الأول هو ثغرة SITE CHMOD الخاصة بـ SERV-U وثغرة Serv-U MDTM، مما يعني أنه يمكنك بسهولة الحصول على أذونات النظام باستخدام حساب. والثاني هو ثغرة السعة المحلية لـ Serv-u، أي أن Serv-U لديه مستخدم إداري افتراضي (اسم المستخدم: localadministrator، كلمة المرور: #|@$ak#.|k;0@p)، يمكن لأي شخص الوصول إليه من خلاله يمكن للحساب ذو المنفذ المحلي 43958 إضافة حسابات أو حذفها حسب الرغبة وتنفيذ أي أوامر داخلية وخارجية.
في هذا الوقت، بدأ الناس في الاهتمام بأمن SERV-U واتخذوا بعض الإجراءات ذات الصلة، مثل تعديل منفذ الإدارة ورقم الحساب وكلمة المرور لـ SERV-U. ومع ذلك، لا يزال المحتوى المعدل محفوظًا في ملف ServUDaemon.exe، لذلك بعد التنزيل، يمكنك بسهولة الحصول على المنفذ والحساب وكلمة المرور المعدلة باستخدام برنامج تحرير سداسي عشري مثل UltraEdit.
بدءًا من SERV-U6.0.0.2، يحتوي البرنامج على وظيفة كلمة مرور تسجيل الدخول. إذا تمت إضافة كلمة مرور الإدارة وتم ضبط الإعدادات بشكل صحيح، فسيكون SERV-U أكثر أمانًا من ذي قبل. نبدأ الآن رحلة إعداد SERV-U، باستخدام الإصدار SERV-U 6.0.0.2.
كما يقول المثل القديم، برج يبلغ ارتفاعه ألف قدم يبدأ بالأساس، وسلامة SERV-U تبدأ بالتركيب. تتناول هذه المقالة بشكل أساسي إعدادات الأمان لـ SERV-U، لذلك لن تقضي الكثير من الوقت في تقديم التثبيت، فقط النقاط الرئيسية.
يتم تثبيت SERV-U في الدليل C:Program FilesServ-U بشكل افتراضي، ومن الأفضل إجراء بعض التغييرات. على سبيل المثال، إذا لم يتمكن مستخدم حرف محرك أقراص التثبيت WEB من التصفح، فسيكون من الصعب عليه تخمين مسار التثبيت. بالطبع، بعد التثبيت، سيتم إنشاء اختصار على سطح المكتب وقائمة البدء، ويوصى بحذفه لأنه غير مستخدم بشكل عام. قد ترغب في التساؤل عن كيفية الدخول إلى واجهة الإعداد الخاصة بـ SERV-U؟ إنه في الواقع أمر بسيط جدًا. انقر نقرًا مزدوجًا فوق أيقونة Tray Monitor الصغيرة في شريط المهام في الزاوية اليمنى لبدء واجهة إدارة SERV-U.
الشكل 1: تعديل دليل التثبيت
عند التثبيت، ما عليك سوى تحديد العنصرين الأولين، والعنصرين التاليين هما التعليمات وملفات المساعدة عبر الإنترنت. (انظر الشكل 2)
الشكل 2: يجب تحديد العنصرين الأولين فقط أثناء التثبيت. الشكل التالي هو اسم المجلد الموجود في مجموعة قائمة البداية التي تم إنشاؤها، ويوصى بتغييره إلى اسم أقل شبهاً بـ SERV-U المجلد. (انظر الشكل 3)
الشكل 3: تغيير اسم المجلد في مجموعة قائمة البداية التي تم إنشاؤها بعد التثبيت
[قص الصفحة]
بعد اكتمال التثبيت، سيظهر معالج يسمح لك بإنشاء مجال وحساب. انقر فوق "إلغاء الأمر" هنا لإلغاء المعالج. سوف يتسبب الحساب الذي تم إنشاؤه بواسطة المعالج في حدوث بعض المشكلات، لذلك يتم إنشاء المجال والحساب يدويًا أدناه. (انظر الشكل 4)
الشكل 4: انقر فوق "إلغاء الأمر" لإلغاء المعالج
ثم انقر فوق الخيار الموجود أمام البدء تلقائيًا (خدمة النظام)، ثم انقر فوق زر بدء الخادم الموجود بالأسفل لإضافة SERV-U إلى خدمة النظام، بحيث يمكن بدء تشغيله مع النظام دون الحاجة إلى تشغيله يدويًا في كل مرة. (انظر الشكل 5)
الشكل 5: إضافة SERV-U إلى الخدمة
بعد ذلك، ستظهر الواجهة الموضحة في الشكل 6. قم بتعيين كلمة مرور بالنقر فوق تعيين/تغيير كلمة المرور.
