Servu安全配置詳細(xì)完整版

學(xué)習(xí)NO.1

最近在網(wǎng)上看到一篇寫serve u 的文章寫的不錯(cuò),特地轉(zhuǎn)過來與大家一起學(xué)習(xí)
一、Serv-U安全隱患及利用。
二、Serv-U安裝及安全設(shè)置詳解。
三、Serv-U相關(guān)的模式與防火墻設(shè)置。
四、關(guān)于Serv-U的Banner及登錄消息的設(shè)置。
Serv-U是一款十分經(jīng)典的FTP服務(wù)器軟件，一直被大部分管理員和虛擬主機(jī)所使用，它簡單的安裝和配置以及強(qiáng)大的管理功能也一直被管理員們稱頌。但是隨著使用者越來越多，也有越來越多的主機(jī)被通過Serv-U軟件所入侵。
本文旨在提出一些切實(shí)可行的方法，徹底杜絕由Serv-U帶來的安全隱患。
1、Serv-U的安裝：
關(guān)于Serv-U的安裝網(wǎng)上許多文章中提到要安裝在一個(gè)復(fù)雜的路徑，個(gè)人認(rèn)為這個(gè)不是十分必要，完全可以按照你喜歡的例如：D:\soft\Serv-U目錄里。但是不推薦安裝在系統(tǒng)盤目錄里，也不推薦安裝在c:\Program files目錄里,因?yàn)檫@個(gè)目錄的權(quán)限的原因（詳細(xì)權(quán)限設(shè)置以后再發(fā)文專門討論）。推薦的方式是無需安裝，直接使用綠色版的或直接復(fù)制在其他機(jī)器上安裝好的Serv-U的目錄。Serv-U的用戶配置文件有兩種方式，一種是存放在注冊(cè)表，一種是存放在ServUDaemon.ini文件，推薦使用存放在.ini文件里面的方式，這種方式便于ser-u軟件的升級(jí)，也便于重裝系統(tǒng)后的ftp用戶的恢復(fù)，在權(quán)限設(shè)置上也相對(duì)方便。我們這里使用6.4.0.6版，推薦使用，這里我們假設(shè)Serv-U軟件放在的的D:\soft\Serv-U目錄里。
2、權(quán)限設(shè)置：
給Serv-U單獨(dú)的用戶權(quán)限運(yùn)行。在計(jì)算機(jī)管理中新增帳戶ftp，設(shè)置用戶不能更改密碼，密碼用不過期，并設(shè)置一個(gè)復(fù)雜的密碼，更改ftp用戶隸屬于Guests組（默認(rèn)是USERS組），當(dāng)然也可以設(shè)置為不屬于任何組。
啟動(dòng)Serv-U（這時(shí)是使用默認(rèn)的system權(quán)限運(yùn)行的），選擇本地服務(wù)器，自動(dòng)開始，將Serv-U設(shè)置為系統(tǒng)服務(wù)，這樣服務(wù)器在每次重啟時(shí)Serv-U就會(huì)自動(dòng)啟動(dòng)，這里我們主要利用其可以在服務(wù)中配置給Serv-U單獨(dú)用戶。
設(shè)置D:\soft\Serv-U目錄的權(quán)限為只保留administrators，ftp兩個(gè)用戶的權(quán)限，權(quán)限都是完全控制即可，并替換到所有子目錄。
在計(jì)算機(jī)管理中找到服務(wù)，找到Serv-U FTP 服務(wù)器，右鍵屬性，在登錄選項(xiàng)卡中將登錄身份從本地系統(tǒng)帳戶改為此帳戶，帳戶選擇ftp，并輸入設(shè)置好的密碼。確定后會(huì)提示將在服務(wù)重啟后生效，接著點(diǎn)右鍵，重新啟動(dòng)，如果啟動(dòng)成功，你的Serv-U就在低權(quán)限下運(yùn)行了。

上傳目錄權(quán)限的設(shè)置：因?yàn)镾erv-U是用ftp這個(gè)帳戶運(yùn)行的，所以上傳的目錄給予ftp用戶的完全訪問權(quán)限就可以了，比如我們可以設(shè)置D、E、F盤的權(quán)限為administrators和ftp完全控制的權(quán)限，System權(quán)限也不用加了，如果Serv-U用默認(rèn)權(quán)限運(yùn)行，則必須加入system權(quán)限才能對(duì)該目錄進(jìn)行ftp操作。
