知已知彼百战不殆 Serv-U攻击防护全攻略(6)

　　D.另外要注意的几个问题

　　a.首先遇到的就是如何对用户进行管理。为了安全起见，我们一般建两个账号，一个账号用于上传，一个账号用于下载，当然视具体情况不同而不同啦。这样管理起来就方便多了，上传的账号的权限就只能写入与列表，当然如果有人上传一个文件夹，你就得为人家开一个创建目录的权限，同理，下载的账号只要能读取与列表，当然有些网站提供下载只能读取不能列表也很正常，视具体情况灵活配置，这里抓一个图配置上传账号的目录访问设置，下载专用账号的就不抓图了，如图13:

图13

　　另外，如果你担心这个不够用，你还可以利用NTFS来设置上传和下载的目录的权限。

　　b.其次就是一个防范大容量文件攻击的问题，如果没有设置上传下载等一些参数，用FTP发送大容量的文件可能导致FTP处理繁忙甚至造成程序假死或自动关闭的现象，所以建议设置一下，如图14:

图14

　　c.再者就是FTP服务中存在允许上传权限的问题，这个问题只是在允许断点再传的FTP服务中存在,但现在90%的FTP服务程序都是允许断点再传的，所以这问题在普遍的FTP服务器都会存在.其最好的防范方法是每个用户都给他建立一个目录，将那个用户的权限完全锁在这个目录内，那么用户就没有权限可以查看其它用户的目录，也就是说无法造成这个问题所造成的破坏。

　　E.对本地提升权限的终极防范

　　读者朋友们，前面说了Serv-U是以服务启动默认是以System权限运行的，所以才有被权限提升的可能。如果这个时候我们把Serv-U服务的启动用户改成一个USER组的用户，那么就再不会有所谓的权限提升了。这样做又出来了一个问题，FTP服务本身却无权限访问serv_U安装目录了，比较好的解决办法就是把这个低权限用户对Serv-U安装目录和提供FTP服务的目录或盘符设为完全控制的权限。在进行终极防范之前，首先把你欲创建的FTP账号建好并设置好相关的权限，然后我们把serv_U服务的权限降级，Let’s go….

　　1.打开计算机管理里面的用户与组，创建一个隶属于users的用户servuadmin，然后打开服务找到serv_u服务并进行如下的设置，输入刚才添加servuadmin的时候的密码再按下确定就是了，如图15:

图15

　　这样我们的FTP服务的权限就属于一个users权限了。就不会存在本地提升权限了，但是这样子修改以后你的FTP已经失去功能了，不用急，看下面。

　　2.下面得为serv_U安装目录和提供FTP服务的目录进行设置，选中完全控制就可以了。这里只抓一个安装目录的权限设置，提供FTP服务的目录设置也是一样，如图16:

图16

　　4. 溢出测试是否安全。经过上面的配置之后，我们可以对自己的FTP服务器进行本地溢出测试，就不抓图了，结论嘛肯定是不成功啦!当然，这样配置后就意味着以后我们管理FTP的时候少了一份危险的同时却多了一份麻烦，因为你会发现现在打开FTP管理工具却创建不了新的用户以及删除不了用户。所以以后想加FTP账号的话，改回Serv_U服务的system权限再加吧!

　　四.　小结与思考

　　借用某N人的话:入侵和防御就像矛和盾，盾上不能有任何薄弱之处，不然就会死的很难看。本文旨在为服务器管理员提供防御这个漏洞的办法，不足之处，请大家多多指教。

　　点击下载Serv-U