服务器虚拟：FTP服务器安全：做好这些防范措施很重要

　　【YINGSOO提醒】本文收集整理于网络，仅供参考！如需了解“服务器虚拟”等相关问题，请随时咨询YINGSOO客服，获取专业解答！

　　【畅销主机】英国物理服务器促销 | 香港大带宽服务器促销 | IPLC国际专线

　　【推荐阅读】台湾有哪些著名的服务器机房？

　　FTP服务器安全：做好这些防范措施很重要。许多电影网站，社区论坛或其他组织以便便捷vip会员或组员提交电影或是沟通交流文档，都容许客户的提交权限，由于仅有容许这一权限，客户才能够文件上传，但这一权限在容许中断点再传的ftp服务器中，能够造成非常大的问题出来。

　　允许断点再传的ftp服务器程序，都必须支持一个“Rest”的命令，如果这个命令是用在上传命令前(send命令)，是告诉ftp服务器我要上传的文件会是从ftp服务器中存在的那个文件的什么位置中开始写。

　　例子：

　　假设ftp服务器中存在一个文件Readme.txt，文件大小为1000bytes，连接上这个ftp服务器(假设我有写权限，ftp服务器是支持断点再传的)，我本地中也有一个叫Readme.txt的文件，文件大小为500bytes。好了，我开始做坏事。

　　1、连接上这个ftp服务器(用系统自带的ftp：//ftp.exe/，在内网的可能无法使用，因为ftp：//ftp.exe/用的是port模式)

　　2、dir(查看Readme.txt大小，确定了是1000bytes)

　　3、quoterest1000(告诉ftp服务器我将要传送的文件是从文件位置1000开始)

　　4、sendReadme.txt

　　5、dir(再次查看Readme.txt大小，现在Readme。txt变成1500bytes了)

　　为什么Readme.txt会变大了?很简单，因为我本地的那个Readme.txt的500字节上传成功，并写入到ftp服务器中存在的那个1000bytes的Readme.txt文件中了。问题是出在第二条命令，如果没有第二条命令，我的第4个命令(SendReadme.txt)，就会得到一个PermissionDeny的错误，第二条命令是让ftp服务器信任我们将要进行一个断点再传的操作，如果没有第二条命令，ftp服务器将以为我们进行的是一个复盖原文件的操作(复盖原文件操作需要另外的权限才可以进行)。

　　说到这里，大家应该明白了主题的意思了吧，通过很简单的操作，任何具有写权限的用户，都可以改动其它用户上传的文件，单是这一点，就存在很大的安全漏洞了。如果上传的是重要文件，随意的修改可以令文件完全破坏了;如果是可执行文件或一些zip或rar文件，会不会有些熟悉各种文件结构的天才疯子，将一些恶意代码也加到那些文件，令执行者系统受到破坏或者执行了他们的后门代码或其它，由于本身对于这些文件结构并不熟悉，我只说这是一个未知之数。

　　但在电脑的世界中，很多不可能的事最后都被创造成可能，所以我无法下定论。但单是能破坏到文件这一点，已是很具破坏性了，想想一个500M的影视文件，被人多加了字节进去的话，估计是无法再被观看的了，播放这些文件的程序一般都会说不是合法的影视文件，无法播放等等。至于zip，rar等文件，winzip或winrar肯定会说压缩文件已遭到破坏，crc检验码不对等等的错误。

　　这个问题只是在允许断点再传的FTP服务中存在，但现在90%的FTP服务程序都是允许断点再传的，所以这问题在普遍的FTP服务器都会存在。

　　防范方法：

　　如果一定需要给用户上传权限的话，最好的防范方法是每个用户都给他建立一个目录，将那个用户的权限完全锁在这个目录内，那么用户就没有权限可以查看其它用户的目录，也就是说无法造成以上所说的破坏。

　　以上所说的在Serv-UV4.0中测试过，测试平台是Win2KServer。如果其它ftp服务程序不存在这种问题，那不在此文章讨论范围内。现在windows系统中架设ftp服务器，用得最多最流行的还是Serv-U，所以管理员们要多留心了。这文章并不是要教人做坏事，如果你用这种方法去破坏ftp服务器的文件，唯一要负责任的人是你。

