关于Serv-u的安装网上许多文章中提到要安装在一个复杂的路径,个人认为这个不是十分必要,完全可以按照你喜欢的例如:D:\\soft\\Serv-u目录里。但是不推荐安装在系统盘目录里,也不推荐安装在c:\\Program files目录里,因为这个目录的权限的原因(详细权限设置以后再发文专门讨论)。推荐的方式是无需安装,直接使用绿色版的或直接复制在其他机器上安装好的Serv-U的目录。serv-u的用户配置文件有两种方式,一种是存放在注册表,一种是存放在ServUDaemon.ini文件,推荐使用存放在.ini文件里面的方式,这种方式便于ser-u软件的升级,也便于重装系统后的ftp用户的恢复,在权限设置上也相对方便。另外版本的选择一定要选择6.3版本以上的,现在最新的是 6.4.0.6 ,推荐使用,这里我们假设serv-u软件放在的的D:\\soft\\Serv-U目录里。
2、权限设置:
给serv-u单独的用户权限运行。在计算机管理中新增帐户ftp,设置用户不能更改密码,密码用不过期,并设置一个复杂的密码,更改ftp用户隶属于Guests组(默认是USERS组),当然也可以设置为不属于任何组。
启动serv-u(这时是使用默认的system权限运行的),选择本地服务器,自动开始,将serv-u设置为系统服务,这样服务器在每次重启时serv-u就会自动启动,这里我们主要利用其可以在服务中配置给serv-u单独用户。
设置D:\\soft\\Serv-U目录的权限为只保留administrators,ftp两个用户的权限,权限都是完全控制即可,并替换到所有子目录。
在计算机管理中找到服务,找到Serv-U FTP 服务器,右键属性,在登录选项卡中将登录身份从本地系统帐户改为此帐户,帐户选择ftp,并输入设置好的密码。确定后会提示将在服务重启后生效,接着点右键,重新启动,如果启动成功,你的serv-u就在低权限下运行了。
上传目录权限的设置:因为serv-u是用ftp这个帐户运行的,所以上传的目录给予ftp用户的完全访问权限就可以了,比如我们可以设置D、E、F盘的权限为administrators和ftp完全控制的权限,System权限也不用加了,如果serv-u用默认权限运行,则必须加入system权限才能对该目录进行ftp操作。
简单总结一下以上所说的安全要点:
1、尽量使用最新版的Serv-u,如果英文还可以,推荐直接用英文版的,如果要用中文的,一定要在其他机器进行测试,确认汉化包无流氓插件后再在正式服务器上使用。
2、设置Serv-u运行于普通用户权限,这样即使通过木马执行net localgroup administrators XXX /Add也不可能执行成功了。
3、设置Serv-u的目录权限,只给administrators和运行serv-u用户的权限,其他的都不要给,尤其是everyone权限(在服务器上使用everyone权限要十分慎重,网上有很多文章图懒法不管三七二十一加个everyone就算了的。您可不要图懒也加个everyone就算了,我所配置的服务器中没有一处是使用everyone权限的。)和guests权限,users用户权限也不要给。目的就是彻底防止通过Webshell访问到Serv-u目录,如果这一步设置不严,即使设了Serv-u密码,通过Webshell下载了你的Serv-u去破解或者用UltraEdit-32打开分析,也一样可能造成攻击。
4、磁盘目录权限,也就是你用ftp操作的目录权限例如WEB目录等,除了必要的IIS帐户权限外,只加administrators和用来运行serv-u的帐户的权限即可(可设为完全控制)。
5、务必要设置一个本地管理密码,防止通过Webshell连接默认用户名密码的方式进行攻击。
6、推荐用UltraEdit-32更改serv-u默认的帐户密码,其实也花不了很多时间。
7、端口的设置,完全可以根据个人喜好设置,个人认为与安全并无多大关系,因为即使更改了默认的21端口,如果有人想攻击,一样可以扫描出来。
只要严格注重了以上几点,那么可以说你可以安全放心的使用你的Serv-u了。当然,服务器的安全是一个整体,任何地方的疏忽都有可能造成整个服务器的安全隐患。以上所说仅仅是与Serv-U相关的安全设置,绝不代表整个服务器就安全了。这一点务必注意。下面说说防火墙的设置。