今天想跟大家唠唠怎么让IIS的FTP站点更安全，都是上次服务器差点被当成肉鸡的血泪教训。当时折腾了大半夜，差点把裤衩都输没了，赶紧把踩的坑记下来。

起手先搞专用账号

上来就在服务器本地用户组里单独搞了个ftpuser账号，没给管理员权限那种。可不敢用管理员账号跑FTP，贼特么刺激，上次隔壁部门的老王就这么干的，结果密码被人当辣条啃了。

• 密码设得贼复杂：大小写+符号+数字整了18位，比银行卡密码还长
• 登录限制卡死：组策略里锁了远程桌面权限，这账号只能用来传文件

给文件上笼子

在D盘新建了个ftp_root文件夹当站点根目录，重点来了：右键属性-安全选项卡里把刚刚创建的ftpuser拖进来，权限只勾选“读取”和“写入”。执行权限？删文件权限？想都别想！

完事儿还做了两件事：

• 关闭继承权限：咔哒点掉那个继承按钮，防止其他账号瞎溜达
• 删光Everyone权限：看见那个所有人组直接删掉，看着就晦气

防火墙放狗守门

本来开的是21端口，结果扫端口工具一查跟裸奔似的。立马切到被动模式，在IIS站点绑定里把数据通道端口范围锁死在5000-5010。再到防火墙高级设置里吭哧吭哧加规则：

• 入站规则就开21端口
• 数据端口5000-5010单独放行
• 其他端口全给我红叉

整个加密通道

最骚的操作来了：在服务器管理器里把“FTP SSL设置”给开了，从证书库随便拖了个自签名证书挂上。虽然浏览器总跳警告看得人眼晕，但强制要求SSL加密连接之后，用Wireshark抓包终于看不见明码密码了。

本来以为搞定了，结果被运维部的二狗子嘲讽：“你这跟关大门留狗洞有啥区别？”仔细一想，回头又把用户隔离模式改成“用用户名隔离在根目录”。这下每个用户登陆都被自动关进以自己用户名命名的独立牢房，终于不用怕用户乱串门删系统文件了。

搞完这一套天都亮了，测试时手抖输错三次密码，那个ftpuser账号果然被系统自动冻住——这才算勉强安心。现在想想都后背发凉，上回要不是运气估计得跟老板表演天台跳水。