免費ftp服務器使用安全維護的方法：1、禁用標準FTP；2、使用強加密和散列密碼，如AES或TDES；3、使用DMZ安全網關或增強反向代理；4、設置IP黑名單和白名單；5、對身份驗證和數據通道強制加密；6、利用良好的帳戶進行管理服務器；7、使用強密碼，如密碼至少為7個字符，同時包含數字、字母和特殊字符；8、實施文件和文件夾安全性，如加密靜止的文件；9、將管理員職責限制為有限數量的用戶，并要求他們使用多因素身份驗證；10、保持FTPS或SFTP服務器軟件為最新。

具體內容如下：

1、禁用標準FTP

如果服務器上正在運行標準FTP，則應盡快將其禁用。FTP已經有30多年的歷史了，它并不能承受我們今天面臨的現代安全威脅。FTP缺乏隱私和完整性，使黑客在傳輸過程中很容易獲得訪問權限并捕獲或修改您的數據。我們建議您切換到其他幾種安全FTP替代方法之一。

2、使用強加密和散列

SFTP和FTPS協議都使用加密密碼來保護傳輸中的數據。密碼是一種復雜的算法，它接收原始數據，并與密鑰一起產生要傳輸的加密數據。您應該做的第一件事是禁用任何較舊的，過時的密碼，例如Blowfish和DES，而僅使用更強的密碼，例如AES或TDES。哈希或MAC算法用于驗證傳輸的完整性。同樣，您應該禁用較舊的哈希/ MAC算法（例如MD5或SHA-1），并堅持使用SHA-2系列中的強大算法。

3、放置在網關后面

DMZ（非軍事區）是組織存儲其FTP服務器的網絡的公共部分。DMZ的問題在于它面對著公共互聯網，使其成為最容易受到攻擊的部分。如果FTP服務器位于DMZ中，則通常還將貿易伙伴的數據文件和用戶憑據存儲在該區域中，即使文件被加密，也存在很大的風險。其他組織已經采取了將文件和用戶憑據移入專用網絡的步驟，這更安全。但是，此方法的問題在于，這需要您將端口打開到專用網絡中，這會為攻擊創建路徑，并且可能無法滿足合規性要求。

一種越來越流行的方法是使用DMZ安全網關或增強的反向代理。網關是您在DMZ中的服務器上安裝的軟件。然后在啟動時從專用網絡打開一個專用控制通道進入DMZ。您的貿易伙伴將連接到網關，網關將通過控制通道將會話發送到專用網絡上的FTP服務器。文件和用戶憑據保留在專用網絡中，不需要入站端口。

4、實施IP黑名單和白名單

IP黑名單會暫時或永久拒絕訪問系統的IP地址范圍。例如，您可能想阻止某些國家訪問。您還可以讓FTP服務器針對某些類型的攻擊（例如DoS攻擊）執行自動黑名單。

另一種方法是僅將指定的IP地址列入白名單以訪問系統，例如您的貿易伙伴。困難在于，這只有在貿易伙伴使用固定IP的情況下才能很好地起作用。

5、加強您的FTPS服務器

如果您使用的是FTPS服務器，則應采取一些措施來確保其安全，包括：除非對身份驗證和數據通道強制加密，否則不要使用顯式FTPS 不要使用任何版本的SSL或TLS 1.0 使用橢圓曲線Diffie-Hellman密鑰交換算法

6、利用良好的帳戶管理

為貿易伙伴創建操作系統級別的用戶帳戶是有風險的，因為它創建了獲取對服務器上其他資源的訪問的途徑。此外，用戶憑據應與FTP應用程序分開保存。不允許匿名用戶或共享帳戶。設置一些規則，例如帳戶用戶名的長度至少應為7個字符，并且在6次登錄失敗或90天不活動后應自動禁用帳戶。

7、使用強密碼

密碼的長度至少應為7個字符，同時包含數字和字母數字字符，并至少包含一個特殊字符。確保管理員密碼每90天更改一次。請勿重復使用最后4個密碼，并使用SHA-2等強大的哈希加密算法存儲用戶密碼。

8、實施文件和文件夾安全性

貿易伙伴應僅具有他們絕對需要的文件夾訪問權限。例如，僅僅因為合作伙伴需要從文件夾中下載內容的權限，并不表示他們需要對該文件夾的全部權限。需要將文件上傳到文件夾并不需要它們具有對該文件夾的讀取權限。加密靜止的文件（尤其是存儲在DMZ中的文件），并僅在需要時將文件保留在FTP服務器上。

9、鎖定管理

服務器的管理應受到嚴格控制。將管理員職責限制為有限數量的用戶，并要求他們使用多因素身份驗證。不要將密碼存儲在服務器上，而應將它們存儲在AD域或LDAP服務器中。請勿使用常見的管理員用戶ID（例如“ root”或“ admin”），這是黑客會嘗試的第一件事。

10、遵循最佳做法

保持FTPS或SFTP服務器軟件為最新，如果要處理美國政府數據，請僅使用經過FIPS 140-2驗證的加密密碼，請勿使用首次登錄時顯示的默認SFTP軟件版本-這將為黑客提供如何利用服務器的線索，將所有后端數據庫保留在其他服務器上，要求重新認證不活動的會話，實施良好的密鑰管理。