الشكل 6: انقر فوق تعيين/تغيير كلمة المرور لتعيين كلمة المرور
[قص الصفحة]
ثم ستظهر الواجهة الموضحة في الشكل 7. نظرًا لأن هذه هي المرة الأولى لاستخدامه، فلا توجد كلمة مرور، مما يعني أن كلمة المرور الأصلية فارغة. ليست هناك حاجة لإدخال أحرف في كلمة المرور القديمة، فقط أدخل نفس كلمة المرور في كلمة المرور الجديدة وكرر كلمة المرور الجديدة أدناه وانقر فوق "موافق". يوصى هنا بتعيين كلمة مرور معقدة بدرجة كافية لمنع الآخرين من اختراقها بالقوة الغاشمة. لا يهم إذا كنت لا تستطيع تذكرها. ما عليك سوى مسح السطر LocalSetupPassword= وحفظه في ServUDaemon.ini، ولن تتم مطالبتك بإدخال كلمة المرور الخاصة بك لتسجيل الدخول عند تشغيل ServUAdmin.exe مرة أخرى.
الشكل 8: إنشاء حساب WINDOWS
بعد إنشاء الحساب، انقر نقرًا مزدوجًا فوق المستخدم الذي تم إنشاؤه لتحرير خصائص المستخدم وحذف مجموعة المستخدمين من "ينتمي إلى".
الشكل 9: حذف مجموعة المستخدمين من الانتماء
قم بإلغاء تحديد "السماح بتسجيل الدخول إلى Terminal Server (W)" من خيار "ملف تعريف الخدمات الطرفية" وانقر فوق "موافق" لمتابعة إعداداتنا. (انظر الشكل 10)
الشكل 10: إلغاء "السماح بتسجيل الدخول إلى الخادم الطرفي"
لقد قمنا بإنشاء حساب هنا، وحان الوقت لإعداد الحساب في الخدمة. نحتاج الآن إلى استخدام الحساب الذي أنشأناه للتو. لم تنسَ كلمة المرور بعد، لذا ستحتاج إليها قريبًا.
[قص الصفحة]
ابحث عن "الخدمات" في أدوات الإدارة بقائمة البداية وانقر لفتحها. انقر بزر الماوس الأيمن على "Serv-U FTP Server Service" وحدد "خصائص" للمتابعة.
ثم انقر فوق "تسجيل الدخول" للدخول إلى واجهة اختيار حساب تسجيل الدخول. حدد اسم حساب النظام الذي أنشأته للتو، وأدخل كلمة المرور الخاصة بالحساب مرتين (الكلمة التي طُلب منك تذكرها الآن)، ثم انقر فوق "تطبيق" وانقر فوق "موافق" مرة أخرى لإكمال إعدادات الخدمة. (انظر الشكل 11)
الشكل 11: قم بتغيير كلمة مرور الحساب لبدء وتسجيل الدخول إلى SRV-U. بعد ذلك، تحتاج إلى استخدام أداة إدارة FTP لإنشاء مجال، ثم إنشاء حساب، ثم اختيار حفظه في السجل. (انظر الشكل 12)
الشكل 12: يتم حفظ كلمة مرور مستخدم FTP في السجل
افتح السجل لاختبار الأذونات المقابلة، وإلا فلن يتم تشغيل SERV-U. أدخل regedt32 في ابدأ->تشغيل وانقر على "موافق" للمتابعة.
ابحث عن الفرع [HKEY_LOCAL_MACHINESOFTWARECat Soft]. انقر بزر الماوس الأيمن عليه، وحدد الأذونات، ثم انقر فوق خيارات متقدمة، وقم بإلغاء السماح للأذونات الموروثة من الوالدين بالانتشار إلى هذا الكائن وجميع الكائنات الفرعية، بما في ذلك تلك المحددة صراحةً هنا، وانقر فوق "تطبيق" للمتابعة، ثم احذف جميع الحسابات. انقر فوق الزر "موافق" مرة أخرى للمتابعة. سينبثق مربع حوار يقول "لقد رفضت وصول جميع المستخدمين إلى Cat Soft. لا يمكن لأحد الوصول إلى Cat Soft، ويمكن للمالك فقط تغيير الأذونات. هل تريد المتابعة؟"، انقر فوق "نعم" للمتابعة. ثم انقر فوق الزر "إضافة" لإضافة حساب SSERVU الذي أنشأناه إلى قائمة الأذونات الخاصة بالمفتاح الفرعي ومنح أذونات التحكم الكاملة. تم إعداد التسجيل هنا. لكن لا يمكن إعادة تشغيل SERV-U بعد لأنه لم يتم تعيين دليل التثبيت بعد.
