灌溉梦想,记录脚步
« »
2008年5月19日技术合集

Serv-u安全配置

1,首先安装Serv-U,路径随便,不要安装在C盘!
路径尽量复杂的,以减少入侵者猜到安装路径,如D:\5155kdh\5126554dad485\
2,运行Serv-U,注册域,把密码保存设置为 “加密在注册表里(Domain type:Store in computer registry)”。把帐户密码保存在注册表比保存在ServUDaemon.ini安全。

3,Serv-U安装完成后。打开“计算机管理”,“本地用户和组”。新建一个用户,如Asion,密码要长,要复杂,抄下,一会还要用上! 把用户不能更改密码和密码永不过期勾上3, 打开新建用户(Asion)的属性,在“隶属于”中把Users删除掉,即不属于任何组
在“终端服务配置文件”,把“拒绝这个上用户登录到任何终端服务器”打上勾在“拨入”中,"远程访问权限"为“拒绝访问”
4,打开Serv-U安装目录“属性”“安全”“高级”,取消“允许父项的继承权限传播到该对象和所有子对象”,然后点“复制”把System/Creator owner/Users 删除掉,只留下”Administrator”.然后“添加”“高级”“立刻查找”,把新的建的用户“Asion”进去,权限除完全控制其它都给予! (即Serv-U安装目录只有两个用户权限,Admin/asion完全控制)

5,,运行注册表程序Regedt32,打开分支\HKEY_LOCAL_MACHINE\SOFTWARE\Cat Soft,右击CatSoft打开权限,取消“允许父项的继续权限传播到该对象和所有子对象”,然后点删除,再应用。当弹出警告对话框“你拒绝了所有用户访问CatSoft。没有人能访问Catsoft。而且只有所有者才能更改权限。你要继续吗” 选择“是”。然后添加Administrator和新建的用户Asion所有权限(完全控制
6,打开计算机管理,“服务和应用程序”“服务”,找到”Serv-U Ftp服务器”,打开“属性”“登录”,将登陆身份设置为“此帐户”,并将新建的帐户asion添加上去,然后填上密码,再应用)接着重新启动一次Serv-U 服务。如果出现“错误5:拒绝访问” 那就要检查以上的操作有没漏做一步!这种现象一般都是权限设置错误!

7,运行Serv-U Admin,在“Settings”“Advanced” 下,添加PASV port range 3000-3030

在域的Advanced中。添加被动端口IP “Allow passive mode data transfers,use IP xxx.xxx.xxx.xxx”

Serv-U安装路径尽量复杂,删除所有快捷图标,包括Documents and Settings 下每个用户目录的快捷方式,目的是尽量减少入侵者猜中。建立新帐户为为Serv-U的服务启动是为安全, Serv-U默认是System启动,而Serv-U有一个默认的管理用户(用户名:localadministrator,密码:#|@$ak#.|k;0@p),任何人只要通过一个能访问本地端口43958的账号就可以随意增删账号和执行任意内部和外部命令。 而注册表中设置只允许Admin和Serv-U服务帐户全权,也是防止入侵IIS后而读取Serv-U的Ftp 帐号密码。指定PASV(被动端口)很有必要,一是减少服务器端口开放,越少越安全;二是使于管理。如果不开放PASV,那么客户用IE登陆FTP就会出错! 另外FTP最好是开启记录日志,要是被入侵,还有点痕迹可查。

日志信息 »

该日志于2008-05-19 14:43由 admin 发表在技术合集分类下, 你可以发表评论。除了可以将这个日志以保留源地址及作者的情况下引用到你的网站或博客,还可以通过RSS 2.0订阅这个日志的所有评论。

发表回复