《图文并茂地详细介绍ftp服务器安全设置》由会员分享,可在线阅读,更多相关《图文并茂地详细介绍ftp服务器安全设置(12页珍藏版)》请在金锄头文库上搜索。
1、Serv-U 安全设置攻略安全设置攻略 -厦门维网网络厦门维网网络()安全设置联系:安全设置联系:QQ:65378908本文均为本人亲自测试,保证在纯净的 windows server 2003 100% 调试成功,如果有调试不成功的,请详细检查软件环境与相关的权限设置。一、serv-u 安全隐患及利用。二、serv-u 安装及安全设置详解。三、serv-u 相关的模式与防火墙设置。四、关于 serv-u 的 Banner 及登录消息的设置。hV 芠x1諲 侎鍂 S?徭H朾 k?Ccedil;廤 eServ-U 是一款十分经典的 FTP 服务器软件,一直被大部分管理员和虚拟主机所使用,它简单的
2、安装和配置以及强大的管理功能也一直被管理员们称颂。但是随着使用者越来越多,也有越来越多的主机被通过 Serv-U 软件所入侵。枾 e 本文旨在提出一些切实可行的方法,彻底杜绝由 Serv-u 带来的安全隐患。1、Serv-u 的安装:hV 芠軴 关于 Serv-u 的安装最好安装在一个复杂的路径,个人认为这个十分有必要,因为有些是用扫描服务器目录的方式去入侵,但在这里举个例子,我们例如:D:softServ-u 目录里。但是不推荐安装在系统盘目录里,也不推荐安装在 c:Program files 目录里,因为这个目录的权限的原因(详细权限设置以后再发文专门讨论)。推荐的方式是无需安装,直接使用
3、绿色版的或直接复制在其他机器上安装好的 Serv-U 的目录。serv-u 的用户配置文件有两种方式,一种是存放在注册表,一种是存放在 ServUDaemon.ini 文件,推荐使用存放在.ini 文件里面的方式,这种方式便于ser-u 软件的升级,也便于重装系统后的 ftp 用户的恢复,在权限设置上也相对方便。另外版本的选择一定要选择 6.3 版本以上的,现在最新的是 6.4.0.6 ,推荐使用,这里我们假设 serv-u 软件放在的的 D:softServ-U 目录里。hV 芠x1諲 侎鍂 S?廤 e2、权限设置:给 serv-u 单独的用户权限运行。在计算机管理中新增帐户 ftp,设置用
4、户不能更改密码,密码永不过期,并设置一个复杂的密码,更改 ftp 用户隶属于 Guests 组(默认是 USERS 组),当然也可以设置为不属于任何组。启动 serv-u(这时是使用默认的 system 权限运行的),选择本地服务器,自动开始,将 serv-u 设置为系统服务,这样服务器在每次重启时 serv-u 就会自动启动,这里我们主要利用其可以在服务中配置给 serv-u 单独用户。设置 D:softServ-U 目录的权限为只保留 administrators,ftp 两个用户的权限,权限都是完全控制即可,并替换到所有子目录。(如果设置及创建的用户保留在注册表内,在这里 ftp 权限只
5、要”读取和运行、列出文件夹和目录、读取”这 3 个权限就够了)枾 e 在计算机管理中找到服务,找到 Serv-U FTP 服务器,右键属性,在登录选项卡中将登录身份从本地系统帐户改为此帐户,帐户选择 ftp,并输入设置好的密码。确定后会提示将在服务重启后生效,接着点右键,重新启动,如果启动成功,你的 serv-u 就在低权限下运行了。上传目录权限的设置:因为 serv-u 是用 ftp 这个帐户运行的,所以上传的目录给予 ftp 用户的完全访问权限就可以了,比如我们可以设置 D、E、F 盘的权限为 administrators 和 ftp 完全控制的权限(这是对于 D/E/F 这 3 个盘符是