قم بإعداده الآن، واحتفظ فقط بحسابك الإداري وحساب SSERVU، وامنح جميع الأذونات باستثناء التحكم الكامل. (انظر الشكل 13)
الشكل 13: إعدادات إذن دليل تثبيت SERV-U
الآن قم بإعادة تشغيل خدمة Serv-U FTP Server الموجودة في الخدمة وسوف تبدأ بشكل طبيعي. بالطبع، لم يتم إكمال الإعدادات بالكامل هنا، ولا يزال مستخدم FTP الخاص بك غير قادر على تسجيل الدخول لأنه ليس لديه أذونات، لذلك لا تزال بحاجة إلى تعيين أذونات الدليل.
لنفترض أن لديك دليل ويب، المسار هو d:web. ثم قم بحذف الكل باستثناء المسؤول ومستخدمي IIS في "إعدادات الأمان" لهذا الدليل، ثم قم بإضافة حساب SSERVU وتذكر حذف حساب النظام أيضًا. لماذا نحتاج إلى إعداده مثل هذا؟ نظرًا لأن SERV-U بدأ الآن بحساب SSERVU بدلاً من أذونات SYSTEM، لذلك لم تعد تستخدم SYSTEM للوصول إلى الدليل ولكن SSERVU في هذا الوقت، لم يعد SYSTEM مفيدًا، لذا حتى إذا تجاوز سعة الملف، فلن يحدث ذلك الحصول على أذونات النظام. بالإضافة إلى ذلك، يجب أيضًا تعيين الدليل الجذر للقرص الذي يوجد به دليل الويب للسماح بأذونات التصفح والقراءة لحساب SSERV-U، والتأكد من تعيين هذا المجلد فقط في الإعداد المتقدم. (انظر الشكل 14)
الشكل 14: إعدادات الأذونات للقرص الذي يوجد به دليل الويب
عند هذه النقطة، يتم الانتهاء من كافة الإعدادات. يتم تعيين إعدادات SERV-U الحالية بالتزامن مع IIS، نظرًا لاستخدام حسابات مختلفة مع IIS، فمن المستحيل لمستخدمي WEB الوصول إلى دليل SERV-U، ولا يمنح دليل WEB أذونات النظام، لذلك لا يمكن لحساب النظام. الوصول إلى دليل الويب بمعنى آخر، حتى إذا كنت تستخدم MSSQL للحصول على أذونات النسخ الاحتياطي، فلن تتمكن من عمل نسخة احتياطية من SHELL إلى دليل الويب الخاص بك. يمكنك استخدام SERV-U بأمان.
بعد اكتمال التثبيت، سيظهر معالج يسمح لك بإنشاء مجال وحساب. انقر فوق "إلغاء الأمر" هنا لإلغاء المعالج. سوف يتسبب الحساب الذي تم إنشاؤه بواسطة المعالج في حدوث بعض المشكلات، لذلك يتم إنشاء المجال والحساب يدويًا أدناه. (انظر الشكل 4)
الشكل 4: انقر فوق "إلغاء الأمر" لإلغاء المعالج
ثم انقر فوق الخيار الموجود أمام البدء تلقائيًا (خدمة النظام)، ثم انقر فوق زر بدء الخادم الموجود بالأسفل لإضافة SERV-U إلى خدمة النظام، بحيث يمكن بدء تشغيله مع النظام دون الحاجة إلى تشغيله يدويًا في كل مرة. (انظر الشكل 5)
الشكل 5: إضافة SERV-U إلى الخدمة
بعد ذلك، ستظهر الواجهة الموضحة في الشكل 6. قم بتعيين كلمة مرور بالنقر فوق تعيين/تغيير كلمة المرور.
الشكل 6: انقر فوق تعيين/تغيير كلمة المرور لتعيين كلمة المرور