全面提高Serv-U安全配置
发布时间:2010-01-17 10:09:00
安装好Serv-U初次运行时,会自动弹出创建域和账户操作向导窗口。由于使用向导创建的账户会带来一些未知的安全问题,因此在这里建议单击“取消”按钮,改用手工来创建。
Serv-U是目前搭建FTP服务器使用最普遍的服务器软件之一,因此如何用它搭建一个安全的FTP服务器是众多用户苦心钻研的事情。下面就将笔者在日常使用中总地出来的防范经验与大家一起共享。
一、安装时的两点注意
在安装Serv-U时,就应该注意尽量不要将其安装在默认的C:\Program Files\Serv-U目录下,应该更换一个不易被猜测到的目录。其次在安装时选择安装组件时,一般只要选中“Server program files”和“Administrator program files”两项即可,而另外的“ReadMe and Version text files”和“Online help files”则是说明和在线帮助不需要安装。相同的道理,在安装其它应用软件时,尤其是服务器类软件时,应遵守“够用”的原则,即只安装需要使用的组件即可。
小提示:在最新版本之中,已经没有说明和在线帮助项供用户选择安装了。
二、初次设置尤重要
安装好Serv-U初次运行时,会自动弹出创建域和账户操作向导窗口。由于使用向导创建的账户会带来一些未知的安全问题,因此在这里建议单击“取消”按钮,改用手工来创建。
在Serv-U处于运行状态时,我们需要修改默认的管理口令。因为默认的口令为空,对此我们中需要单击主界面上“设置/更改密码”按钮,在弹出的“设置或更改管理员密码”窗口,此时在“新密码”和“重复新密码”窗口中连续输入自己欲设置的口令,注意一定要设置的复杂一些(图1)。这样用户在设置一些本地服务时将必须输入口令才能完成。
三、账户设置须仔细
1.账户失效时间
对于新账的账户,必须认真设置其权限。首先如果账户有使用时间限制,那么一定需要在“帐号”标签中设置帐户自动“移除”的时间,这主要是针对一些临时账户用户。
2.防范大容量文件攻击
其次为了防范大容量文件攻击,我们需要限制最大速度。切换到“常规”标签,我们可以看到默认状态下“最大上传速度”和“最大下载速度”都是空白一片,则表示没有限制,这样一些黑客就会这个漏洞传送大容量的文件,从而导致FTP处理不过来使程序停止响应或自动关闭。因此,用户可以根据需要填写一个限制的速度,单位是KB/秒,一般填写1000KB/秒左右为宜。另外“空闲超时”和“会话超时”也建议设置一个数值,通常的10分钟左右即可(图2)。
3.目录访问权限
一般来说,我们不需要将多余的权限授予用户。因此,中需要根据其账户类型,在“目录访问”标签中选择相应的操作类型即可。但是有一点需要注意的是,不管是什么用户,建议都不要授予其“运行”权限,因为在取得webshell后就可以很容易的运行攻击程序来破坏Serv-U的正常工作。
4.限制访问来源
通常情况下,用户登录FTP时的IP地址都相对固定,即使是使用ADSL这类拨号上网动态IP地址用户,其用于自动分配的IP地址都是有一个相对固定的范围的。对此,我们可以切换到“IP访问”标签,将“编辑规则”设为“允许访问”,然后在“规则”中输入允许访问的IP地址或IP地址段,输入之后单击“添加”按钮,可以添加多条规则。
另外我们也可以从系统日志中查找蛛丝马迹,发现来明不明的IP地址,可以将其添加到“拒绝访问”列表中。
四、启用SSL
默认状态下,Serv-U的数据传输都是以明文方式传送的,这样很容易被一些嗅探工具捕获。对此,我们可以启用SSL加密。
首先在Serv-U的管理窗口左侧选择“本地服务器”下的“设置”项,在右侧选择“SSL证书”标签,然后在“普通名称”中填入实际使用的FTP地址,其它的项目随便填写,填好后单击“应用”按钮完成SSL证书的创建。
接下来,我们就可以在域列表中选择自己已 经创建好的域,然后在右侧的“安全性”下拉菜单中选中“只允许SSL/TLS进程”选项,再单击“应用”按钮即可启用当前域的SSL加密功能了。
