【IT168 伺服器學院】作為一款精典的FTP伺服器軟體,SERV-U一直被大部分管理者所使用,它簡單的安裝和配置以及強大的管理功能的人性化也一直被管理者們稱頌。但是随着使用者越來越多,該軟體的安全問題也逐漸顯露出來。
首先是SERV-U的SITE CHMOD漏洞和Serv-U MDTM漏洞,即利用一個賬号可以輕易的得到SYSTEM權限。其次是Serv-u的本地溢出漏洞,即Serv-U有一個預設的管理使用者(使用者名:localadministrator,密碼:# @$ak#. k;0@p),任何人隻要通過一個能通路本地端口43958的賬号就可以随意增删賬号和執行任意内部和外部指令。
此時,人們才開始重視起SERV-U的安全來,并采取了一些相關措施,如修改SERV-U的管理端口、賬号和密碼等。但是,修改後的内容還是保留在ServUDaemon.exe檔案裡,是以下載下傳後用如UltraEdit之類的16進制編輯軟體就可以很輕易的擷取到修改後的端口、賬号和密碼。
從SERV-U6.0.0.2開始,該軟體有了登入密碼功能,這樣如果加了管理密碼,并且設定比較妥善的話,SERV-U将會比原來安全的多。現在我們就開始SERV-U的設定之旅,采用版本是SERV-U 6.0.0.2。
古語有雲,千尺之台始于壘土,設定SERV-U的安全就從安裝開始。這篇文章主要是寫SERV-U的安全設定,是以不會花費太多的功夫來介紹安裝,隻說一下要點。
SERV-U預設是安裝在C:\Program Files\Serv-U目錄下的,我們最好做一下變動。例如改為:D:\u89327850mx8utu432X$UY32x211936890co7v23x1t3(圖1)這樣的路徑,如果安裝盤符WEB使用者不能浏覽的話,他便很難猜到安裝的路徑。當然,安裝後會在桌面和開始菜單上生成快捷方式,建議删除,因為一般不會使用到它。可能你要問了,那應該怎樣進入SERV-U的設定界面呢?其實很簡單,輕按兩下下右角工作列裡的Tray Monitor小圖示來啟動SERV-U的管理界面。
 |
| 圖1:修改安裝的目錄 |
安裝的時候隻選前2項就可以了,後面的2個是說明和線上幫助檔案。(見圖2)
 |
| 圖2:安裝時候隻需要選擇前2項 |
下圖是生成的開始菜單組裡的檔案夾的名字,建議更改成比較不像SERV-U的名字,或者是删除該檔案夾。(見圖3)
| |
| 圖3:更改安裝後生成開始菜單組裡檔案夾的名字 |
安裝完成後會出現一個向導讓你建立一個域和賬号。在這裡點Cancel取消向導。用向導生成的賬号會帶來一些問題,是以下面采用手工方式建立域和賬号。(見圖4)
| |
| 圖4:點Cancel取消向導 |
然後點選Start automatically(system service)前面的選項,接着點下邊的Start Server按鈕把SERV-U加入系統服務,這樣就可以随系統啟動了,不用每次都手工啟動。(見圖5)
| |
| 圖5:把SERV-U加入服務 |
接下來就會出現如圖6的界面。通過點選Set/Change Password設定一個密碼。
| |
| 圖6:點選Set/Change Password設定密碼 |
然後會出現如圖7的界面。因為是第一次使用,是以是沒有密碼的,也就是說原來的密碼為空。不用在old password裡輸入字元,直接在下面的New password和Repeat new password裡輸入同樣的密碼再點OK就可以了。這裡建議設定一個足夠複雜的密碼,以防止别人暴力破解。自己記不得也沒有關系,隻要把ServUDaemon.ini裡的LocalSetupPassword=這一行清除并儲存,再次運作ServUAdmin.exe就不會提示你輸入密碼登入了。