3、安全隱患及利用
Serv-U在本機(jī)有一個(gè)默認(rèn)監(jiān)聽端口，默認(rèn)監(jiān)聽127.0.0.1:43958,在本機(jī)才能連接這個(gè)管理端口,默認(rèn)管理賬號(hào)是LocalAdministrator,默認(rèn)密碼是"#l@$ak#.lk;0@P"，這個(gè)密碼是固定的。所以幾乎所有的針對(duì)Serv-U攻擊的木馬便是利用此來添加Serv-U用戶的，比如增加一個(gè)指向C盤的超級(jí)管理員用戶，夠可怕吧。
這里我們用一個(gè)常用的ASP木馬中舉例說明：（Serv-U提權(quán)超強(qiáng)版）


提權(quán)后可以直接執(zhí)行命令添加管理員帳戶，并且加了個(gè)隱藏的管理員帳戶（當(dāng)然這個(gè)帳戶隱藏方式比較低級(jí)）如果成功了，用這個(gè)帳戶遠(yuǎn)程登錄上去創(chuàng)建一個(gè)克隆的管理員帳戶，再把這個(gè)刪掉）。管理員如果連Serv-U安全都做不很好的，對(duì)于隱藏度很高的克隆的帳號(hào)也不一定能發(fā)現(xiàn)，所以Serv-U的安全不容忽視。
比如俺一個(gè)朋友就喜歡用SQLDebugger 、SUPPORT_XXX等這樣的帳戶克隆出管理員帳戶，查看屬性又看不出來，很容易逃脫管理員的眼睛。
如何徹底解決這個(gè)安全隱患，有個(gè)最簡單的方法就是給Serv-U設(shè)置一個(gè)本地管理密碼，也就是所有增加刪除修改Serv-U的用戶及更改設(shè)置的操作，都需要經(jīng)過本地密碼驗(yàn)證。
可能有的管理員認(rèn)為服務(wù)器密碼就他自己知道，別人上不去，更何況增加Serv-U帳戶了，所以就不設(shè)置密碼，認(rèn)為這完全是多此一舉，這就大錯(cuò)特錯(cuò)了。
這里再介紹另一種解決問題的方法，結(jié)合上面的設(shè)置本地管理密碼可以讓我們的Serv-U更安全。就是修改Serv-U的默認(rèn)管理帳號(hào)和密碼，這里我們用到了UltraEdit-32這個(gè)軟件。

用UltraEdit-32打開servUAdmin.exe 查找LocalAdministrator,和#l@$ak#.lk;0@P，將這兩個(gè)字符串修改為等長度的字符串保存即可，注意一定是等長度的。
當(dāng)然這還不夠，還要打開ServUDaemon.exe，操作如法炮制，但修改后的字符串要?jiǎng)?wù)必與ServuAdmin.exe中修改的相同，否則Serv-U是無法進(jìn)行用戶管理的。
經(jīng)過設(shè)置Serv-U本地管理密碼和修改Serv-U文件這兩步大刀闊斧的改革后，再試試剛才的木馬，雖然也能提示執(zhí)行命令成功，但實(shí)際服務(wù)器卻沒有任何變化，奈何不了了。
簡單總結(jié)一下以上所說的安全要點(diǎn)：
1、盡量使用最新版的Serv-U，如果英文還可以，推薦直接用英文版的，如果要用中文的，一定要在其他機(jī)器進(jìn)行測(cè)試，確認(rèn)漢化包無流氓插件后再在正式服務(wù)器上使用。
2、設(shè)置Serv-U運(yùn)行于普通用戶權(quán)限，這樣即使通過木馬執(zhí)行net localgroup administrators XXX /Add也不可能執(zhí)行成功了。
