图文并茂地详细介绍FTP服务器安全设置.doc

Serv-U 安全设置攻略 ?????本文均为本人亲自测试，保证在纯净的windows?server?2003?100%?调试成功，如果有调试不成功的，请详细检查软件环境与相关的权限设置。一、serv-u安全隐患及利用。二、serv-u安装及安全设置详解。三、serv-u相关的模式与防火墙设置。四、关于serv-u的Banner及登录消息的设置。hV芠
x1\諲ê侎]鍂S?徭H朾k?Ccedil;廤?e?????Serv-U是一款十分经典的FTP服务器软件，一直被大部分管理员和虚拟主机所使用，它简单的安装和配置以及强大的管理功能也一直被管理员们称颂。但是随着使用者越来越多，也有越来越多的主机被通过Serv-U软件所入侵。枾e?本文旨在提出一些切实可行的方法，彻底杜绝由Serv-u带来的安全隐患。1、Serv-u的安装：hV芠軴を?关于Serv-u的安装安装在一个复杂的路径，个人认为这个十分必要，例如：D:\soft\Serv-u目录里。但是不推荐安装在系统盘目录里，也不推荐安装在c:\Program?files目录里,因为这个目录的权限的原因（详细权限设置以后再发文专门讨论）。推荐的方式是无需安装，直接使用绿色版的或直接复制在其他机器上安装好的Serv-U的目录。serv-u的用户配置文件有两种方式，一种是存放在注册表，一种是存放在ServUDaemon.ini文件，推荐使用存放在.ini文件里面的方式，这种方式便于ser-u软件的升级，也便于重装系统后的ftp用户的恢复，在权限设置上也相对方便。另外版本的选择一定要选择6.3版本以上的，现在必威体育精装版的是??，推荐使用，这里我们假设serv-u软件放在的的D:\soft\Serv-U目录里。hV芠
x1\諲ê侎]鍂S?剉1\/f{_昢2朾k?Ccedil;廤?e2、权限设置：????给serv-u单独的用户权限运行。在计算机管理中新增帐户ftp，设置用户不能更改密码，密码永不过期，并设置一个复杂的密码，更改ftp用户隶属于Guests组（默认是USERS组），当然也可以设置为不属于任何组。?????启动serv-u（这时是使用默认的system权限运行的），选择本地服务器，自动开始，将serv-u设置为系统服务，这样服务器在每次重启时serv-u就会自动启动，这里我们主要利用其可以在服务中配置给serv-u单独用户。????设置D:\soft\Serv-U目录的权限为只保留administrators，ftp两个用户的权限，权限都是完全控制即可，并替换到所有子目录。”读取和运行、列出文件夹和目录、读取”这3个权限就够了）枾e ????在计算机管理中找到服务，找到Serv-U?FTP?服务器，右键属性，在登录选项卡中将登录身份从本地系统帐户改为此帐户，帐户选择ftp，并输入设置好的密码。确定后会提示将在服务重启后生效，接着点右键，重新启动，如果启动成功，你的serv-u就在低权限下运行了。??????上传目录权限的设置：因为serv-u是用ftp这个帐户运行的，所以上传的目录给予ftp用户的完全访问权限就可以了，比如我们可以设置D、E、F盘的权限为administrators和ftp完全控制的权限System权限也不用加了，如果serv-u用默认权限运行，则必须加入system权限才能对该目录进行ftp操作。3、安全隐患及利用?项???}廤?e????Serv-u在本机有一个默认监听端口，默认监听:43958,在本机才能连接这个管理端口,默认管理账号是LocalAdministrator,默认密码是#l@$ak#.lk;0@P，这个密码是固定的。所以几乎所有的针对serv-u攻击的木马便是利用此来添加serv-u用户的，比如增加一个指向C盘的超级管理员用户，够可怕吧。 ????????比如俺一个朋友就喜欢用SQLDebugger?、SUPPORT_XXX等这样的帐户克隆出管理员帐户，查看属性又看不出来，很容易逃脱管理员的眼睛。枾e剉9eyu E?g???????如何彻底解决这个安全隐患，有个最简单的方法就是给serv-u设置一个本地管理密码，也就是所有增加删除修改serv-u的用户及更改设置的操作，都需要经过本地密码验证。??????可能有的管理员认为服务器密码就他自己知道，别人上不去，更何况增加serv-u帐户了，所以就不设置密码，认为这完全是多此一举，这就大错特错了。?????这里再介绍另一种解决问题的方法，结合上面的设置本地管理密码可以让我们的Serv-u更安全。就是修改serv-u的默认管理帐号和密码，这里我们用到了UltraEdit-32这个软件。邳偏?ù?7檁+踍蛙駊^?这