关闭

Serv_u 7.2.0.1 终极安全设置

标签: serveru文件服务器ftp安全
369人阅读 评论(0) 收藏 举报
分类:

服务器的安全是由各个软件 构成,而serv_u又是经常要用到的软件,在这要感谢官方的努力,只要稍微我们修改一下,改软件就很安全了。本人现总结如下:

(经本人多次实验,如果按下面的的权限和新建用户启动serv的话,会出现问题)

步骤如下:

(第一步在添加完用户之后在设置,经测试发现,使用普通组用户启动的Serv-U是不能增加用户和删除用户的,而且也不能够登录,其他一切正常)

1、更改FTP服务启动帐户。

    我们在系统服务中可以看到”Serv-U FTP 服务器”默认是用”本地系统帐户”来启动服务的。这意味着系统采用了权限相当于ADMINISTRATORS权限的SYSTEM来启动SERV_U服务 。也就是说,任何一个FTP用户登录后,对服务器系统而言它所拥有的权限就是system权限。尽管SERV-U对该用户的空间进行过权限设置,但那尽尽是SERV-U中的限制,只在上传下 载文件时发挥作用,而FTP用户在系统上的权限就是SYSTEM权限,SYSTEM对系统任何空间都有读、写、甚至执行权限,这样很容易被黑客利用来得到提权。

    建一个系统用户,默认它属于USERS组,请从该组中删除该用户,然后把该用户加到guests组。这样该用户就是系统中最小权限的用户。

    在服务中把”Serv-U FTP 服务器”的登录用户改为该用户。然后重启SERV-U服务。另外,SERV-U的安装目录要允许该启动帐户读、写、执行的权限(无需完全控制权限和特殊权限)。另外只允许Administrators拥有全部权限,拒绝IIS组用户访问Serv-U目录,这是防止用户使用webshell来下载想要的东西和以免ASP木马通过WEB方式提权。否则服务会启动不了。

2、SERV-U的安装时,尽可能把安装目录的名字命名的特殊一点,不让黑客猜到我们的安装目录。(这是我们在安装服务器软件都应该遵循的规则,甚至把系统目录都不按默认安装)

3、FTP空间的权限配置,只允许ADMINISTRATORS有完全控制,允许FTP服务启动帐户有读、写,浏览文件夹的权限,(高级设置里面)一定不能有执行的权限。其它用户的权限都删除。至于每个FTP用户对FTP空间读写权限则在SERV-U中进行配置。WEB用户就不可能访问SERV-U的目录,并且WEB目录没有给予SYSTEM权限,所以SYSTEM账号也同样访问不了WEB目录,也就是说,即使使用MSSQL得到备份的权限也不能备份SHELL到你的WEB目录。你可以安全的使用SERV-U了

4采用ipsec限制任何IP访问43958端口访问,即增加43958端口的阻止(不要加镜像)

5、另外,还需要在“本地安全设置”,设置禁止ftpuser用户本地登陆。进入控制面板 -> 管理工具 -> 本地安全策略 -> 本地策略 -> 用户权利指派 -> 拒绝本地登陆。

备份

官方网站是这样说的:

在serv-u7.0安装目录下有一个文件是serv-u的配置是文件,那么我们只需要备份Serv-U.Archive这个文件就可以了。 注:这和6.x的版本有所不一样的地方,6.x版本是备份安装目录下的ServUDaemon.ini和ServUAdmin.ini

如果要备份 用户的话,把根目录下面的users文件夹备份好了就ok了

0
0

查看评论
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
    个人资料
    • 访问:4756次
    • 积分:65
    • 等级:
    • 排名:千里之外
    • 原创:0篇
    • 转载:13篇
    • 译文:0篇
    • 评论:0条
    文章分类
    文章存档