3、設(shè)置Serv-U的目錄權(quán)限，只給administrators和運(yùn)行Serv-U用戶的權(quán)限，其他的都不要給，尤其是everyone權(quán)限（在服務(wù)器上使用everyone權(quán)限要十分慎重，網(wǎng)上有很多文章圖懶法不管三七二十一加個(gè)everyone就算了的。您可不要圖懶也加個(gè)everyone就算了，我所配置的服務(wù)器中沒有一處是使用everyone權(quán)限的。）和guests權(quán)限，users用戶權(quán)限也不要給。目的就是徹底防止通過Webshell訪問到Serv-U目錄，如果這一步設(shè)置不嚴(yán)，即使設(shè)了Serv-U密碼，通過Webshell下載了你的Serv-U去破解或者用UltraEdit-32打開分析，也一樣可能造成攻擊。
4、磁盤目錄權(quán)限，也就是你用ftp操作的目錄權(quán)限例如WEB目錄等，除了必要的IIS帳戶權(quán)限外，只加administrators和用來運(yùn)行Serv-U的帳戶的權(quán)限即可（可設(shè)為完全控制）。
5、務(wù)必要設(shè)置一個(gè)本地管理密碼，防止通過Webshell連接默認(rèn)用戶名密碼的方式進(jìn)行攻擊。
6、推薦用UltraEdit-32更改Serv-U默認(rèn)的帳戶密碼，其實(shí)也花不了很多時(shí)間。
7、端口的設(shè)置，完全可以根據(jù)個(gè)人喜好設(shè)置，個(gè)人認(rèn)為與安全并無多大關(guān)系，因?yàn)榧词垢�改了默認(rèn)的21端口，如果有人想攻擊，一樣可以掃描出來。
只要嚴(yán)格注重了以上幾點(diǎn)，那么可以說你可以安全放心的使用你的Serv-U了。當(dāng)然，服務(wù)器的安全是一個(gè)整體，任何地方的疏忽都有可能造成整個(gè)服務(wù)器的安全隱患。以上所說僅僅是與Serv-U相關(guān)的安全設(shè)置，絕不代表整個(gè)服務(wù)器就安全了。這一點(diǎn)務(wù)必注意。下面說說防火墻的設(shè)置。
三、Serv-U相關(guān)的防火墻設(shè)置：
關(guān)于防火墻的處理最常見的一個(gè)難題是主動(dòng)FTP與被動(dòng)FTP的區(qū)別以及如何配置防火墻并完美地支持它們。很多管理員可能都發(fā)現(xiàn)，在開了防火墻的服務(wù)器上利用FTP傳輸總有這樣那樣的小問題，有時(shí)傳輸數(shù)據(jù)“不夠流暢”。幸運(yùn)地是，本文能夠幫助你徹底搞清在防火墻環(huán)境中如何支持FTP這個(gè)問題上的煩惱。
FTP服務(wù)是僅基于TCP的服務(wù)，不支持UDP。 與眾不同的是FTP使用2個(gè)端口，一個(gè)數(shù)據(jù)端口和一個(gè)命令端口（也可叫做控制端口）。通常來說這兩個(gè)端口是命令端口（21）和數(shù)據(jù)端口（20）。但當(dāng)我們發(fā)現(xiàn)根據(jù)（FTP工作）方式的不同數(shù)據(jù)端口并不總是20時(shí)，新的問題就出來了。
主動(dòng)FTP：
主動(dòng)方式的FTP是這樣的：客戶端從一個(gè)任意的非特權(quán)端口N（N>;1024）連接到FTP服務(wù)器的命令端口，也就是21端口。然后客戶端開始監(jiān)聽端口N+1，并發(fā)送FTP命令“port N+ 1”到FTP服務(wù)器。接著服務(wù)器會(huì)從它自己的數(shù)據(jù)端口（20）連接到客戶端指定的數(shù)據(jù)端口（N+1）。
針對(duì)FTP服務(wù)器前面的防火墻來說，必須允許以下通訊才能支持主動(dòng)方式FTP
任何端口到FTP服務(wù)器的21端口 （客戶端初始化的連接 S）
FTP服務(wù)器的21端口到大于1023的端口（服務(wù)器響應(yīng)客戶端的控制端口 S->C）
FTP服務(wù)器的20端口到大于1023的端口（服務(wù)器端初始化數(shù)據(jù)連接到客戶端的數(shù)據(jù)端口 S->C）