6、上传目录,如果只是 D 盘下的某个目录,那这 3 个盘符的根目录权限只要 FTP 用户读取就可以了,上传目录是要去除完全控制之外的所有权限),System 权限也不用加了,如果 serv-u 用默认权限运行,则必须加入 system 权限才能对该目录进行 ftp 操作。3、安全隐患及利用?项?“廤 eServ-u 在本机有一个默认监听端口,默认监听 127.0.0.1:43958,在本机才能连接这个管理端口,默认管理账号是 LocalAdministrator,默认密码是“#l$ak#.lk;0P“,这个密码是固定的。所以几乎所有的针对 serv-u 攻击的木马便是利用此来添加 serv-u
7、用户的,比如增加一个指向 C盘的超级管理员用户,够可怕吧。比如俺一个朋友就喜欢用 SQLDebugger 、SUPPORT_XXX 等这样的帐户克隆出管理员帐户,查看属性又看不出来,很容易逃脱管理员的眼睛。(所以最好是把那 2 个用户删除,那 2 个用户很容易被利用来入侵)枾 e 剉 9e0P,将这两个字符串修改为等长度的字符串保存即可,注意一定是等长度的。枾 e 剉匏当然这还不够,还要打开 ServUDaemon.exe,操作如法炮制,但修改后的字符串要务必与ServuAdmin.exe 中修改的相同,否则 Serv-u 是无法进行用户管理的。枾 e 剉 9ei?T 峇?Otilde;?RM
8、b 剉(gl?q_N衏:ygbL 坿 T銷b 烺 FO 瀃 E?g经过设置 Serv-U 本地管理密码和修改 Serv-u 文件这两步大刀阔斧的改革后,再试试刚才的木马,虽然也能提示执行命令成功,但实际服务器却没有任何变化,奈何不了了。简单总结一下以上所说的安全要点:简单总结一下以上所说的安全要点:1、尽量使用最新版的 Serv-u,如果英文还可以,推荐直接用英文版的,如果要用中文的,一定要在其他机器进行测试,确认汉化包无流氓插件后再在正式服务器上使用。2、设置 Serv-u 运行于普通用户权限,这样即使通过木马执行 net localgroup administrators XXX /Add
9、 也不可能执行成功了。3、设置 Serv-u 的目录权限,只给 administrators 和运行 serv-u 用户的权限,其他的都不要给,尤其是 everyone 权限(在服务器上使用 everyone 权限要十分慎重,网上有很多文章不管三七二十一加个 everyone 就算了的。您可不要懒也加个 everyone 就算了,我所配置的服务器中没有一处是使用 everyone 权限的。)和 guests 权限,users 用户权限也不要给。目的就是彻底防止通过 Webshell 访问到 Serv-u 目录,如果这一步设置不严,即使设了 Serv-u 密码,通过 Webshell 下载了你的
10、 Serv-u 去破解或者用 UltraEdit-32 打开分析,也一样可能造成攻击。4、磁盘目录权限,也就是你用 ftp 操作的目录权限例如 WEB 目录等,除了必要的 IIS 帐户权限外,只加 administrators 和用来运行 serv-u 的帐户的权限即可(可设为完全控制)。5、务必要设置一个本地管理密码,防止通过 Webshell 连接默认用户名密码的方式进行攻击。6、推荐用 UltraEdit-32 更改 serv-u 默认的帐户密码,其实也花不了很多时间。枾 e 剉垥 d?射焫蕒礵 ?陪 M 瀃 E?g7、端口的设置,完全可以根据个人喜好设置,个人认为与安全并无多大关系,因
11、为即使更改了默认的 21 端口,如果有人想攻击,一样可以扫描出来。枾 e 剉垥 d?射焫?陪 M 瀃 E?g只要严格注重了以上几点,那么可以说你可以安全放心的使用你的 Serv-u 了。当然,服务器的安全是一个整体,任何地方的疏忽都有可能造成整个服务器的安全隐患。以上所说仅仅是与 Serv-U 相关的安全设置,绝不代表整个服务器就安全了。这一点务必注意。下面说说防火墙的设置。三、Serv-u 相关的防火墙设置:关于防火墙的处理最常见的一个难题是主动 FTP 与被动 FTP 的区别以及如何配置防火墙并完美地支持它们。很多管理员可能都发现,在开了防火墙的服务器上利用 FTP 传输总有这样那样的小问
