知已知彼百战不殆 Serv-U攻防全攻略
三. 知已知彼 打造安全的FTP服务器
上面的漏洞篇与实战篇我想大家如果仔细看的话,肯定会有收获,不过为了照顾那些懒得看上面东西的读者,我们还是稍微抓几个关键的图片,一步一步的教大家如何打造一台安全的FTP服务器!好,Let’s go !
|
|
A.安装前的准备
安装前为了安全,我不得不这样说:首先要保证你的系统的安全性,比如说磁盘格式必须为NTFS,系统打上目前所有的补丁,而且进行加固。至于如何加固,网上有许多人写了教程,我简要的说一下,删默认的共享,在本地安全策略里设置账号安全与密码策略,不显示上一次登陆的用户名,用TCP/IP筛选允许对外访问的端口,也就是所谓的端口过滤。如果服务器提供WEB服务,必须得利用NTFS对目录进行权限设置。当然,还有N多啦,大家慢慢研究去!
B.开始安装并汉化破解
上网下载一个最新版本,这样无异于把以前的常见漏洞拒之门外,同时也省了许多补漏洞的麻烦。下载好了我们就开始安装啦,一般的软件安装介绍都这么说的:一路Next…..真的吗?狂汗,当然不是,许多漏洞就是默认安装才有的啦!安装的时候要注意如下几个地方:
1. 选择安装路径的时候,为了安全起见,不要按默认的目录安装;
2. 安装中会提示是否安全成一个服务,我们安装成一个服务,这样才能比较稳定的提供FTP服务。
3. 在匿名访问设置里选择不允许匿名访问,原因嘛不用说大家都知道的,选择了不允许匿名访问以后serv_U会提示新建一个账号,默认是不锁定的,为了安全,我们得为它锁定,在Lock in home directory对话框里的Lock the user in to the home directory ?里选择Yes,还有,创建的第一个账号的权限往往非常大,这点要特别注意。
4. 权限设置。一般没有特殊的要求,最好不要给特权,当然得具体情况具体分析,灵活运用嘛。在Admin privilege对话框的Account admin privilege下拉列表里选择No Privilege选项,表示没有特权。
5. 接下来的汉化以及破解,就不说了吧。
C.进一步的安全防范,具体如下:
a.虽然在我们安装的版本中TMDM漏洞已经不存在了,不过为了安全还是禁止TMDM命令修改日期与时间,在设置的高级选项卡里把"允许MDTM命令来更改文件的日期/时间"前面的勾去掉。
b.上面提到修改INI配置文件从而实现提升权限,我想大家都知道了,呵,其防范就是把配置文件写到注册表里面,如何写,请看下图11:
图11
这样就不会出现上面所说的ini配置文件导致黑客恶意添加一个具有系统权限且有执行权限的账号。
c.下面开始对本地提升权限进行防范,当然也是可以突破的嘛,只是给黑客制造一些麻烦。网上一般推荐用Ultraedit打开然后修改,为了方便读者,我找到了一个比较老的工具,对最新版的也适用,如图12:
图12
这里我修改了默认的端口,本来是43958的,用户名本来是LocalAdministrator我也改了,至于密码我当时没改,大家一定要改呀,这样就可以防范网上一大堆的溢出了。
D.另外要注意的几个问题
a.首先遇到的就是如何对用户进行管理。为了安全起见,我们一般建两个账号,一个账号用于上传,一个账号用于下载,当然视具体情况不同而不同啦。这样管理起来就方便多了,上传的账号的权限就只能写入与列表,当然如果有人上传一个文件夹,你就得为人家开一个创建目录的权限,同理,下载的账号只要能读取与列表,当然有些网站提供下载只能读取不能列表也很正常,视具体情况灵活配置,这里抓一个图配置上传账号的目录访问设置,下载专用账号的就不抓图了,如图13:
图13
另外,如果你担心这个不够用,你还可以利用NTFS来设置上传和下载的目录的权限。
b.其次就是一个防范大容量文件攻击的问题,如果没有设置上传下载等一些参数,用FTP发送大容量的文件可能导致FTP处理繁忙甚至造成程序假死或自动关闭的现象,所以建议设置一下,如图14:
图14
c.再者就是FTP服务中存在允许上传权限的问题,这个问题只是在允许断点再传的FTP服务中存在,但现在90%的FTP服务程序都是允许断点再传的,所以这问题在普遍的FTP服务器都会存在.其最好的防范方法是每个用户都给他建立一个目录,将那个用户的权限完全锁在这个目录内,那么用户就没有权限可以查看其它用户的目录,也就是说无法造成这个问题所造成的破坏。
- 上一篇文章:中国的姓氏图腾
- 下一篇文章:Access开发人员常犯错误
- 查看2006年9月的文章归档