伺服器的安全是由各個軟體 構成,而serv_u又是經常要用到的軟體,在這要感謝官方的努力,隻要稍微我們修改一下,改軟體就很安全了。本人現總結如下:
(經本人多次實驗,如果按下面的的權限和建立使用者啟動serv的話,會出現問題)
步驟如下:
(第一步在添加完使用者之後在設定,經測試發現,使用普通組使用者啟動的Serv-U是不能增加使用者和删除使用者的,而且也不能夠登入,其他一切正常)
1、更改FTP服務啟動帳戶。
我們在系統服務中可以看到”Serv-U FTP 伺服器”預設是用”本地系統帳戶”來啟動服務的。這意味着系統采用了權限相當于ADMINISTRATORS權限的SYSTEM來啟動SERV_U服務 。也就是說,任何一個FTP使用者登入後,對伺服器系統而言它所擁有的權限就是system權限。盡管SERV-U對該使用者的空間進行過權限設定,但那盡盡是SERV-U中的限制,隻在上傳下 載檔案時發揮作用,而FTP使用者在系統上的權限就是SYSTEM權限,SYSTEM對系統任何空間都有讀、寫、甚至執行權限,這樣很容易被黑客利用來得到提權。
建一個系統使用者,預設它屬于USERS組,請從該組中删除該使用者,然後把該使用者加到guests組。這樣該使用者就是系統中最小權限的使用者。
在服務中把”Serv-U FTP 伺服器”的登入使用者改為該使用者。然後重新開機SERV-U服務。另外,SERV-U的安裝目錄要允許該啟動帳戶讀、寫、執行的權限(無需完全控制權限和特殊權限)。另外隻允許Administrators擁有全部權限,拒絕IIS組使用者通路Serv-U目錄,這是防止使用者使用webshell來下載下傳想要的東西和以免ASP木馬通過WEB方式提權。否則服務會啟動不了。
2、SERV-U的安裝時,盡可能把安裝目錄的名字命名的特殊一點,不讓黑客猜到我們的安裝目錄。(這是我們在安裝伺服器軟體都應該遵循的規則,甚至把系統目錄都不按預設安裝)
3、FTP空間的權限配置,隻允許ADMINISTRATORS有完全控制,允許FTP服務啟動帳戶有讀、寫,浏覽檔案夾的權限,(進階設定裡面)一定不能有執行的權限。其它使用者的權限都删除。至于每個FTP使用者對FTP空間讀寫權限則在SERV-U中進行配置。WEB使用者就不可能通路SERV-U的目錄,并且WEB目錄沒有給予SYSTEM權限,是以SYSTEM賬号也同樣通路不了WEB目錄,也就是說,即使使用MSSQL得到備份的權限也不能備份SHELL到你的WEB目錄。你可以安全的使用SERV-U了
4采用ipsec限制任何IP通路43958端口通路,即增加43958端口的阻止(不要加鏡像)
5、另外,還需要在“本地安全設定”,設定禁止ftpuser使用者本地登陸。進入控制台 -> 管理工具 -> 本地安全政策 -> 本地政策 -> 使用者權利指派 -> 拒絕本地登陸。
備份
官方網站是這樣說的:
在serv-u7.0安裝目錄下有一個檔案是serv-u的配置是檔案,那麼我們隻需要備份Serv-U.Archive這個檔案就可以了。 注:這和6.x的版本有所不一樣的地方,6.x版本是備份安裝目錄下的ServUDaemon.ini和ServUAdmin.ini
如果要備份 使用者的話,把根目錄下面的users檔案夾備份好了就ok了
![centos安裝FTP[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)