大于1023端口到FTP服務(wù)器的20端口（客戶端發(fā)送ACK響應(yīng)到服務(wù)器的數(shù)據(jù)端口 S）
主動(dòng)方式FTP的主要問題實(shí)際上在于客戶端。FTP的客戶端并沒有實(shí)際建立一個(gè)到服務(wù)器數(shù)據(jù)端口的連接，它只是簡單的告訴服務(wù)器自己監(jiān)聽的端口號(hào)，服務(wù)器再回來連接客戶端這個(gè)指定的端口。對(duì)于客戶端的防火墻來說，這是從外部系統(tǒng)建立到內(nèi)部客戶端的連接，這是通常會(huì)被阻塞的。
被動(dòng)FTP
為了解決服務(wù)器發(fā)起到客戶的連接的問題，人們開發(fā)了一種不同的FTP連接方式。這就是所謂的被動(dòng)方式，或者叫做PASV，當(dāng)客戶端通知服務(wù)器它處于被動(dòng)模式時(shí)才啟用。在常用的FTP傳輸軟件中也均有相關(guān)設(shè)置，例如FlashFXP的在選項(xiàng)-》參數(shù)設(shè)置-》代理里面就有相關(guān)選項(xiàng)。

在被動(dòng)方式FTP中，命令連接和數(shù)據(jù)連接都由客戶端，這樣就可以解決從服務(wù)器到客戶端的數(shù)據(jù)端口的入方向連接被防火墻過濾掉的問題。當(dāng)開啟一個(gè)FTP連接時(shí)，客戶端打開兩個(gè)任意的非特權(quán)本地端口（N >; 1024和N+1）。第一個(gè)端口連接服務(wù)器的21端口，但與主動(dòng)方式的FTP不同，客戶端不會(huì)提交PORT命令并允許服務(wù)器來回連它的數(shù)據(jù)端口，而是提交PASV命令。這樣做的結(jié)果是服務(wù)器會(huì)開啟一個(gè)任意的非特權(quán)端口（P >; 1024），并發(fā)送PORT P命令給客戶端。然后客戶端發(fā)起從本地端口N+1到服務(wù)器的端口P的連接用來傳送數(shù)據(jù)。
對(duì)于服務(wù)器端的防火墻來說，必須允許下面的通訊才能支持被動(dòng)方式的FTP:
從任何端口到服務(wù)器的21端口 （客戶端初始化的連接 S）
服務(wù)器的21端口到任何大于1023的端口 （服務(wù)器響應(yīng)到客戶端的控制端口的連接 S->C）
從任何端口到服務(wù)器的大于1023端口 （入；客戶端初始化數(shù)據(jù)連接到服務(wù)器指定的任意端口 S）
服務(wù)器的大于1023端口到遠(yuǎn)程的大于1023的端口（出；服務(wù)器發(fā)送ACK響應(yīng)和數(shù)據(jù)到客戶端的數(shù)據(jù)端口 S->C）護(hù)衛(wèi)神教程整理
下面簡要總結(jié)一下主動(dòng)與被動(dòng)FTP優(yōu)缺點(diǎn)：
主動(dòng)FTP對(duì)FTP服務(wù)器的管理有利，但對(duì)客戶端的管理不利。因?yàn)镕TP服務(wù)器企圖與客戶端的高位隨機(jī)端口建立連接，而這個(gè)端口很有可能被客戶端的防火墻阻塞掉。被動(dòng)FTP對(duì)FTP客戶端的管理有利，但對(duì)服務(wù)器端的管理不利。因?yàn)榭蛻舳艘�與服務(wù)器端建立兩個(gè)連接，其中一個(gè)連到一個(gè)高位隨機(jī)端口，而這個(gè)端口很有可能被服務(wù)器端的防火墻阻塞掉。
幸運(yùn)的是，有折衷的辦法。既然FTP服務(wù)器的管理員需要他們的服務(wù)器有最多的客戶連接，那么必須得支持被動(dòng)FTP。我們可以通過為FTP服務(wù)器指定一個(gè)有限的端口范圍來減小服務(wù)器高位端口的暴露。這樣，不在這個(gè)范圍的任何端口會(huì)被服務(wù)器的防火墻阻塞。雖然這沒有消除所有針對(duì)服務(wù)器的危險(xiǎn)，但它大大減少了危險(xiǎn)。
