我在不同的WAN连接上有两个Filezilla服务器实例,都映射到文件服务器上的相同/ test目录。
为了validation客户端是否具有连接性,我有一个只读/列表testing账户(例如testing)和一个简单的口令,可以通过电话口头(例如通过)给出。 当join新客户端或debugging路由问题时,这可以节省很多麻烦。
在不需要时,我倾向于禁用testing帐户,但是这样做有些不方便,因为它需要login到服务器,并且可能每周需要多次。
如果我使用弱密码或容易猜到的密码离开testing帐户,我将面临哪些风险? 是否有任何已知的漏洞可以用来访问或拒绝访问服务器?
注意:10次失败的login尝试后,服务器被设置为自动拨号IP地址2小时。 防火墙上的Syslog监视也被设置为标记可疑活动。 这可以扩展到禁止在外围调皮的IP。
编辑:我提到FTP方便,但服务器实际上设置为要求FTPS与不encryption的FTP不允许。
我不确定这是否有客观的答案。 它完全取决于诸如文件服务器上的内容,你的业务是什么,用户名和密码是否在别处使用(ftp传输凭certificate文)等因素,无论你是否需要更谨慎的立法(HIPAA, FERPA,PCI)等等。也就是说,总是存在风险,这取决于你感到有多less风险。
例如:如果您是供应商,并且没有客户数据被允许触摸文件服务器,因为它在自己的系统上被隔离,您可能会认为启用ftp帐户是一个可接受的风险。 如果你是一所小学,文件服务器上有成绩和学生地址,可能不是。 如果ftp帐户驻留在使用信用卡的Web服务器上,请不要这样做。
简短的回答: 禁用它 。
较长的答案:这取决于你所适应的风险水平 。
可能存在针对您正在使用的软件的版本或尚未被发现的漏洞的漏洞,可能允许未经授权的访问。 你愿意承担多less风险取决于你:如果你感到高兴的是,监测是足够好的,那么一定要把它开放。 就个人而言,我会禁用这样一个帐户,或者至less给它一个复杂的,但是可读的密码(CVC三元组是好的,容易指令/记住,例如'lef-tok-tar')或者使用一个单词序列XKCD),并严格监视任何访问尝试(成功或其他)。
如果只是读取权限,我想不出任何重要的风险,但是您可能要确保您使用的是最新/最安全的FTP服务器软件,以确保安全。
您可能需要在桌面上创build一个脚本来启用/禁用桌面上的帐户。
当服务器面向公众时,风险总是存在的,另一种降低风险的方法是在非标准的端口上运行服务,比如说8021.你有select这样做吗?