Configuración de seguridad de Serv-U 6.0.0.2 Raiders

Como un software de servidor FTP clásico, SERV-U ha sido utilizado por la mayoría de los administradores, su instalación y configuración simples y las potentes funciones de administración de la humanización También ha sido elogiado por los administradores. Pero con más y más usuarios, la seguridad del software ha emergido gradualmente.

El primero es la vulnerabilidad SITE CHMOD y la vulnerabilidad Serv-U MDTM de SERV-U, lo que significa que puede obtener fácilmente privilegios de SISTEMA con una cuenta. Seguido de la vulnerabilidad de desbordamiento local de Serv-u, es decir, Serv-U tiene un usuario administrativo predeterminado (nombre de usuario: localadministrator, contraseña: # | @ $ ak #. | k; 0 @ p), cualquier persona puede acceder y eliminar cualquier cuenta y ejecutar comandos internos y externos a través de una cuenta que puede acceder al puerto local 43958.

En este punto, la gente comenzó a prestar atención a la seguridad de SERV-U y tomó algunas medidas, como modificar el puerto de administración, el número de cuenta y la contraseña de SERV-U. Sin embargo, el contenido modificado permanece en el archivo ServUDaemon.exe, por lo que después de la descarga, puede obtener fácilmente el puerto, la cuenta y la contraseña modificados con un software de edición hexadecimal como UltraEdit.

A partir de SERV-U6.0.0.2, el software tiene una función de contraseña de inicio de sesión, por lo que si agrega una contraseña administrativa y la configuración es más apropiada, SERV-U será más seguro que el original. Ahora comenzaremos el recorrido de configuración de SERV-U, la versión es SERV-U 6.0.0.2.

Hay una nube en el viejo dicho, la plataforma de mil pies comienza desde el suelo base, y la seguridad de la configuración SERV-U comienza desde la instalación. Este artículo es principalmente para escribir la configuración de seguridad de SERV-U, por lo que no tomará demasiado esfuerzo para introducir la instalación, solo hable sobre los puntos principales.

SERV-U se instala de forma predeterminada en el directorio C: /Archivos de programa /Serv-U. Será mejor que hagamos cambios. Por ejemplo, cambie a la ruta: D: /yuj3487Gwer6eJegsf, si el usuario WEB de la unidad de instalación no puede navegar, es difícil adivinar la ruta de instalación. Por supuesto, después de la instalación, se generará un acceso directo en el escritorio y en el menú de inicio, se recomienda eliminar, ya que generalmente no se utiliza. Tal vez tenga que preguntar, ¿cómo debería ingresar a la interfaz de configuración de SERV-U? De hecho, es muy simple, haga doble clic en el pequeño icono del Monitor de Bandeja en la barra de tareas en la parte inferior derecha para iniciar la interfaz de administración de SERV-U.

Solo se pueden seleccionar los 2 primeros elementos durante la instalación. Los dos siguientes son descripciones y archivos de ayuda en línea.

Se sugiere que el nombre de la carpeta en el grupo de menú de inicio generado se cambie a otro que no sea el nombre de SERV-U, o que se elimine la carpeta.

Una vez completada la instalación, aparecerá un asistente que le permitirá crear un dominio y una cuenta. Haga clic en Cancelar aquí para cancelar el asistente. La cuenta generada por el asistente traerá algunos problemas, por lo que la siguiente forma de establecer el dominio y la cuenta manualmente.

Luego, haga clic en la opción delante de Iniciar automáticamente (servicio del sistema), luego haga clic en el botón Iniciar servidor para agregar SERV-U al servicio del sistema, de modo que pueda comenzar con el sistema, no es necesario iniciarlo manualmente cada vez.

A continuación, establezca una contraseña haciendo clic en Establecer /Cambiar contraseña. Debido a que se usa por primera vez, no hay contraseña, lo que significa que la contraseña original está vacía. En lugar de ingresar caracteres en la contraseña anterior, simplemente ingrese la misma contraseña en la Nueva contraseña y Repita la nueva contraseña a continuación y haga clic en Aceptar. Se recomienda establecer una contraseña que sea lo suficientemente compleja como para evitar el agrietamiento violento. No puede recordarlo o no. Simplemente borre y guarde la línea LocalSetupPassword = en ServUDaemon.ini. La ejecución de ServUAdmin.exe nuevamente no le pedirá que ingrese su contraseña.