| |
| 圖7:設定和更改密碼界面 |
下面就到了該對SERV-U進行安全設定的時候了。首先建立一個WINDOWS賬号SSERVU,密碼也需要足夠的複雜。密碼要記住,如果記不住就暫時儲存在一個檔案裡,一會兒還要用到。(見圖8)
| |
| 圖8:建立一個WINDOWS賬号 |
建好賬号以後,輕按兩下建好的使用者編輯使用者屬性,從“隸屬于”裡删除USERS組。
| |
| 圖9:從隸屬于裡删除USERS組 |
從“終端服務配置檔案”選項裡取消“允許登入到終端伺服器(W)”的選擇,然後點選确定繼續我們的設定。(見圖10)
| |
| 圖10:取消“允許登入到終端伺服器” |
這裡我們已經建好了賬号,該設定服務裡的賬号了。現在就要用到剛才建立的這個賬号,密碼還沒有忘記吧,馬上就要用到了。
在開始菜單的管理工具裡找到“服務”點選打開。在“Serv-U FTP Server服務”上點右鍵,選擇屬性繼續。
然後點選“登入”進入登入賬号選擇界面。選擇剛才建立的系統賬号名,并在下面重複輸入2次該賬号的密碼(就是剛才讓你記住的那個),然後點“應用”,再次點确定,完成服務的設定。(見圖11)
| |
| 圖11:更改啟動和登入SRV-U的賬号密碼 |
接下來要先使用FTP管理工具建立一個域,再建立一個賬号,建好後選擇儲存在系統資料庫。(見圖12)
| |
| 圖12:FTP使用者密碼儲存到系統資料庫裡 |
打開系統資料庫來測試相應的權限,否則SERV-U是沒辦法啟動的。在開始->運作裡輸入regedt32點“确定”繼續。
找到[HKEY_LOCAL_MACHINE\SOFTWARE\Cat Soft]分支。在上面點右鍵,選擇權限,然後點進階,取消允許父項的繼承權限傳播到該對象和所有子對象,包括那些在此明确定義的項目,點選“應用”繼續,接着删除所有的賬号。再次點選“确定”按鈕繼續。這時會彈出對話框顯示“您拒絕了所有使用者通路Cat Soft。沒有人能通路 Cat Soft,而且隻有所有者才能更改權限。您要繼續嗎?”,點選“是”繼續。接着點選添加按鈕增加我們建立的SSERVU賬号到該子鍵的權限清單裡,并給予完全控制權限。到這裡系統資料庫已經設定完了。但還不能重新啟動SERV-U,因為安裝目錄還沒設定。
現在就來設定一下,隻保留你的管理賬号和SSERVU賬号,并給予除了完全控制外的所有權限。(見圖13)
| |
| 圖13:SERV-U安裝目錄權限設定 |
現在,在服務裡重新開機Serv-U FTP Server服務就可以正常啟動了。當然,到這裡還沒有完全設定完,你的FTP使用者因為沒有權限還是登入不了的,是以還要設定一下目錄的權限。
假設你有一個WEB目錄,路徑是d:\web。那麼在這個目錄的“安全設定”裡除了管理者和IIS使用者都删除掉,再加入SSERVU賬号,切記SYSTEM賬号也删除掉。為什麼要這樣設定呢?因為現在已經是用SSERVU賬号啟動的SERV-U,而不是用SYSTEM權限啟動的了,是以通路目錄不再是用SYSTEM而是用SSERVU,此時SYSTEM已經沒有用了,這樣就算真的溢出也不可能得到SYSTEM權限。另外,WEB目錄所在盤的根目錄還要設定允許SSERV-U賬号的浏覽和讀取權限,并确認在進階裡設定隻有該檔案夾。(見圖14)
| |
| 圖14:WEB目錄所在盤的權限設定 |
至此,設定全部結束。現在的SERV-U設定是配合IIS設定的,因為和IIS使用不同的賬号,WEB使用者就不可能通路SERV-U的目錄,并且WEB目錄沒有給予SYSTEM權限,是以SYSTEM賬号也同樣通路不了WEB目錄,也就是說,即使使用MSSQL得到備份的權限也不能備份SHELL到你的WEB目錄。你可以安全的使用SERV-U了。