SERV-U安全设置图文教程

作为一款精典的FTP服务器软件,SERV-U一直被大部分管理员所使用,它简单的安装和配置以及强大的管理功能的人性化也一直被管理员们称颂。但是随着使用者越来越多,该软件的安全问题也逐渐显露出来。

首先是SERV-U的SITE CHMOD漏洞和Serv-U MDTM漏洞,即利用一个账号可以轻易的得到SYSTEM权限。其次是Serv-u的本地溢出漏洞,即Serv-U有一个默认的管理用户(用户名: localadministrator,密码:#|@$ak#.|k;0@p),任何人只要通过一个能访问本地端口43958的账号就可以随意增删账号和执行任意内部和外部命令。

此时,人们才开始重视起SERV-U的安全来,并采取了一些相关措施,如修改SERV-U的管理端口、账号和密码等。但是,修改后的内容还是保留在ServUDaemon.exe文件里,因此下载后用如UltraEdit之类的16进制编辑软件就可以很轻易的获取到修改后的端口、账号和密码。

从SERV-U6.0.0.2开始,该软件有了登录密码功能,这样如果加了管理密码,并且设置比较妥善的话,SERV-U将会比原来安全的多。现在我们就开始SERV-U的设置之旅,采用版本是SERV-U 6.0.0.2。

古语有云,千尺之台始于垒土,设置SERV-U的安全就从安装开始。这篇文章主要是写SERV-U的安全设置,所以不会花费太多的功夫来介绍安装,只说一下要点。

SERV -U默认是安装在C:/Program Files/Serv-U目录下的,我们最好做一下变动。例如改为:D:/u89327850mx8utu432X$ UY32x211936890co7v23x1t3(图1)这样的路径,如果安装盘符WEB用户不能浏览的话,他便很难猜到安装的路径。当然,安装后会在桌面和开始菜单上生成快捷方式,建议删除,因为一般不会使用到它。可能你要问了,那应该怎样进入SERV-U的设置界面呢?其实很简单,双击下右角任务栏里的Tray Monitor小图标来启动SERV-U的管理界面。


图1:修改安装的目录

安装的时候只选前2项就可以了,后面的2个是说明和在线帮助文件。(见图2)


图2:安装时候只需要选择前2项

下图是生成的开始菜单组里的文件夹的名字,建议更改成比较不像SERV-U的名字,或者是删除该文件夹。(见图3)


图3:更改安装后生成开始菜单组里文件夹的名字

安装完成后会出现一个向导让你建立一个域和账号。在这里点Cancel取消向导。用向导生成的账号会带来一些问题,所以下面采用手工方式建立域和账号。(见图4)


图4:点Cancel取消向导

然后点选Start automatically(system service)前面的选项,接着点下边的Start Server按钮把SERV-U加入系统服务,这样就可以随系统启动了,不用每次都手工启动。(见图5)

图5:把SERV-U加入服务

接下来就会出现如图6的界面。通过点击Set/Change Password设置一个密码。


图6:点击Set/Change Password设置密码

然后会出现如图7的界面。因为是第一次使用,所以是没有密码的,也就是说原来的密码为空。不用在 old password里输入字符,直接在下面的New password和Repeat new password里输入同样的密码再点OK就可以了。这里建议设置一个足够复杂的密码,以防止别人暴力破解。自己记不得也没有关系,只要把 ServUDaemon.ini里的LocalSetupPassword=这一行清除并保存,再次运行ServUAdmin.exe就不会提示你输入密码登录了。

图7:设置和更改密码界面

下面就到了该对SERV-U进行安全设置的时候了。首先建立一个WINDOWS账号SSERVU,密码也需要足够的复杂。密码要记住,如果记不住就暂时保存在一个文件里,一会儿还要用到。(见图8)

图8:建立一个WINDOWS账号

建好账号以后,双击建好的用户编辑用户属性,从“隶属于”里删除USERS组。


图9:从隶属于里删除USERS组

从“终端服务配置文件”选项里取消“允许登录到终端服务器(W)”的选择,然后点击确定继续我们的设置。(见图10)


图10:取消“允许登录到终端服务器”