在安裝Serv-U并初次運(yùn)行的時(shí)候，防火墻會(huì)提示提示是否允許Serv-U連接網(wǎng)絡(luò)，這里我們選擇允許。這樣ServUDaemon.exe就在防火墻的信任的程序當(dāng)中了。
再在防火墻中添加端口，注意如果你的FTP端口是默認(rèn)的21，那么需要添加兩個(gè)端口，21和20。如果你的FTP端口是1000，那么還要添一個(gè)999，以此類推。值得一提的是，添加完端口后，在防火墻的高級(jí)設(shè)置里就不用設(shè)置了，以個(gè)人經(jīng)驗(yàn)這個(gè)地方如果再開啟了，反而會(huì)有些問題。之前曾因?yàn)檫@個(gè)地方的設(shè)置百思不得其解而郁悶過，后來終于搞懂只設(shè)一個(gè)地方即可。如圖所示：

接下來設(shè)置Serv-U的PASV：如圖所示，這個(gè)地方的設(shè)置關(guān)系到常遇到的FTP傳輸是否“流暢”的問題，尤其是在網(wǎng)速慢的情況。這里的端口范圍要指定的一定要是服務(wù)器上空閑的一段端口范圍，比如有的軟件用了3306，這里就不要用3000-3500了，這個(gè)地方所說的也就是前面提到的為FTP服務(wù)器指定一個(gè)有限的端口范圍來減小服務(wù)器高位端口的暴露。這也是國內(nèi)很多虛擬主機(jī)商的做法。

再來看一下傳輸?shù)那闆r：從FlashFXP的傳輸日志中可以看到?jīng)]傳輸一個(gè)文件端口就會(huì)從指定的PASV端口加一個(gè)，加到最大后再重新返回端口范圍的最小端口，如此循環(huán)實(shí)現(xiàn)FTP文件傳送。顯然如果這里不能順利的開啟端口，就會(huì)造成FTP傳輸?shù)耐ｎD，也就是常說的不流暢，需要重新連接一下FTP。
總之，Serv-U涉及的防火墻方面的設(shè)置并不是很多，基本上就是防火墻模式中最常見的基于端口的和基于程序的兩種方式，其他防火墻也可以按此設(shè)置即可。
四、最后補(bǔ)充一點(diǎn)關(guān)于Serv-U的Banner和登錄消息設(shè)置。
大家可能都碰到的類似以下的連接FTP服務(wù)器時(shí)的提示信息，其實(shí)這個(gè)地方即使不知道對(duì)方FTP帳戶密碼，只要知道端口（也可能通過掃描出的端口嘗試出來）用FTP傳輸軟件連接一下就會(huì)出來了，甚至直接在DOS窗口用命令提示符open一下你的FTP服務(wù)器，也會(huì)出來類似的提示信息，這樣豈不就老老實(shí)實(shí)的告訴別人你用的Serv-U做的FTP服務(wù)器并且所用的版本了么？
[右] 已連接到 60.215.XX.XX
[右] 220 Serv-U FTP Server v6.4 for WinSock ready...
護(hù)衛(wèi)神教程整理 [右] USER XPB
[右] 331 User name okay, need password.
[右] PASS (隱藏)
[右] 230 User logged in, proceed.
[右] SYST
[右] 215 UNIX Type: L8
[右] FEAT
[右] 211-Extension supported
[右] CLNT

其實(shí)在Serv-U中也有設(shè)置，在域的設(shè)置中有消息一項(xiàng)，可以自定義服務(wù)器響應(yīng)消息，這里可以根據(jù)你喜歡的把這些消息改掉，例如改為Welcome to Microsoft FTP Service... 等等其他FTP服務(wù)軟件的Banner,可以起到一定的迷惑作用。
其次我們說一下大家可能也常碰到的下面這種提示是如何做出來的。
程序代碼
[右] 已連接到 202.194.XXX.XXX
[右] 220-歡迎登錄XX大學(xué)FTP服務(wù)器...
