服务器的安全是由各个软件 构成,而serv_u又是经常要用到的软件,在这要感谢官方的努力,只要稍微我们修改一下,改软件就很安全了。本人现总结如下:
(经本人多次实验,如果按下面的的权限和新建用户启动serv的话,会出现问题)
步骤如下:
(第一步在添加完用户之后在设置,经测试发现,使用普通组用户启动的Serv-U是不能增加用户和删除用户的,而且也不能够登录,其他一切正常)
1、更改FTP服务启动帐户。
我们在系统服务中可以看到”Serv-U FTP 服务器”默认是用”本地系统帐户”来启动服务的。这意味着系统采用了权限相当于ADMINISTRATORS权限的SYSTEM来启动SERV_U服务 。也就是说,任何一个FTP用户登录后,对服务器系统而言它所拥有的权限就是system权限。尽管SERV-U对该用户的空间进行过权限设置,但那尽尽是SERV-U中的限制,只在上传下 载文件时发挥作用,而FTP用户在系统上的权限就是SYSTEM权限,SYSTEM对系统任何空间都有读、写、甚至执行权限,这样很容易被黑客利用来得到提权。
建一个系统用户,默认它属于USERS组,请从该组中删除该用户,然后把该用户加到guests组。这样该用户就是系统中最小权限的用户。
在服务中把”Serv-U FTP 服务器”的登录用户改为该用户。然后重启SERV-U服务。另外,SERV-U的安装目录要允许该启动帐户读、写、执行的权限(无需完全控制权限和特殊权限)。另外只允许Administrators拥有全部权限,拒绝IIS组用户访问Serv-U目录,这是防止用户使用webshell来下载想要的东西和以免ASP木马通过WEB方式提权。否则服务会启动不了。
2、SERV-U的安装时,尽可能把安装目录的名字命名的特殊一点,不让黑客猜到我们的安装目录。(这是我们在安装服务器软件都应该遵循的规则,甚至把系统目录都不按默认安装)
3、FTP空间的权限配置,只允许ADMINISTRATORS有完全控制,允许FTP服务启动帐户有读、写,浏览文件夹的权限,(高级设置里面)一定不能有执行的权限。其它用户的权限都删除。至于每个FTP用户对FTP空间读写权限则在SERV-U中进行配置。WEB用户就不可能访问SERV-U的目录,并且WEB目录没有给予SYSTEM权限,所以SYSTEM账号也同样访问不了WEB目录,也就是说,即使使用MSSQL得到备份的权限也不能备份SHELL到你的WEB目录。你可以安全的使用SERV-U了
4采用ipsec限制任何IP访问43958端口访问,即增加43958端口的阻止(不要加镜像)
5、另外,还需要在“本地安全设置”,设置禁止ftpuser用户本地登陆。进入控制面板 -> 管理工具 -> 本地安全策略 -> 本地策略 -> 用户权利指派 -> 拒绝本地登陆。
备份
官方网站是这样说的:
在serv-u7.0安装目录下有一个文件是serv-u的配置是文件,那么我们只需要备份Serv-U.Archive这个文件就可以了。 注:这和6.x的版本有所不一样的地方,6.x版本是备份安装目录下的ServUDaemon.ini和ServUAdmin.ini
如果要备份 用户的话,把根目录下面的users文件夹备份好了就ok了