这里我们已经建好了账号,该设置服务里的账号了。现在就要用到刚才建立的这个账号,密码还没有忘记吧,马上就要用到了。

在开始菜单的管理工具里找到“服务”点击打开。在“Serv-U FTP Server服务”上点右键,选择属性继续。

然后点击“登录”进入登录账号选择界面。选择刚才建立的系统账号名,并在下面重复输入2次该账号的密码(就是刚才让你记住的那个),然后点“应用”,再次点确定,完成服务的设置。(见图11)


图11:更改启动和登录SRV-U的账号密码

接下来要先使用FTP管理工具建立一个域,再建立一个账号,建好后选择保存在注册表。(见图12)


图12:FTP用户密码保存到注册表里

打开注册表来测试相应的权限,否则SERV-U是没办法启动的。在开始->运行里输入regedt32点“确定”继续。

找到[HKEY_LOCAL_MACHINE/SOFTWARE/Cat Soft]分支。在上面点右键,选择权限,然后点高级,取消允许父项的继承权限传播到该对象和所有子对象,包括那些在此明确定义的项目,点击“应用”继续,接着删除所有的账号。再次点击“确定”按钮继续。这时会弹出对话框显示“您拒绝了所有用户访问Cat Soft。没有人能访问 Cat Soft,而且只有所有者才能更改权限。您要继续吗?”,点击“是”继续。接着点击添加按钮增加我们建立的SSERVU账号到该子键的权限列表里,并给予完全控制权限。到这里注册表已经设置完了。但还不能重新启动SERV-U,因为安装目录还没设置。

现在就来设置一下,只保留你的管理账号和SSERVU账号,并给予除了完全控制外的所有权限。(见图13)


图13:SERV-U安装目录权限设置

现在,在服务里重启Serv-U FTP Server服务就可以正常启动了。当然,到这里还没有完全设置完,你的FTP用户因为没有权限还是登录不了的,所以还要设置一下目录的权限。

假设你有一个WEB目录,路径是d:/web。那么在这个目录的“安全设定”里除了管理员和IIS用户都删除掉,再加入SSERVU账号,切记SYSTEM 账号也删除掉。为什么要这样设置呢?因为现在已经是用SSERVU账号启动的SERV-U,而不是用SYSTEM权限启动的了,所以访问目录不再是用 SYSTEM而是用SSERVU,此时SYSTEM已经没有用了,这样就算真的溢出也不可能得到SYSTEM权限。另外,WEB目录所在盘的根目录还要设置允许SSERV-U账号的浏览和读取权限,并确认在高级里设置只有该文件夹。(见图14)


图14:WEB目录所在盘的权限设置

至此,设置全部结束。现在的SERV-U设置是配合IIS设置的,因为和IIS使用不同的账号, WEB用户就不可能访问SERV-U的目录,并且WEB目录没有给予SYSTEM权限,所以SYSTEM账号也同样访问不了WEB目录,也就是说,即使使用MSSQL得到备份的权限也不能备份SHELL到你的WEB目录。你可以安全的使用SERV-U了。

注:本文首发于赛迪网,转载请注明。

(0)

相关推荐

  • 架设自己的FTP服务器 Serv-U详细配置图文教程[推荐]

    所有不是很要求安全的情况下是可以用serv_U的,当然我们也可以通过一些设置,保证serv_u安全运行.这里就分享下serv_u的安装方法,也分享姐不错的ftp服务器软件给大家. Serv-U FTP Server v6.4.0.6 汉化特别版(使用最广泛的FTP服务器) FTP服务器 FileZilla Server 绿色汉化版首先:Serv-U设置匿名登录帐户的操作是非常简单的 其次:匿名 的英文是:Anonymous 最后:在Serv-U的现有域里新建一个帐户名为Anonymous的用户,

  • Serv-U使用教程与设置教程(Serv-U个性化参数)

    Serv-U使用教程之1.安装Serv-U Serv-U的安装相当简单,你只需双击下载来的安装文件文件,按照提示一路点击"NEXT"按钮即可轻松完成. 注意:在选择安装目录时,最好选择安装在一个非系统盘里,以免将来系统发生异常时还要重新进行账号等的设置. Serv-U使用教程之2.设置Serv-U Serv-U在第一次运行时会以向导的方式一步一步地提示用户进行设置.下面,我们分别加以说明: "您的IP地址":如果你采用的是ADSL等方式拨号上网,拥有的是动态IP或者

