SERV-U FTP安全设置

SERV-U FTP安全设置

    SERV_U的安全与否直接影响到服务器的安全,目前黑客攻击服务器,大多会通过SERV_U来实现提权,以至一些网管都认为SERV_U是个很不安全的FTP软件。其实不然。现把本人对SERV_U的应用中得到的一点小经验写出来与大家一起相互学习。

1、更改FTP服务启动帐户。

    我们在系统服务中可以看到”Serv-U FTP 服务器”默认是用”本地系统帐户”来启动服务的。这意味着系统采用了权限相当于ADMINISTRATORS权限的SYSTEM来启动SERV_U服务。也就是说,任何一个FTP用户登录后,对服务器系统而言它所拥有的权限就是system权限。尽管SERV-U对该用户的空间进行过权限设置,但那尽尽是SERV-U中的限制,只在上传下载文件时发挥作用,而FTP用户在系统上的权限就是SYSTEM权限,SYSTEM对系统任何空间都有读、写、甚至执行权限,这样很容易被黑客利用来得到提权。

    建一个系统用户,默认它属于USERS组,请从该组中删除该用户,然后把该用户加到guests组。这样该用户就是系统中最小权限的用户。

    在服务中把”Serv-U FTP 服务器”的登录用户改为该用户。然后重启SERV-U服务。另外,SERV-U的安装目录要允许该启动帐户读、写、执行的权限(无需完全控制权限)。否则服务会启动不了。还有,IIS的匿名用户对SERV-U目录绝对不允许有执行权限,以免ASP木马通过WEB方式提权。

2、修改默认端口43958,该端口供SEV-U管理员连接SERV-U服务使用。所以该端口只对127.0.0.1 服务,并不对外服务。改这个端口的意义是因为目前有个U.EXE提权软件默认”假设SERV-U采用43958的端口以及空密码”这样的配置开发的。所以我们改了这个端口以后,该软件就无法运行了。方法是修改SERV-U安装目录中的ServUDaemon.ini文件,在[Global]中添加一行 localsetupportno=12345,这样就把默认的43958改为12345端口了。

3、给SERV-U配置管理登录密码。原理同2.

4、SERV-U的安装时,尽可能把安装目录的名字命名的特殊一点,不让黑客猜到我们的安装目录。

5、FTP空间的权限配置,只允许ADMINISTRATORS有完全控制,允许FTP服务启动帐户有读、写的权限,一定不能有执行的权限。其它用户的权限都删除。至于每个FTP用户对FTP空间的读写权限则在SERV-U中进行配置。

    这是我多年使用SERV-U的心得,目前没有发现被黑被利用的现象。不足之处请朋友补充。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据