Die erste ist die SITE CHMOD-Schwachstelle und die Serv-U MDTM-Schwachstelle von SERV-U, was bedeutet, dass Sie mithilfe eines Kontos problemlos SYSTEM-Berechtigungen erhalten können. Die zweite ist die lokale Überlaufschwachstelle von Serv-u, das heißt, Serv-U verfügt über einen standardmäßigen Administratorbenutzer (Benutzername: localadministrator, Passwort: #|@$ak#.|k;0@p), über den jeder darauf zugreifen kann Ein Konto mit dem lokalen Port 43958 kann nach Belieben Konten hinzufügen oder löschen und beliebige interne und externe Befehle ausführen.
Zu diesem Zeitpunkt begann man, auf die Sicherheit von SERV-U zu achten und einige relevante Maßnahmen zu ergreifen, wie z. B. die Änderung des Verwaltungsports, der Kontonummer und des Passworts von SERV-U. Der geänderte Inhalt bleibt jedoch weiterhin in der Datei ServUDaemon.exe erhalten, sodass Sie nach dem Herunterladen problemlos den geänderten Port, das Konto und das Kennwort mithilfe einer Hexadezimalbearbeitungssoftware wie UltraEdit abrufen können.
Ab SERV-U6.0.0.2 verfügt die Software über eine Login-Passwortfunktion. Wenn ein Verwaltungspasswort hinzugefügt wird und die Einstellungen richtig eingestellt sind, ist SERV-U viel sicherer als zuvor. Jetzt beginnen wir mit der Einrichtung von SERV-U und verwenden dabei die Version SERV-U 6.0.0.2.
Wie das alte Sprichwort sagt: Ein tausend Fuß hoher Turm beginnt mit dem Fundament, und die Sicherheit von SERV-U beginnt mit der Installation. In diesem Artikel geht es hauptsächlich um die Sicherheitseinstellungen von SERV-U, sodass nicht zu viel Zeit damit verbracht wird, die Installation vorzustellen, sondern nur die wichtigsten Punkte.
SERV-U wird standardmäßig im Verzeichnis C:ProgrammeServ-U installiert. Wir sollten besser einige Änderungen vornehmen. Wenn der WEB-Benutzer beispielsweise den Buchstaben des Installationslaufwerks nicht durchsuchen kann, ist es für ihn schwierig, den Installationspfad zu erraten. Natürlich wird nach der Installation eine Verknüpfung auf dem Desktop und im Startmenü generiert. Es wird empfohlen, diese zu löschen, da sie im Allgemeinen nicht verwendet wird. Sie möchten vielleicht fragen, wie Sie die Einstellungsschnittstelle von SERV-U aufrufen? Es ist eigentlich ganz einfach. Doppelklicken Sie auf das kleine Tray-Monitor-Symbol in der Taskleiste in der rechten Ecke, um die SERV-U-Verwaltungsoberfläche zu starten.
Abbildung 1: Ändern Sie das Installationsverzeichnis
Wählen Sie bei der Installation einfach die ersten beiden Elemente aus. Die nächsten beiden sind Anweisungen und Online-Hilfedateien. (Siehe Abbildung 2)
Abbildung 2: Bei der Installation müssen nur die ersten beiden Elemente ausgewählt werden. Die folgende Abbildung zeigt den Namen des Ordners in der generierten Startmenügruppe. Es wird empfohlen, ihn in einen Namen zu ändern, der weniger SERV-U ähnelt, oder ihn zu löschen den Ordner. (Siehe Abbildung 3)
Abbildung 3: Ändern Sie den Namen des Ordners in der nach der Installation generierten Startmenügruppe
[Seite ausschneiden]
Nach Abschluss der Installation erscheint ein Assistent, mit dem Sie eine Domäne und ein Konto erstellen können. Klicken Sie hier auf Abbrechen, um den Assistenten abzubrechen. Das vom Assistenten generierte Konto verursacht einige Probleme, daher werden die Domäne und das Konto unten manuell erstellt. (Siehe Abbildung 4)
Abbildung 4: Klicken Sie auf „Abbrechen“, um den Assistenten abzubrechen
Klicken Sie dann auf die Option vor „Automatisch starten (Systemdienst)“ und dann unten auf die Schaltfläche „Server starten“, um SERV-U zum Systemdienst hinzuzufügen, sodass dieser mit dem System gestartet werden kann, ohne ihn jedes Mal manuell starten zu müssen. (Siehe Abbildung 5)
Abbildung 5: SERV-U zum Dienst hinzufügen
Als nächstes erscheint die in Abbildung 6 gezeigte Schnittstelle. Legen Sie ein Passwort fest, indem Sie auf „Passwort festlegen/ändern“ klicken.
Abbildung 6: Klicken Sie auf „Passwort festlegen/ändern“, um das Passwort festzulegen
[Seite ausschneiden]
Dann erscheint die in Abbildung 7 gezeigte Schnittstelle. Da es sich um die erste Verwendung handelt, gibt es kein Passwort, was bedeutet, dass das ursprüngliche Passwort leer ist. Im alten Passwort müssen keine Zeichen eingegeben werden. Geben Sie einfach dasselbe Passwort in die Felder „Neues Passwort“ und „Neues Passwort wiederholen“ ein und klicken Sie auf „OK“. Hier empfiehlt es sich, ein Passwort festzulegen, das komplex genug ist, um andere vor Brute-Force-Knacken zu schützen. Es macht nichts, wenn Sie sich nicht mehr daran erinnern können. Löschen und speichern Sie einfach die Zeile „LocalSetupPassword=“ in ServUDaemon.ini, und Sie werden nicht aufgefordert, Ihr Passwort einzugeben, um sich anzumelden, wenn Sie ServUAdmin.exe erneut ausführen. Abbildung 8: Erstellen Sie ein WINDOWS-Konto
Doppelklicken Sie nach dem Erstellen des Kontos auf den erstellten Benutzer, um die Benutzereigenschaften zu bearbeiten und die Gruppe USERS aus „Gehört zu“ zu löschen.