  • Serv-U ftp服务器 Server 设置详细说明

    以 Serv-U FTP Server 6.1.0.5 final [最新版]为例,这里建议使用汉化版本 s.jb51.net(承接服务器安全设置) 安装原版至D:\Serv-U_3434999fdaf [复杂无规则的目录名可有效防止黑客的猜解] 尔后退出Serv-U,安装汉化包. 运行SERV-U管理器 IP地址可为空.安装为系统服务 设置密码防止溢出 PASV设置 Serv-U管理器 > <<本地服务器>> > 设置 > 高级 PASV端口范围 这里SERV-

  • Serv-U中虚拟目录的设置方法(文字+图文)

    Serv-U虚拟目录设置文字版: 一.用Serv-U时,如果使用虚拟路径映射(虚拟目录),那么就只需设定某个文件夹为主目录,然后把想要分享文件映射到该目录下,可以有效提高利用效率,好处不言自明:不用每次把文件内容复制到主目录下.访客通过FTP就可以打开主人设定的文件资料--即使是在不同盘符下的. 要增加虚拟目录,以用户(admin)的主目录为F:\admin,想要能通过ftp://IP/admin的格式能访问到在E:\Download\中的内容,则需要为它添加虚拟目录.操作步骤如下: (1)在管

  • serv-u FTP 安全设置简单版 图文教程

    1.首先打开serv-u管理添加serv-u为系统服务,在自动开始打上勾 2.下面就到了该对SERV-U进行安全设置的时候了.首先建立一个WINDOWS账号(例如ftptest,密码设置复杂些)点击开始-所有程序-管理工具-计算机管理-本地用户和组 3.建好账号以后,双击建好的用户编辑用户属性,从"隶属于"里删除USERS组. 4.在开始菜单的管理工具里找到"服务"点击打开.在"Serv-U FTP Server服务"上点右键,选择属性继续. 然

  • Serv-U 安全设置图文教程

    先参考服务器安全设卸载最不安全的组件置. 用十六进制编辑器打开ServUDaemon.exe查找Ascii:LocalAdministrator,和#l@$ak#.lk;0@P, 修改成等长度的其它字符就可以了,ServUAdmin.exe也一样处理 另外注意设置Serv-U所在的文件夹的权限,不要让IIS匿名用户有读取的权限,否则人家下走你修改过的文件, 照样可以分析出你的管理员名和密码.Serv-U默认是以System组的身份运行的,对本机有完全操作的权限. 所以如果攻击者利用Serv-U程

  • Serv-u 10.3 的图文安装教程及使用方法

    div {font-family: 宋体;} 一.安装 *测试平台Windows XP SP3 *版本Serv-u10.3 下载最新版本的serv-u10.3执行文件安装,安装成功后开始配置serv-u. 二.配置 1.新建域(test) 点击新建域,开始域的创建. 输入域名:test和备注:我的第一个FTP服务器.执行下一步. 这里的参数保持默认,FTP端口默认为21,也可以改为其他不冲突的端口(出于安全方面考虑)执行下一步. 这里的IP地址,由于是本地测试,选择局域网内的地址192.168.

  • SERV-U安全设置图文教程

    作为一款精典的FTP服务器软件,SERV-U一直被大部分管理员所使用,它简单的安装和配置以及强大的管理功能的人性化也一直被管理员们称颂.但是随着使用者越来越多,该软件的安全问题也逐渐显露出来. 首先是SERV-U的SITE CHMOD漏洞和Serv-U MDTM漏洞,即利用一个账号可以轻易的得到SYSTEM权限.其次是Serv-u的本地溢出漏洞,即Serv-U有一个默认的管理用户(用户名: localadministrator,密码:#|@$ak#.|k;0@p),任何人只要通过一个能访问本地端

  • Android Studio 1.2版安装设置图文教程

    这两天Google更新了Android Studio 1.2正式版,新版本的设置界面大变面,设置条目较旧版本进行了归类,不像以前那样列表长长的了. 趁着安装新版本的机会,把常用的设置记录一下,放到博客里面,以作备忘. 下载 正式版的Android Studio和SDK可以在下面的链接进行下载 http://developer.android.com/sdk/index.html 关于下载,我建议下载绿色版的Android Studio和SDK,别下安装包版捆绑版的,这样如果有哪个出了问题要重装,

