“你们公司用的香港云服务器,ftp账号是怎么管的?”上周五下午,项目群里突然有人这么问我。说实话,我一开始还真愣了下,ftp这玩意儿,怎么说呢,感觉像是上个世纪的产物了,但偏偏有些客户就认这个,没办法,谁让咱做的是外贸站,客户说啥就是啥。
香港云服务器ftp账号这点事儿
其实吧,香港云服务器我用过好几家,阿里云、腾讯云、还有什么UCloud、恒创,反正能叫得上名的都试过。ftp账号这事儿,说简单也简单,说麻烦也真能让人头大。你要说直接在面板上新建一个ftp账号,分分钟的事儿,点两下就出来了,用户名密码一设,权限一分,完事。但问题是,ftp本身就不安全,明文传输,谁都能抓包,尤其是香港这种节点,外网流量多,真要被人盯上,分分钟就被扫爆了。
我记得有一次,客户非要用ftp传文件,说什么“我们公司流程就这样,别的都不行”,我也没辙,只能给他开了个账号。结果第二天一早,服务器报警,ftp端口被人爆破了几千次,幸亏我那会儿手快,账号密码设得够复杂,没被撞开。后来我在知乎上看到,有人说ftp账号密码最好定期换,最好还得配合防火墙和白名单,不然真是分分钟被黑。说起来,知乎上有个叫“云上小马哥”的人,专门写过一篇关于香港云服务器安全的帖子,里面就提到ftp账号千万别乱开,能不开就不开,实在要用就得加密,最好用sftp或者直接用scp,反正ftp能不用就不用(知乎,2023)。
不过说真的,香港云服务器的ftp账号管理,和内地还真不太一样。比如有些服务商,ftp账号数量有限制,像阿里云香港节点,默认就给你一个主账号,想多开几个子账号还得加钱。还有的服务商,ftp账号权限分得特别细,能不能访问根目录、能不能写入、能不能删除,都能单独设。我有一次手贱,给客户开了个全权限账号,结果人家一不小心把整个站点目录删了,网站直接404,客户还以为被黑了,差点没把我骂死。后来我才知道,ftp账号权限一定要分清楚,能只读就只读,能限制目录就限制目录,别给人家太大权力。
对了,顺便说一句,香港云服务器的ftp账号有时候还会遇到奇葩问题。比如有的服务商,ftp端口默认不是21,得自己去面板里查,有的还得开防火墙规则,不然根本连不上。还有一次,我在用FileZilla连香港云服务器,死活连不上,后来才发现是被本地运营商给墙了,得用香港的代理才行。说起来,这事儿我还专门查过,Stack Overflow上有个老哥说,香港云服务器的ftp账号经常被国内的GFW误伤,尤其是用移动宽带的,真是服了(Stack Overflow, 2022)。
其实我有时候也在想,ftp账号这事儿,真有必要吗?现在都啥年代了,谁还用ftp传文件啊,明明有那么多更安全的办法,比如sftp、webdav、oss直传啥的。但客户要用,咱也只能认了。说白了,ftp账号就是个妥协产物,安全和方便之间的拉扯,谁也说不清到底该怎么选。有人说ftp账号就像老旧的钥匙,能开门但容易丢,丢了就麻烦大了。我觉得挺形象的。
对了,差点忘了,有一次我还遇到过ftp账号被盗用的事儿。那天服务器突然流量暴增,查了半天才发现是ftp账号被人扫到了,上传了一堆垃圾文件,差点被服务商封号。后来我才知道,ftp账号密码一定不能用弱口令,什么123456、password这种,分分钟被撞开。其实我也说不准,ftp账号到底还能撑多久,反正现在每次给客户开账号,我都得多加几道防线,能多麻烦点就多麻烦点,安全第一,谁让咱是干这行的呢。
说到这儿,我突然想起来,前几天在公司茶水间还和同事聊过这事儿,他说:“ftp账号这玩意儿,迟早得淘汰,等哪天客户都用上sftp了,咱就省心了。”我当时还笑他太乐观,客户的习惯哪有那么容易改啊。你说,这事是不是挺扯的?哈哈。
0 留言