我在不同的 WAN 连接上有两个 Filezilla 服务器实例,它们都映射到文件服务器上的同一个 /test 目录。
为了验证客户端是否具有连接性,我有一个只读/只列出测试帐户(例如 test),带有一个可以通过电话口头提供的简单密码(例如 pass)。这在加入新客户或调试路由问题时省去了很多麻烦。
我倾向于在不需要时禁用测试帐户,但这有点不方便,因为它需要登录到服务器并且每周可能需要多次。
如果我使用弱密码或易于猜测的密码启用测试帐户,我会承担什么风险(如果有的话)?是否有任何已知的漏洞可用于访问或拒绝访问服务器?
注意:服务器设置为在 10 次登录尝试失败后自动禁止 IP 地址 2 小时。防火墙上的系统日志监控也设置为标记可疑活动。这可以扩展到在外围禁止顽皮的 IP。
编辑:为了方便起见,我提到了 FTP,但服务器实际上设置为需要 FTPS,并且不允许使用未加密的 FTP。
Kat*_*ard 11
我不确定对此是否有客观的答案。这完全取决于以下因素:文件服务器上的内容、您的业务、用户名和密码是否在其他地方使用(ftp 传输凭据明文)、您是否遵守任何需要更加谨慎的法律(HIPAA、 FERPA、PCI)等。也就是说,风险总是存在的,这取决于您对风险的承受程度。
例如:如果您是供应商并且不允许客户数据接触文件服务器,因为它在自己的系统上是隔离的,您可能认为启用 ftp 帐户是可以接受的风险。如果您是一所小学并且文件服务器上有成绩和学生地址,则可能没有。如果 ftp 帐户驻留在接受信用卡的 Web 服务器上,请不要这样做。
简短回答:禁用它。
更长的答案:这取决于您对风险的适应程度。
可能存在对您正在使用的软件版本有效或尚未发现的漏洞利用,这些漏洞可能允许未经授权的访问。您愿意承担多少风险取决于您:如果您对监控足够好感到高兴,那么请务必将其打开。就我个人而言,我会禁用这样的帐户,或者至少给它一个复杂但可读的密码(CVC 三元组很好且易于听写/记住,例如“lef-tok-tar”。或者使用一系列单词 a la XKCD),并严密监控对其的任何访问尝试(成功或失败)。
| 归档时间: |
|
| 查看次数: |
1304 次 |
| 最近记录: |