serv-u安全配置完整版
2024-07-09 22:41:15
供稿:網友
一����、serv-u安全隱患及利用����。
二、serv-u安裝及安全設置詳解����。
三�����、serv-u相關的模式與防火墻設置����。
四����、關于serv-u的Banner及登錄消息的設置。
Serv-U是一款十分經典的FTP服務器軟件�����,一直被大部分管理員和虛擬主機所使用����,它簡單的安裝和配置以及強大的管理功能也一直被管理員們稱頌。但是隨著使用者越來越多�����,也有越來越多的主機被通過Serv-U軟件所入侵�����。
本文旨在提出一些切實可行的方法,徹底杜絕由Serv-u帶來的安全隱患�����。
1����、Serv-u的安裝:
關于Serv-u的安裝網上許多文章中提到要安裝在一個復雜的路徑��,個人認為這個不是十分必要����,完全可以按照你喜歡的例如:D:/soft/Serv-u目錄里。但是不推薦安裝在系統盤目錄里��,也不推薦安裝在c:/Program files目錄里,因為這個目錄的權限的原因(詳細權限設置以后再發文專門討論)�����。推薦的方式是無需安裝����,直接使用綠色版的或直接復制在其他機器上安裝好的Serv-U的目錄。serv-u的用戶配置文件有兩種方式�����,一種是存放在注冊表,一種是存放在ServUDaemon.ini文件��,推薦使用存放在.ini文件里面的方式��,這種方式便于ser-u軟件的升級����,也便于重裝系統后的ftp用戶的恢復,在權限設置上也相對方便�����。另外版本的選擇一定要選擇6.3版本以上的����,現在最新的是 6.4.0.6 ,推薦使用����,這里我們假設serv-u軟件放在的的D:/soft/Serv-U目錄里。
2��、權限設置:
給serv-u單獨的用戶權限運行。在計算機管理中新增帳戶ftp����,設置用戶不能更改密碼,密碼用不過期��,并設置一個復雜的密碼����,更改ftp用戶隸屬于Guests組(默認是USERS組),當然也可以設置為不屬于任何組��。
啟動serv-u(這時是使用默認的system權限運行的)��,選擇本地服務器��,自動開始�����,將serv-u設置為系統服務����,這樣服務器在每次重啟時serv-u就會自動啟動����,這里我們主要利用其可以在服務中配置給serv-u單獨用戶�����。
設置D:/soft/Serv-U目錄的權限為只保留administrators�����,ftp兩個用戶的權限��,權限都是完全控制即可��,并替換到所有子目錄��。
在計算機管理中找到服務��,找到Serv-U FTP 服務器����,右鍵屬性�����,在登錄選項卡中將登錄身份從本地系統帳戶改為此帳戶��,帳戶選擇ftp,并輸入設置好的密碼��。確定后會提示將在服務重啟后生效����,接著點右鍵,重新啟動�����,如果啟動成功����,你的serv-u就在低權限下運行了。
上傳目錄權限的設置:因為serv-u是用ftp這個帳戶運行的����,所以上傳的目錄給予ftp用戶的完全訪問權限就可以了��,比如我們可以設置D�����、E�����、F盤的權限為administrators和ftp完全控制的權限,System權限也不用加了�����,如果serv-u用默認權限運行�����,則必須加入system權限才能對該目錄進行ftp操作����。
3、安全隱患及利用
Serv-u在本機有一個默認監聽端口��,默認監聽127.0.0.1:43958,在本機才能連接這個管理端口,默認管理賬號是LocalAdministrator,默認密碼是"#l@$ak#.lk;0@P"�����,這個密碼是固定的����。所以幾乎所有的針對serv-u攻擊的木馬便是利用此來添加serv-u用戶的,比如增加一個指向C盤的超級管理員用戶�����,夠可怕吧。
這里我們用一個常用的ASP木馬中舉例說明:(serv-u提權超強版)
提權后可以直接執行命令添加管理員帳戶�����,并且加了個隱藏的管理員帳戶(當然這個帳戶隱藏方式比較低級)如果成功了�����,用這個帳戶遠程登錄上去創建一個克隆的管理員帳戶����,再把這個刪掉)。管理員如果連serv-u安全都做不很好的�����,對于隱藏度很高的克隆的帳號也不一定能發現�����,所以Serv-U的安全不容忽視����。
比如俺一個朋友就喜歡用SQLDebugger 、SUPPORT_XXX等這樣的帳戶克隆出管理員帳戶�����,查看屬性又看不出來����,很容易逃脫管理員的眼睛。
