Xlight FTP 服务器 帮助文档

虚拟服务器配置 - 安全

SSL选项

强制匿名用户之外的所有用户使用SSL登录 - 当这个选项被选中, 匿名用户之外的所有用户必须切换到SSL模式才能登录. FTP服务器必须被配置使用显性或隐性SSL才能使用这个选项.

启用CCC(清空命令通道)命令 - CCC(清空命令通道)命令被用来反转FTP控制通道从SSL加密模式到不加密的明码模式. 反转到不加密的明码模式只是在用户认证完成后才执行, 因此用户的密码不是以明码方式发送的. 这个命令主要用于FTP服务器位于不能和FTP控制通道加密很好工作的某些防火墙后的情况.

控制用户FTP命令速度

用户登录前命令速度 - 对于每个FTP连接,服务器可以控制这个连接登录前每秒可以运行的FTP命令数。它的范围是0-1000,0(默认值)等于登录前每秒可执行10条FTP命令。

用户登录后命令速度 - 对于每个FTP连接,服务器可以控制这个连接登录后每秒可以运行的FTP命令数。它的范围是0-1000,0(默认值)等于不限制。

检查控制和数据连接的用户IP

PORT命令,控制和数据连接必须来自相同的IP - 启用这个选项,会阻止\"FTP bounce\"攻击,但也会阻止FXP(site to site)传输。 接收到用户PORT命令后, 服务器要检查确保FTP数据和控制连接来自相同的IP地址。

PASV命令,控制和数据连接必须来自相同的IP - 启 用这个选项,会阻止FXP(site to site)传输。 接收到用户PASV命令后, 服务器要检查确保FTP数据和控制连接来自相同的IP地址。

IP地址自动禁止

对hammer连接的用户启用IP地址自动禁止访问 - 启用这个选项,服务器提供了一种自动防止外部拒绝服务攻击和已登录用户内部攻击的机制。

IP 地址自动禁止持续时间 - IP地址自动禁止访问持续的时间,这个值以秒为单位,范围0 -65535。 如果设置为0,等于关闭IP地址自动禁止功能。

当下面一个或多个IP地址自动禁止访问的条件满足时,用户将被 自动从FTP虚拟服务器上断开,并在上面定义的自动禁止持续时间内禁止访问这个虚拟服务器。

Hammer 连接 - 定义符合Hammer连接的条件. Hammer连接如果为0,这个功能将无效。

登 录失败次数 - 每个FTP连接上,允许的登录失败重试的次数,范围0-255, 当值为0时这个功能无效。

恶 意行为次数 - 每个FTP连接上(包括登录和未登录用户),允许的恶意行为的次数, 范围0-255, 当值为0时这个功能无效。 下列行为被认为是恶意行为:

- 用户在登录前送出非USER和PASS的FTP命令或无效字 符串,即用户在登录前试图运行和登录不相关的指令。
- 用户在登录后发送超长字符串,命令或目录文件名,试图使FTP服务器缓冲区溢出。
- 用户试图删除他没有权限删除的文件。
- 用户试图删除他没有权限删除的目录。
- 用户试图在向他没有上传权限的目录上传文件。
- 用户试图更名他没有更名权限的文件和目录。
- 其他由FTP服务器认定的用户在服务器内部的恶意行为。

IP地址自动禁止的消息 - 如果设置了IP地址自动禁止的消息后, 当用户使用被自动禁止的IP连接时, FTP服务器将这个消息提供给用户, 连接在这个消息后会被自动断开. 如果没有设置IP地址自动禁止的消息, 当IP被自动禁止的用户连接时,连接会被自动断开, 但没有任何消息提供给用户.

IP地址禁止和允许列表

允许的IP地址 - 设置虚拟服务器允许访问的IP地址. 你可以用IP地址范围,或子网掩码来设置允许访问的IP地址。例如"202.44.56.1-32",或202.44.56.1/27 。
禁止的IP地址 - 设置虚拟服务器允许访问的IP地址. 你可以用IP地址范围,或子网掩码来设置禁止访问的IP地址。例如"202.44.56.1-32",或202.44.56.1/27 。

其他IP允许/禁止访问的文件 - 用于大量IP和子网掩码的文件. 文件的每一行只能有一个IP和子网掩码.

反盗链保护

作为系统管理员在你的网站提供文件下载和链接,你可能希望用户从你的主页上点击下载链接,因为这样他们能够在下载前,看到你主页上的广告。但是你会经常面对这样的情况,一些人复制了你的下载链接,并放到他们自己的网页上。这样导致了很多不是直接来自你的主页的下载请求,偷走了你的网站的大量带宽。在反盗链保护的帮助下,你可以阻止这种情况发生。

Xlight FTP 服务器提供了一个新的机制用于反盗链保护,FTP服务器会自动在所有FTP下载链接前加一段随机的路径. 例如,如果你原始的FTP下载链接是 "/public/download/test.txt", 经过反盗链保护后,FTP下载链接自动变为 "/xxxx/public/download/test.txt", 其中 "xxxx" 是FTP服务器自动生成的随机路径. Xlight FTP 服务器能够被配置成经过一段时间自动更改 "xxxx" 部分, 因此FTP下载链接 "/xxxx/public/download/test.txt" 也会自动变化. 偷盗的链接无法及时更新最顶端路径的 "xxxx" 部分, 盗链者就不能从FTP 服务器下载.

每当反盗链随机路径改变时,Xlight FTP 服务器能够被配置输出改变的随机路径部分到一个文件,或执行一个外部的程序,将随机路径 "xxxx" 作为第一个参数传递给这个外部程序. 在这两个方法的帮助下, 你可以使用你自己的cgi脚本或其他程序更新网站的下载链接.

Xlight FTP 服务器的xferlog里面, 随机路径的部分被自动移除, 因此反盗链保护不会影响服务器的下载统计结果.

启用文件路径防盗链保护 - 这个选项用于启用或关闭反盗链保护功能.

生成新的防盗链路径每(分钟) - 反盗链保护改变的时间周期。

防盗链路径改变后, 继续保持旧的路径有效时间 - 因为从反盗链随机路径改变到网站最终更新它的下载链接可能有一些延迟,如果某个用户恰好在这段时间点击网站的下载链接,他可能会去到旧的下载链接,而这个链接在FTP服务器已经失效。 Xlight FTP服务器有一个选项,你可以设置一段保护时间。在这段保护时间内,旧的下载链接和新的链接同时有效,这样在这段转换时间中,点击下载链接的用户就不会遇到失效链接的情况。确保这段时间不大过反盗链路径改变的时间周期.

从文件列表里隐藏防盗链路径 - 随机反盗链路径 "xxxx" 能够被从文件列表里隐藏, 因此没有人 (甚至之间访问FTP服务器服务器) 能够看到 "xxxx" 路径,除非直接从网站上点击下载链接。

更新防盗链路径改变到文件 - 每当反盗链随机路径改变时,Xlight FTP 服务器能够同时将改变的随机路径"xxxx"写到一个文件。因此外部程序能够定时读取这个文件并更新网站的下载链接

当防盗链路径改变, 执行程序 - 每当反盗链随机路径改变时,Xlight FTP 服务器能够执行一个外部的程序,将随机路径 "xxxx" 作为第一个参数传递给这个外部程序.