不过要注意的是,启用SSL加密后,默认的FTP端口21将被改成990,对此需要告知用户,否则无法成功连接到FTP服务器。
五、认真查阅日志
用户访问FTP服务器,Serv-U都会忠诚的做下详实的记录,这些记录中包括用户访问的IP地址、连接时间、断开时间、上传下载的文件等。在管理窗口左侧选择要查看的域,然后再选择“活动”项,在右侧选择“域日志”,这样在这里即可显示详细的日志信息了。通过这些日志信息可以判断是否有恶意攻击。
六、注意升级
每一次补丁的发布都会弥补一些缺陷,因此建议大家在可能的情况下需要关注安全新闻,注意打补丁及时升级。这同样是网络安全中通用的一条法则。
猜你喜欢
- CNET科技资讯网 3月3日 北京报道(文/张丹):雅虎全球与微软的联姻获批,使得搜索市场谷歌一家独大的不利市场局面获得转机。然而雅虎这家拥
- 发现问题在su root时发现无法切换到root权限.显示: /usr/local/bin/zsh 没有文件或目录想了想问题所在,突然想起来
- 漫游(Manyou)开放平台是康盛创想(Comsenz)为第三方应用开发者提供的开放平台。漫游开放平台一端联系着数百个第三方应用开发者,一端
- 大多数网站的推广都离不开搜索引擎,地方门户也不例外。所以处理好地方门户与搜索引擎的关系对于地方门户网站的推广有着很大的意义。网站上线前,要把
- 1.密码保护的.htaccess文件 尽管有各种各样的.htaccess用法,但至今最流行的也可能是最有用的做法是将其用于网站目录可靠的密码
- 如何修改你域名的DNS服务器呢?下面我们就来讨论一下,假设你的域名是在Godaddy上注册的,你可以修改、添加、删除这个域名的DNS服务器,
- 各位站长好,以前给百度客服打过N次电话,每每问及近期收录相关事谊都不给允回答。今天又打了一次。接电话的是个男的,听声音好像未成年...(日小
- 李彦宏昨日在香港科技大学演讲时,首度披露了进军日本市场涉及的搜索内容,“我们在日本市场已经推出网页搜索、图像搜索、视频搜索,而我们进军全球市
- Discuz!X自它诞生以来就饱受争议,无论是正面的还是侧面的,它被康盛推出了,那么,它就有他的优势之所在,而discuz作为我们站长运营过
- 介绍Kafka是一个分布式的、可分区的、可复制的消息系统。它提供了普通消息系统的功能,但具有自己独特的设计。这个独特的设计是什么样的呢?首先
- 1,Apache下载 https://www.apache.org/ 选择一个版本,点击Download点击File F
- 我们先了解一下FTP文件传输协议(File Transfer Protocol,FTP)是用于在网络上进行文件传输的一套标准协议,它工作在
- 11月13日,支付宝“免费试用”频道赫然出现一台斯柯达昊锐汽车,网站表示,凡拥有驾照的上海或者浙江的支付宝用户,都可以申请用一周的时间来免费
- “牌照虽然还没正式发,但应该快了吧。”记者昨日从业内了解到,不少第三方支付企业正等着领“身份证”。第三方支付行业的迅猛发展为大量消费者网络购
- SimpleServer:WWW——一款设置简单的Windows平台基础服务器。AnalogX公司的SimpleServer:WWW服务器可
- apache|服务器|高级作为系统管理员,若你只有一个IP地址,却有好几个域名,又要求访问每个域名都要看到不同的内容,那怎么办?总不至于为每
- 选择服务器是一项重大决策,通常费时费钱。错误的决策会导致不良后果。在本文中,我们将首先谈谈一些在规划时需考虑的问题,然后进一步讨论如何在Wi
- 在你购买一个托管计划后,你需要登陆到你的Account Manager来完成帐户设置。第一. 登陆你的Account Manager.第二.
- Discuz!7.0是康盛创想(Comsenz)公司于2008年12月份发布的一款论坛BBS建站产品。在Discuz!7.0版本中,为了更加
- 第一,策划网站赢利。做网站是为了赢利,为了能赚大钱。所以,在做网站之前,首先要想好网站的赢利模式。且,赢利活动,市场活动,在网站还没做好之前