользователь.

Другим важным элементом, о котором нужно подумать, является расположение корневого каталога вашего FTP-узла. Убедитесь, что вы поместили корневой каталог на раздел NTFS, если это возможно, и не используйте папку, которая содержит важные системные файлы. К примеру, никогда не используйте корень системного диска в качестве корня вашего FTP-узла. Также избегайте использования в качестве корня папки \Inetpub; вместо этого используйте папку по умолчанию \Inetpub\ftproot.

Если вы используйте FTP для размещения Web-сайта на сервере, то вам также потребуется настроить безопасный виртуальный каталог FTP, который будет указывать на корневой каталог Web-сайта. Убедитесь, что сайт расположен на разделе NTFS и затем настройте разрешения на папку и все подпапки, чтобы учетная запись, под которой происходит размещение, имела право иа изменение в этих папках.

Совет Учетная запись IUSR по умолчанию не имеет явных прав на папку MnetputA ftproot и какие-либо ее подпапки. Вместо этого Windows ХР дает встроенной группе Users (Пользователи) право Read&Wrlte (Чтение и запись), List Folder Contents (Просматривать содержимое папки) и Read (Чтение). Учетная запись IUSR неявно является членом группы Authenticated Users (Прошедшие проверку пользователи), которая, в свою очередь, явный член группы Users (Пользователи). Поэтому учетная запись IURS (и, следовательно, анонимные пользователи), могут читать файлы на Web-узле.

Наконец, я дам вам еще один совет: убедитесь, что вы включили ведение журнала на вкладке FTP-site (FTP-узел) и выбрали формат W3C Extended Log (Расширенный формат файла журнала W3C), о котором я говорил ранее в этой главе. Настройте расширенные свойства ведения журнала, чтобы добавить в журнал ІР-адрес источника, дату и время и имя пользователя. Дата и время важны, как и ІР-адрес, поскольку они дают возможность определить удаленного пользователя. ІР-адрес удаленного пользователя может быть разным, если он подключается через телефонную сеть, но Интернет-провайдер пользователя может определить пользователя по своим журналам подключений. ІР-адрес скажет провайдеру, какой порт использовался для подключения к его службе, а дата и время помогут провайдеру определить, какой пользователь был на использовал этот порт в указанное время.