  • Sql server 2008 express远程登录实例设置 图文教程

    打开SQL Server 配置管理器 确保TCP/IP已经启用 2.查看属性,有的可能设置为1433 我的机器没有设置过,是这样: 端口号为2104,你也可以自己设置一个数值较大的端口号,设置完后重新启动SQL SERVER,其它不用重启 配置防火墙的"高级设置 ",将C:\Program Files\Microsoft SQL Server\MSSQL10.SQLEXPRESS\MSSQL\Binn\sqlservr.exe,"新建规则"到"入站规则&q

  • MSSQL 2005 安全设置图文教程

    1.安装MSSQL时使用混合模式,当然SA密码最好不能为空,在SQL2005中,可以对SA这个超级用户名进行修改或删除.use masterALTER LOGIN [sa] WITH NAME=[zxs] /*修改SA帐号*/sp_password '111111','123456','sa' /*修改SA密码*/使用以上命令可修改SA帐号,也可进行图形化的修改使用安全的帐号策略.对SA或等同用户进行最强的保护,当然,包括使用一个非常强壮的密码,如下图 这里可以看到SQL 2005比SQL 20

  • win2003 服务器安全设置图文教程

    Windows 2003 服务器安全设置 一.先关闭不需要的端口 我比较小心,先关了端口.只开了3389.21.80.1433,有些人一直说什么默认的3389不安全,对此我不否认,但是利用的途径也只能一个一个的穷举爆破,你把帐号改了密码设置为十五六位,我估计他要破上好几年,哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上,然后添加你需要的端口即可.PS一句:设置完端口需要重新启动! 当然大家也可以更改远程连接端口方法:

  • win2008 r2 服务器安全设置之安全狗设置图文教程

    服务器安全狗,作为国内首款支持Windows全系列操作系统(Windows2003/Windows2008(32 位.64 位)/Windows2012)的基于内核级的服务器安全防护软件,采用 NDIS 中间层驱动模式,实现从驱动层直接屏蔽攻击,将针对服务器的攻击带来的损失降低到最小,最大程度地保护用户服务器的安全. 功能涵盖了服务器系统优化(包括服务器漏洞补丁修复等).服务器程序守护.远程桌面监控.文件目录守护.系统帐号监控.DDOS 防火墙.ARP 防火墙.Web 防火墙.安全策略设置以及邮

  • Windows 2003 服务器安全设置图文教程

    一.系统的安装 1.按照Windows2003安装光盘的提示安装,默认情况下2003没有把IIS6.0安装在系统里面. 2.IIS6.0的安装 开始菜单->控制面板->添加或删除程序->添加/删除Windows组件 应用程序 ---ASP.NET(可选) |--启用网络 COM+ 访问(必选) |--Internet 信息服务(IIS)---Internet 信息服务管理器(必选) |--公用文件(必选) |--万维网服务---Active Server pages(必选) |--Int

  • Win2003+ASP.NET虚拟主机安全设置图文教程

    在这里,我们的站点目录放在D盘的www文件夹,假设现在有一个名叫fesend的虚拟主机用户,我们在www文件夹下建立 fesend 的文件夹来存放此用户的站点数据 其中要用到以下组及帐号: IIS_WPG 组(也称为 IIS 工作进程组,IIS Worker Process Group) Guests组 (来宾组,在系统中拥有最少的权限) Internet 来宾帐户 (匿名访问 Internet 信息服务的内置帐户) 启动 IIS 进程帐户 (用于启动进程外应用程序的 Internet 信息服务

  • MySQL安全设置图文教程

    复制代码 代码如下: 解压mysql到d:\mysql,编辑my.ini [mysqld] port=3306 basedir="D:/mysql/" datadir="D:/mysql/Data/" tmpdir="d:/mysql/tmp/" default-character-set=utf8 default-storage-engine=MYISAM skip-bdb skip-innodb skip-locking key_buffer

  • Win2003服务器安装及设置教程 MySQL安全设置图文教程

    为什么要将MySQL数据库必须运行在"普通用户"的状态下呢?与MSSQL SERVER一样,因为如果使用了"超级管理员"或者"本地系统用户"来运行"MySQL数据库",就会被黑客利用,利用SYSTEM用户权限入侵服务器.因此,为了服务器安全,务必将MySQL运行在"普通用户"的状态下.同时,要对硬盘的权限做好对应的权限设置MySQL才能正常运行. 建立普通用户:单击"开始"-"

随机推荐