El siguiente es el momento de establecer la configuración de seguridad para SERV-U. Primero cree una cuenta SSERVU de WINDOWS, la contraseña también debe ser lo suficientemente compleja. Recuerde la contraseña, si no puede recordarla, guárdela en un archivo por un tiempo y úsela más tarde.

Después de crear la cuenta, haga doble clic en el usuario creado para editar el atributo de usuario y eliminar el grupo de USUARIOS de "Subordinado".

Desmarque la opción "Permitir inicio de sesión en el servidor de terminal (W)" de la opción "Perfil de servicios de Terminal Server" y haga clic en Aceptar para continuar con nuestra configuración.

Aquí hemos creado una cuenta, esta es la cuenta en el servicio. Ahora necesito usar la cuenta que acabo de crear. La contraseña no se ha olvidado. La usaré pronto.

Encuentre "Servicios" en la herramienta de administración del menú Inicio y haga clic en Abrir. Haga clic derecho en "Serv-U Servidor Servidor FTP" y seleccione Propiedades para continuar.

Luego haga clic en "Iniciar sesión" para ingresar a la interfaz de selección de cuenta de inicio de sesión. Seleccione el nombre de la cuenta del sistema que acaba de crear e ingrese la contraseña de la cuenta dos veces (es decir, la que acaba de recordar), luego haga clic en "Aplicar", haga clic en Aceptar nuevamente para completar la configuración del servicio.

A continuación, primero debe crear un dominio con la herramienta de administración de FTP, luego crear una cuenta y elegir guardarlo en el registro.

Abra el registro para probar los permisos correspondientes, de lo contrario no se puede iniciar SERV-U. Ingrese "regedt32" en "Inicio /Ejecutar" y haga clic en "Aceptar" para continuar.

Localice la rama [HKEY_LOCAL_MACHINE /SOFTWARE /Cat Soft]. Haga clic derecho sobre él, seleccione Permisos, luego haga clic en Avanzado, no habilitado para permitir que los permisos heredados del padre se propaguen al objeto y a todos los subobjetos, incluidos los que se definen explícitamente aquí, haga clic en "Aplicar" para continuar, luego elimine todas las cuentas. Haga clic en el botón "Aceptar" de nuevo para continuar. Aparecerá un cuadro de diálogo emergente con el mensaje "Usted ha denegado el acceso a Cat Soft para todos los usuarios. Nadie puede acceder a Cat Soft y solo el propietario puede cambiar los permisos. ¿Desea continuar?", Haga clic en "Sí" para continuar. Luego haga clic en el botón Agregar para agregar la cuenta SSERVU que creamos a la lista de permisos para esa subclave, y otorgue el control total. El registro se ha configurado aquí. Sin embargo, no puede reiniciar SERV-U porque el directorio de instalación no se ha configurado.

Configúrelo ahora, solo mantenga su cuenta administrativa y SSERVU, y otorgue todos los permisos excepto el control total.

Ahora, el reinicio del servicio Serv-U Servidor FTP en el servicio se iniciará normalmente. Por supuesto, aún no se ha configurado completamente. Los usuarios de FTP no pueden iniciar sesión porque no tienen permiso, por lo que debe configurar los permisos del directorio.

Supongamos que tiene un directorio web con la ruta d: /web. Luego, en la "configuración de seguridad" de este directorio, además de que el administrador y los usuarios de IIS se eliminan y luego se unen a la cuenta SSERVU, recuerde que la cuenta del SISTEMA también se eliminó. ¿Por qué quieres configurar esto? Debido a que ahora es SERV-U comenzó con la cuenta SSERVU, en lugar de usar el permiso del SISTEMA para iniciar, entonces el acceso al directorio ya no usa el SISTEMA, pero con SSERVU, en este momento el SISTEMA ya no se usa, por lo que incluso si realmente se desborda Puede obtener el permiso del SISTEMA. Además, el directorio raíz del disco donde se ubica el directorio WEB también debe configurarse para permitir los permisos de navegación y lectura de la cuenta SSERV-U y confirmar que solo la carpeta está configurada en el nivel avanzado.

En este punto, las configuraciones están por todas partes. La configuración actual de SERV-U se establece con IIS, ya que si IIS usa una cuenta diferente, los usuarios de WEB no pueden acceder al directorio SERV-U y el directorio de WEB no otorga permisos de SISTEMA, por lo que la cuenta de SISTEMA no puede acceder al directorio de WEB. En otras palabras, incluso si usa MSSQL para obtener permisos de copia de seguridad, no puede hacer una copia de seguridad de SHELL en su directorio WEB. Puede utilizar SERV-U de forma segura.