[右] 220-你的IP地址是：211.64.XXX.XXX
[右] 220-目前服務(wù)器所在的時(shí)間是 08:56:45
[右] 220-已經(jīng)有 1585 個(gè)用戶在最近24小時(shí)訪問過本FTP
[右] 220-本FTP服務(wù)器已經(jīng)運(yùn)行了 21 天，18 小時(shí) 和 6 分。
[右] 220-
[右] 220-服務(wù)器的運(yùn)行情況：
[右] 220-
[右] 220-所有登錄用戶數(shù)量： 26 total
[右] 220-當(dāng)前登錄用戶數(shù)量： 18
[右] 220-已經(jīng)下載字節(jié)數(shù)： 372000 Kb
[右] 220-已經(jīng)上傳字節(jié)數(shù)： 118940 Kb
[右] 220-已經(jīng)下載文件數(shù)： 92
[右] 220-已經(jīng)上傳文件數(shù)： 1360
[右] 220-服務(wù)器平均帶寬： 810 Kb/sec
[右] 220 服務(wù)器當(dāng)前帶寬： 945 Kb/sec
[右] USER xpb
其實(shí)這個(gè)設(shè)置這個(gè)地方也很簡單，只需要設(shè)置一個(gè)用戶登錄時(shí)的消息文件就可以了，設(shè)置的地方就在Serv-U的域的設(shè)置里面，就在上邊設(shè)置服務(wù)器響應(yīng)消息的下面，其中登錄消息文件格式如下：
程序代碼
您已經(jīng)成功登錄FTP服務(wù)器
你的IP地址是：%IP
目前服務(wù)器所在的時(shí)間是 %time
已經(jīng)有 %u24h 個(gè)用戶在最近24小時(shí)訪問過本FTP
本FTP服務(wù)器已經(jīng)運(yùn)行了 %ServerDays 天，%ServerHours 小時(shí) 和 %ServerMins 分。
服務(wù)器的運(yùn)行情況：
所有登錄用戶數(shù)量： %loggedInAll total
當(dāng)前登錄用戶數(shù)量： %Unow
已經(jīng)下載字節(jié)數(shù)： %ServerKbDown Kb
已經(jīng)上傳字節(jié)數(shù)： %ServerKbUp Kb
已經(jīng)下載文件數(shù)： %ServerFilesDown
已經(jīng)上傳文件數(shù)： %ServerFilesUp
服務(wù)器平均帶寬： %ServerAvg Kb/sec
服務(wù)器當(dāng)前帶寬： %ServerKBps Kb/sec
將此文件保存問例如logininfo.txt的文本文件，放于Serv-U目錄（也可以放到其他目錄，放到這里是因?yàn)椴挥迷賳为?dú)設(shè)置該文件的權(quán)限了），然后把該文件設(shè)置為登錄時(shí)的消息文件，就可以了

道勤主機(jī)提供365天*24小時(shí)全年全天無休、實(shí)時(shí)在線、零等待的售后技術(shù)支持。竭力為您免費(fèi)處理您在使用道勤主機(jī)過程中所遇到的一切問題! 如果您是道勤主機(jī)用戶，那么您可以通過QQ【792472177】、售后QQ【59133755】、旺旺【詮釋意念】、微信：q792472177免費(fèi)電話、后臺(tái)提交工單這些方式聯(lián)系道勤主機(jī)客服！ 如果您不是我們的客戶也沒問題，點(diǎn)擊頁面最右邊的企業(yè)QQ在線咨詢圖標(biāo)聯(lián)系我們并購買后，我們?yōu)槟�免費(fèi)進(jìn)行無縫搬家服務(wù)，讓您享受網(wǎng)站零訪問延遲的遷移到道勤主機(jī)的服務(wù)！