常见的FTP服务器的口令安全策略(2)

　　策略三：口令历史纪录

　　为了提高FTP服务器的安全，则为用户指定一个不能重复口令的时间间隔，这也是非常必要的。如笔者企业的FTP服务器中，有一个文件夹，是专门用来存放客户的订单信息，这方便相关人员在出差的时候，可以及时的看到这方面的内容。这个文件夹中的资料是属于高度机密的。若这些内容泄露出去的话，则企业可能会失去大量的订单，从而给企业带来致命的影响。

　　所以，对于存放了这么敏感资料的FTP服务器，在安全性方面笔者是不敢小视。为此，笔者就启用了口令历史纪录功能。根据这个策略，用户必须每隔一个星期更改一次FTP服务器密码。同时，用户在60天之内，不能够重复使用这个密码。也就是说，启用了口令历史纪录功能之后，FTP服务器会纪录用户两个月内使用过的密码。若用户新设置的密码在两个月内用过的话，则服务器就会拒绝用户的密码更改申请。

　　可见，口令史纪录功能可以在一定程度上提高FTP服务器口令的安全性。

　　策略四：账户锁定策略

　　从理论上来说，再复杂的密码，也有被电子字典攻破的可能。为此，我们除了要采用以上这些策略外，还需要启用“帐户锁定策略”。这个策略可以有效的避免不法之徒的密码攻击。

　　帐户锁定策略是指当一个用户超过了指定的失败登陆次数时，服务器就会自动的锁定这个帐号，并向管理员发出警告。通过这个策略，当不法人士试图尝试不同的口令登陆FTP服务器时，由于其最多只能够尝试三次（假如管理员设置失败的登陆次数最多为3），则这个帐号就会被锁定。这就会让他们的密码攻击无效。

　　在采用帐户锁定策略时，需要注意几个方面的内容。

　　一是采用手工解禁还是自动解禁。若采用手工解禁的话，则被锁住的账户必须有管理员手工解禁。而若设置为自动解禁的话，则当帐户锁住满一定期限的时候，服务器会自动帮这个帐号进行解锁。若对于服务器的安全性要求比较高的话，则笔者建议采用手工解禁的方式比较好。

　　二是错误登陆的次数设置。若这个次数设置的太多，不能够起到保护的作用。若设置的太少的话，则用户可能因为疏忽密码输入错误，而触发帐户锁定，从而给服务器管理员凭空增加不少的工作量。为此，笔者的意见是，一般可以把这个次数设置为三到五次。这既可以保证安全性的需要，而且也给用户密码输入错误提供了一定的机会。

　　三是遇到帐户锁定情况时，要能够自动向服务器管理员发出警报。因为作为FTP服务器来说，其不能够辨别这是恶意攻击事件还是一个偶然事件。这需要服务器管理员根据经验来进行判断。FTP服务器只能够提供暂时的保护作用。所以，当出现帐户锁定的情况时，服务器要能够向管理员发出警报，让其判断是否存在恶意攻击。若存在的话，则就需采取相应的措施来避免这种情况的再次发生。