12、题,有时传输数据“不够流畅”。幸运地是,本文能够帮助你彻底搞清在防火墙环境中如何支持 FTP这个问题上的烦恼。枾 e 剉 9ei?T 峇?Otilde;?RMb 剉(gl?q_N衏:ygbL 坿 T銷b 烺 FO 瀃 E?gFTP 服务是仅基于 TCP 的服务,不支持 UDP。 与众不同的是 FTP 使用 2 个端口,一个数据端口和一个命令端口(也可叫做控制端口)。通常来说这两个端口是命令端口(21)和数据端口(20)。但当我们发现根据(FTP 工作)方式的不同数据端口并不总是 20 时,新的问题就出来了。NN 媙,g0W主动 FTP:主动方式的 FTP 是这样的:客户端从一个任意的非特权端口
13、 N(N;1024)连接到 FTP 服务器的命令端口,也就是 21 端口。然后客户端开始监听端口 N+1,并发送 FTP 命令“port N+ 1”到 FTP 服务器。接着服务器会从它自己的数据端口(20)连接到客户端指定的数据端口(N+1)。针对 FTP 服务器前面的防火墙来说,必须允许以下通讯才能支持主动方式 FTP任何端口到 FTP 服务器的 21 端口 (客户端初始化的连接 S)FTP 服务器的 21 端口到大于 1023 的端口(服务器响应客户端的控制端口 S-C)FTP 服务器的 20 端口到大于 1023 的端口(服务器端初始化数据连接到客户端的数据端口 S-C)大于 1023
14、端口到 FTP 服务器的 20 端口(客户端发送 ACK 响应到服务器的数据端口 S)主动方式 FTP 的主要问题实际上在于客户端。FTP 的客户端并没有实际建立一个到服务器数据端口的连接,它只是简单的告诉服务器自己监听的端口号,服务器再回来连接客户端这个指定的端口。对于客户端的防火墙来说,这是从外部系统建立到内部客户端的连接,这是通常会被阻塞的。g被动 FTP为了解决服务器发起到客户的连接的问题,人们开发了一种不同的 FTP 连接方式。这就是所谓的被动方式,或者叫做 PASV,当客户端通知服务器它处于被动模式时才启用。在常用的 FTP 传输软件中也均有相关设置,例如 FlashFXP 的在选
15、项-参数设置-代理里面就有相关选项。在被动方式 FTP 中,命令连接和数据连接都由客户端,这样就可以解决从服务器到客户端的数据端口的入方向连接被防火墙过滤掉的问题。当开启一个 FTP 连接时,客户端打开两个任意的非特权本地端口(N ; 1024 和 N+1)。第一个端口连接服务器的 21 端口,但与主动方式的 FTP 不同,客户端不会提交 PORT 命令并允许服务器来回连它的数据端口,而是提交 PASV 命令。这样做的结果是服务器会开启一个任意的非特权端口(P ; 1024),并发送 PORT P 命令给客户端。然后客户端发起从本地端口 N+1 到服务器的端口 P 的连接用来传送数据。对于服务
16、器端的防火墙来说,必须允许下面的通讯才能支持被动方式的 FTP:从任何端口到服务器的 21 端口 (客户端初始化的连接 S)服务器的 21 端口到任何大于 1023 的端口 (服务器响应到客户端的控制端口的连接 S-C)从任何端口到服务器的大于 1023 端口 (入;客户端初始化数据连接到服务器指定的任意端口 S)枾 e 剉 9ei?T 峇?Otilde;?RMb 剉(gl?q_N衏:ygbL 坿T 銷b 烺 FO 瀃 E?g服务器的大于 1023 端口到远程的大于 1023 的端口(出;服务器发送 ACK 响应和数据到客户端的数据端口 S-C)T 减鵔鱑 h:窟焜郮,?坍?Hig0W枾 e 剉 9ei?峇?Otilde;?RMb 剉(gl?q_N衏:ygbL 坿 T 銷b 烺 FO 瀃 E?g下面简要总结一下主动与被动 FTP 优缺点: 主动 FTP 对 FTP 服务器的管理有利,但对客户端的管理不利。因为 FTP 服
