serv-u安全配置完整版

2019-11-02 15:59:39

字體：大中小

供稿：網(wǎng)友

一、serv-u安全隱患及利用。

二、serv-u安裝及安全設(shè)置詳解。

三、serv-u相關(guān)的模式與防火墻設(shè)置。

四、關(guān)于serv-u的Banner及登錄消息的設(shè)置。

　　 Serv-U是一款十分經(jīng)典的FTP服務(wù)器軟件，一直被大部分管理員和虛擬主機(jī)所使用，它簡單的安裝和配置以及強(qiáng)大的管理功能也一直被管理員們稱頌。但是隨著使用者越來越多，也有越來越多的主機(jī)被通過Serv-U軟件所入侵。

　　本文旨在提出一些切實可行的方法，徹底杜絕由Serv-u帶來的安全隱患。

　　1、Serv-u的安裝：

　　關(guān)于Serv-u的安裝網(wǎng)上許多文章中提到要安裝在一個復(fù)雜的路徑，個人認(rèn)為這個不是十分必要，完全可以按照你喜歡的例如：D:/soft/Serv-u目錄里。但是不推薦安裝在系統(tǒng)盤目錄里，也不推薦安裝在c:/Program files目錄里,因為這個目錄的權(quán)限的原因（詳細(xì)權(quán)限設(shè)置以后再發(fā)文專門討論）。推薦的方式是無需安裝，直接使用綠色版的或直接復(fù)制在其他機(jī)器上安裝好的Serv-U的目錄。serv-u的用戶配置文件有兩種方式，一種是存放在注冊表，一種是存放在ServUDaemon.ini文件，推薦使用存放在.ini文件里面的方式，這種方式便于ser-u軟件的升級，也便于重裝系統(tǒng)后的ftp用戶的恢復(fù)，在權(quán)限設(shè)置上也相對方便。另外版本的選擇一定要選擇6.3版本以上的，現(xiàn)在最新的是 6.4.0.6 ，推薦使用，這里我們假設(shè)serv-u軟件放在的的D:/soft/Serv-U目錄里。

　　2、權(quán)限設(shè)置：

　　給serv-u單獨的用戶權(quán)限運行。在計算機(jī)管理中新增帳戶ftp，設(shè)置用戶不能更改密碼，密碼用不過期，并設(shè)置一個復(fù)雜的密碼，更改ftp用戶隸屬于Guests組（默認(rèn)是USERS組），當(dāng)然也可以設(shè)置為不屬于任何組。

　　啟動serv-u（這時是使用默認(rèn)的system權(quán)限運行的），選擇本地服務(wù)器，自動開始，將serv-u設(shè)置為系統(tǒng)服務(wù)，這樣服務(wù)器在每次重啟時serv-u就會自動啟動，這里我們主要利用其可以在服務(wù)中配置給serv-u單獨用戶。

　　設(shè)置D:/soft/Serv-U目錄的權(quán)限為只保留administrators，ftp兩個用戶的權(quán)限，權(quán)限都是完全控制即可，并替換到所有子目錄。

　　在計算機(jī)管理中找到服務(wù)，找到Serv-U FTP 服務(wù)器，右鍵屬性，在登錄選項卡中將登錄身份從本地系統(tǒng)帳戶改為此帳戶，帳戶選擇ftp，并輸入設(shè)置好的密碼。確定后會提示將在服務(wù)重啟后生效，接著點右鍵，重新啟動，如果啟動成功，你的serv-u就在低權(quán)限下運行了。

　　上傳目錄權(quán)限的設(shè)置：因為serv-u是用ftp這個帳戶運行的，所以上傳的目錄給予ftp用戶的完全訪問權(quán)限就可以了，比如我們可以設(shè)置D、E、F盤的權(quán)限為administrators和ftp完全控制的權(quán)限，System權(quán)限也不用加了，如果serv-u用默認(rèn)權(quán)限運行，則必須加入system權(quán)限才能對該目錄進(jìn)行ftp操作。

　　3、安全隱患及利用

　　 Serv-u在本機(jī)有一個默認(rèn)監(jiān)聽端口，默認(rèn)監(jiān)聽127.0.0.1:43958,在本機(jī)才能連接這個管理端口,默認(rèn)管理賬號是LocalAdministrator,默認(rèn)密碼是"#l@$ak#.lk;0@P"，這個密碼是固定的。所以幾乎所有的針對serv-u攻擊的木馬便是利用此來添加serv-u用戶的，比如增加一個指向C盤的超級管理員用戶，夠可怕吧。

　　這里我們用一個常用的ASP木馬中舉例說明：（serv-u提權(quán)超強(qiáng)版）

　　提權(quán)后可以直接執(zhí)行命令添加管理員帳戶，并且加了個隱藏的管理員帳戶（當(dāng)然這個帳戶隱藏方式比較低級）如果成功了，用這個帳戶遠(yuǎn)程登錄上去創(chuàng)建一個克隆的管理員帳戶，再把這個刪掉）。管理員如果連serv-u安全都做不很好的，對于隱藏度很高的克隆的帳號也不一定能發(fā)現(xiàn)，所以Serv-U的安全不容忽視。

上一篇：Rsync命令參數(shù)詳解

下一篇：在IIS 7中配置PHP運行環(huán)境簡單步驟[圖文教程]