当前,很多公司局域网都搭建了文件服务器,并且以FTP文件服务器居多,通过FTP上传下载工具可以轻松实现FTP服务器文件的共享、管理和存储。但是,由于缺乏对FTP服务器文件进行全面的管理,使得经常出现FTP服务器文件丢失、恶意修改甚至删除FTP服务器文件的行为,从而极大地威胁了FTP服务器文件的安全。因此,有效管理FTP服务器文件的访问操作行为,就成为当前企业局域网文件服务器管理的重要方面。
那么,企事业单位如何进行FTP权限设置、监控FTP文件服务器访问日志呢?笔者以为可以通过以下两种途径来实现:
一、启用FTP服务器日志记录功能来详细记录FTP服务器文件上传、FTP服务器文件下载、修改FTP服务器日志的行为。
FTP服务器的日志设置,可以通过修改主配置文件/etc/vsftpd.conf实现。主配置文件中与日志设置有关的选项包括xferlog_enable 、xferlog_file 和dual_log_enable 等。
xferlog_enable
如果启用该选项,系统将会维护记录服务器上传和下载情况的日志文件。默认情况下,该日志文件为 /var/log/vsftpd.log。但也可以通过配置文件中的 vsftpd_log_file 选项来指定其他文件。默认值为NO。
xferlog_std_format
如果启用该选项,传输日志文件将以标准 xferlog 的格式书写,该格式的日志文件默认为 /var/log/xferlog,也可以通过 xferlog_file 选项对其进行设定。默认值为NO。
dual_log_enable
如果启用该选项,将生成两个相似的日志文件,默认在 /var/log/xferlog 和 /var/log/vsftpd.log 目录下。前者是 wu-ftpd 类型的传输日志,可以利用标准日志工具对其进行分析;后者是Vsftpd类型的日志。
syslog_enable
如果启用该选项,则原本应该输出到/var/log/vsftpd.log中的日志,将输出到系统日志中。
常见的日志解决方案如下:
1. xferlog_enable=YES
2. xferlog_std_format=YES
3. xferlog_file=/var/log/xferlog
4. dual_log_enable=YES
5. vsftpd_log_file=/var/log/vsftpd.log
该方案将xferlog_enable设置为YES,表明FTP服务器记录上传下载的情况,而将xferlog_std_format也设置为YES,则表明将记录的上传下载情况写在xferlog_file所指定的文件中,即/var/log/xferlog文件。
同时,该方案启用dual_log_enable,表明启用了双份日志。在用xferlog文件记录服务器上传下载情况的同时,vsftpd_log_file所指定的文件,即/var/log/vsftpd.log,也将用来记录服务器的传输情况。
下面分别查看xferlog文件和vsftpd.log文件的内容。
xferlog内容如下:
1. Thu Sep 6 09:07:48 2007 7 192.168.57.1
4323279 /home/student/phpMyAdmin -2.11.
0-all-languages.tar.gz b _ i r student ftp 0 * c
2. Thu Sep 6 10:15:59 2007 1 192.168.57.1
61810 /home/student/php-pdo-5.1.6-5. el5.
i386.rpm b _ i r student ftp 0 * c
3. Thu Sep 6 10:17:13 2007 1 192.168.57.1
83741 /home/student/php-mysql-5.1. 6-5.el5.i386.
rpm b _ i r student ftp 0 * c
4. Tue Sep 11 07:49:34 2007 1 127.0.0.1 0 /
pub/hello.txt b _ o a
bit@bit.edu.cn ftp 0 * i
5. Tue Sep 11 07:51:22 2007 1 127.0.0.1 34 /
pub/hello.txt b _ o a
bit@bit.edu.cn ftp 0 * c
6. Tue Sep 11 11:23:05 2007 1 192.168.57.1
83741 /php-mysql-5.1.6-5.el5.i386.rpm a _ o r student ftp 0 * c
7. Tue Sep 11 11:31:36 2007 1 192.168.57.1
12 /eng000.txt a _ i r student ftp 0 * c
8. Tue Sep 11 11:53:05 2007 1 192.168.57.2
367 /user_list b _ i r student ftp 0 * c
9. Tue Sep 11 11:56:06 2007 1 192.168.57.2
0 / b _o a
mozilla@example.com ftp 0 * i
10. Tue Sep 11 11:57:36 2007 1 192.168.57.2
0 / b _ o r student ftp 0 * i
vsftpd.log文件内容如下:
1. Tue Sep 11 14:59:03 2007 [pid 3460] CONNECT: Client "127.0.0.1"
2. Tue Sep 11 14:59:24 2007 [pid 3459] [ftp]
OK LOGIN: Client "127.0.0.1", anon password "?"
在xferlog文件的较早条记录中,各数据的参数名如表11.3所示。
二、通过部署专门的FTP日志分析软件、FTP日志管理软件或FTP文件文件服务器监控软件的方式来监控FTP服务器文件访问情况。
虽然通过FTP服务器日志记录软件可以记录FTP文件上传或下载的日志,但是由于操作较为复杂,同时无法记录访问者的IP地址、MAC地址、主机名情况,也无法记录登陆FTP服务器的账号、密码,这使得FTP服务器自身的日志记录功能有限。这种情况下,可以考虑部署专门的FTP服务器日志记录软件来实现。例如有一款“大势至FTP服务器文件访问监控软件”(下载地址:
http://www.grablan.com/ftpjk.html),是一款专门的监控FTP服务器文件访问操作情况的软件,可以详细记录登陆FTP服务器的账号、密码、电脑IP地址、MAC地址和主机名等情况,并可以记录FTP服务器文件上传、FTP服务器文件下载、修改FTP服务器文件、删除FTP服务文件的行为,从而实现FTP服务器文件的全面管理。
作为一款非常实用和专业的FTP服务器文件管理软件,大势至FTP服务器文件访问记录软件的操作和使用极为简单,所有功能只需要点点鼠标就可以启用。安装文件如下所示:
图:FTP服务器监控软件安装文件
首先,需要安装Winpcap抓包驱动,直接点击下一步即可安装完毕。
其次,在FTP服务器上打开本软件(Dszftp.exe)即可,无需安装。
然后,选择您当前上网用的网卡,点击“开始监控”即可,如下图所示:
图:启动监控ftp服务器文件
监控一段时间之后,点击“导出日志”之后就可以将监控记录导出为Excel格式了,如下图所示:
图:导出ftp服务器文件访问日志进行FTP日志分析、FTP日志管理
总之,无论是通过FTP服务器自带的日志记录功能来进行FTP日志管理或日志分析,还是通过第三方专门的FTP服务器文件访问日志记录软件,都可以实现对FTP服务器访问日志的管理,具体采用哪种方法企事业单位可以根据自己的需要进行选择。
