WIN2003服務器安全配置終極技巧(2)

2024-09-10 00:03:03

字體：大中小

來源：轉載

供稿：網友

這里我們按照所需要的服務開放響應的端口。在2003系統里，不推薦用TCP/IP篩選里的端口過濾功能，譬如在使用Ftp服務器的時候，如果僅僅只開放21端口，由于FTP協議的特殊性，在進行FTP傳輸的時候，由于FTP 特有的Port模式和Passive模式，在進行數據傳輸的時候，需要動態的打開高端口，所以在使用TCP/IP過濾的情況下，經常會出現連接上后無法列出目錄和數據傳輸的問題。所以在2003系統上增加的windows連接防火墻能很好的解決這個問題，所以都不推薦使用網卡的TCP/IP過濾功能。

SERV-U FTP 服務器的設置：

一般來說，不推薦使用srev-u做ftp服務器，主要是漏洞出現的太頻繁了，但是也正是因為其操作簡單，功能強大，過于流行，關注的人也多，才被發掘出bug來，換做其他的Ftp服務器軟件也一樣不見得安全到哪兒去。

當然，這里也有款功能跟serv-u同樣強大，比較安全的ftp軟件：Ability FTP Server

下載地址：http://www.315safe.com/showarticle.asp?NewsID=4096

設置也很簡單，不過我們這里還是要迎合大眾胃口，說說關于serv-u的安全設置。

首先，6.0比從前5.x版本的多了個修改本地LocalAdministrtaor的密碼功能，其實在5.x版本里可以用ultraedit-32等編輯器修改serv-u程序體進行修改密碼端口，6.0修補了這個隱患，單獨拿出來方便了大家。不過修改了管理密碼的serv-u是一樣有安全隱患的，兩個月前臭要飯的就寫了新的采用本地sniff方法獲取serv-u的管理密碼的exploit，正在網上火賣著，不過這種sniff的方法，同樣是在獲得webshell的條件后還得有個能在目錄里有"執行"的權限，并且需要管理員再次登陸運行serv-u administrator的時候才能成功。所以我們的管理員要盡量避上以上幾點因素，也是可以防護的。

另外serv-u的幾點常規安全需要設置下：
選中"Block "FTP_bounce"attack and FXP"。什么是FXP呢？通常，當使用FTP協議進行文件傳輸時，客戶端首先向FTP服務器發出一個"PORT"命令，該命令中包含此用戶的IP地址和將被用來進行數據傳輸的端口號，服務器收到后，利用命令所提供的用戶地址信息建立與用戶的連接。大多數情況下，上述過程不會出現任何問題，但當客戶端是一名惡意用戶時，可能會通過在PORT命令中加入特定的地址信息，使FTP服務器與其它非客戶端的機器建立連接。雖然這名惡意用戶可能本身無權直接訪問某一特定機器，但是如果FTP服務器有權訪問該機器的話，那么惡意用戶就可以通過Ftp服務器作為中介，仍然能夠最終實現與目標服務器的連接。這就是FXP，也稱跨服務器攻擊。選中后就可以防止發生此種情況。