　　什么类型的服务器适合虚拟化

　　什么类型的服务器适合虚拟化，遗憾的是，一直没有在任何情况下都成立的明确答案。但这里有一些原则可以用来判断服务器是否适合虚拟化。

　　Hypervisor的支持性及限制性我建议首先要考虑的一个标准就是可支持性。某些服务器通常不支持在虚拟环境下使用。例如，根据ExchangeServer2007的支持策略及建议，微软不支持在虚拟服务器上运行ExchangeServer2007的统一消息角色。

　　通常，如果官方明确规定禁止在虚拟机上运行应用，这就好说了。然而事实总是令人不满意。有的组织仍旧在WindowsNT服务器上运行关键业务应用。

　　Hyper-V不支持WindowsNT服务器。然而，这并不意味着在Hyper-V上不能运行WindowsNT服务器。微软不支持在Hyper-V上运行WindowsNT虚拟机只是因为操作系统太老了。虚拟化WindowsNT服务器能够带来一些优势，包括增加可靠性、提高性能。是否虚拟化特定类型的服务器往往受hypervisor的限制。某些物理服务器配置的硬件尝尝超出了hypervisor的能力。例如WindowsServer2008R2提供的Hyper-V较大支持2TB的虚拟硬盘。而有大量的物理服务器配置了超过2TB的卷。

　　如果采用WindowsServer2008R2提供的Hyper-V，那么这类服务器并不适合用于虚拟化。顺便提一句，WindowsServer2012提供的Hyper-V通过使用新的VHDX虚拟硬盘格式能够支持较大64TB的虚拟硬盘。请记住不只是虚拟硬盘大小，内存限制或者虚拟处理器的较大数量同样会影响进行P2V转换的能力。虚拟化成本问题假定你为物理服务器准备了所有必须的许可，那么采用虚拟化可能不会带来任何直接成本。

　　即使是这样，在某些情况下进行P2V迁移同样会受到成本的限制。例如，想象一下主机服务器缺少处理新虚拟机所需要的容量。在这种情况下，你可能必须对主机进行升级或者采购新的主机。上述两种选择成本都很高，而且证明成本支出是合理的也很困难。当然，主机服务器通常只是集群的一部分，而集群使资源需求变得复杂起来。例如，如果集群接近较大容量运行，可能能够为刚刚迁移到集群中的服务器提供资源，但是这样的话，在紧急情况下可能就没有足够的剩余容量允许虚拟机切换到集群中的其他节点继续运行了。

　　同样，你可能会陷入到在集群中运行新虚拟机而必须对集群中所有节点进行硬件升级的困境中，这样的话成本是很高的。想象一下物理服务器连接SAN存储的情景。一般来讲，很多人不会将这类服务器作为虚拟化的备选服务器。然而WindowsServer2012提供的Hyper-V允许虚拟机通过虚拟光纤通道直接连接到SAN存储。

　　然而，这种连接方式需要主机服务器配置一个或多个光纤通道主机总线适配器。根据你所需要的HBA卡类型，可能不用倾家荡产就能够配备虚拟主机。然而，如果主机服务器是集群的一部分，那么还需要为集群中的所有其他节点购买HBA卡以满足虚拟机进行故障切换的要求。

　　正如你所看到的，确定物理服务器是否适合虚拟化依赖不同的标准。决策过程通常取决于迁移的可行性及成本评估。

版权声明：本站文章来源标注为YINGSOO的内容版权均为本站所有，欢迎引用、转载，请保持原文完整并注明来源及原文链接。禁止复制或仿造本网站，禁止在非www.yingsoo.com所属的服务器上建立镜像，否则将依法追究法律责任。本站部分内容来源于网友推荐、互联网收集整理而来，仅供学习参考，不代表本站立场，如有内容涉嫌侵权，请联系alex-e#qq.com处理。