Abbildung 9: Gruppe USERS aus Zugehörigkeit löschen
Deaktivieren Sie „Anmeldung am Terminalserver (W) zulassen“ in der Option „Terminaldiensteprofil“ und klicken Sie auf „OK“, um mit unseren Einstellungen fortzufahren. (Siehe Abbildung 10)
Abbildung 10: „Anmeldung am Terminalserver zulassen“ abbrechen
Wir haben hier ein Konto erstellt und es ist Zeit, das Konto im Dienst einzurichten. Jetzt müssen wir das Konto verwenden, das wir gerade erstellt haben. Sie haben das Passwort noch nicht vergessen, Sie werden es also bald benötigen.
[Seite ausschneiden]
Suchen Sie in den Verwaltungstools des Startmenüs nach „Dienste“ und klicken Sie, um es zu öffnen. Klicken Sie mit der rechten Maustaste auf „Serv-U FTP Server Service“ und wählen Sie „Eigenschaften“, um fortzufahren.
Klicken Sie dann auf „Anmelden“, um die Benutzeroberfläche zur Auswahl des Anmeldekontos aufzurufen. Wählen Sie den soeben erstellten Systemkontonamen aus und geben Sie zweimal das Passwort für das Konto ein (das Passwort, das Sie sich gerade merken sollten). Klicken Sie dann auf „Übernehmen“ und erneut auf „OK“, um die Diensteinstellungen abzuschließen. (Siehe Abbildung 11)
Abbildung 11: Ändern Sie das Kontokennwort zum Starten und Anmelden bei SRV-U. Als Nächstes müssen Sie mit dem FTP-Verwaltungstool eine Domäne erstellen, dann ein Konto erstellen und es dann in der Registrierung speichern. (Siehe Abbildung 12)
Abbildung 12: FTP-Benutzerpasswort wird in der Registry gespeichert
Öffnen Sie die Registry, um die entsprechenden Berechtigungen zu testen, andernfalls wird SERV-U nicht gestartet. Geben Sie regedt32 in Start->Ausführen ein und klicken Sie auf „OK“, um fortzufahren.
Suchen Sie den Zweig [HKEY_LOCAL_MACHINESOFTWARECat Soft]. Klicken Sie mit der rechten Maustaste darauf, wählen Sie „Berechtigungen“ aus, klicken Sie dann auf „Erweitert“, brechen Sie die Übertragung der geerbten Berechtigungen des übergeordneten Objekts auf dieses Objekt und alle untergeordneten Objekte, einschließlich der hier explizit definierten, ab, klicken Sie auf „Übernehmen“, um fortzufahren, und löschen Sie dann alle Konten. Klicken Sie erneut auf die Schaltfläche „OK“, um fortzufahren. Es erscheint ein Dialogfeld mit der Meldung „Sie haben allen Benutzern den Zugriff auf Cat Soft verweigert. Niemand kann auf Cat Soft zugreifen und nur der Eigentümer kann Berechtigungen ändern. Möchten Sie fortfahren?“ Klicken Sie auf „Ja“, um fortzufahren. Klicken Sie dann auf die Schaltfläche „Hinzufügen“, um das von uns erstellte SSERVU-Konto zur Berechtigungsliste des Unterschlüssels hinzuzufügen und Vollzugriffsberechtigungen zu erteilen. Die Registrierung wurde hier eingerichtet. Allerdings kann SERV-U noch nicht neu gestartet werden, da das Installationsverzeichnis noch nicht festgelegt wurde.
Richten Sie es jetzt ein, behalten Sie nur Ihr Administratorkonto und SSERVU-Konto und erteilen Sie alle Berechtigungen außer Vollzugriff. (Siehe Abbildung 13)
Abbildung 13: Berechtigungseinstellungen für das SERV-U-Installationsverzeichnis
Starten Sie nun den Serv-U-FTP-Serverdienst im Dienst neu und er wird normal gestartet. Natürlich sind die Einstellungen hier noch nicht vollständig abgeschlossen. Da Ihr FTP-Benutzer keine Berechtigungen hat, müssen Sie die Verzeichnisberechtigungen noch festlegen.
Angenommen, Sie haben ein WEB-Verzeichnis. Der Pfad lautet d:web. Löschen Sie dann alle außer dem Administrator und den IIS-Benutzern in den „Sicherheitseinstellungen“ dieses Verzeichnisses und fügen Sie dann das SSERVU-Konto hinzu. Denken Sie daran, auch das SYSTEM-Konto zu löschen. Warum müssen wir es so einrichten? Da SERV-U jetzt mit dem SSERVU-Konto statt mit SYSTEM-Berechtigungen gestartet wird, verwenden Sie nicht mehr SYSTEM für den Zugriff auf das Verzeichnis, sondern SSERVU. Zu diesem Zeitpunkt ist SYSTEM nicht mehr nützlich, sodass es möglicherweise nicht mehr zu einem Überlauf kommt Holen Sie sich SYSTEM-Berechtigungen. Darüber hinaus muss auch das Stammverzeichnis des Datenträgers, auf dem sich das WEB-Verzeichnis befindet, so eingestellt werden, dass es Browsing- und Leseberechtigungen für das SSERV-U-Konto zulässt, und bestätigen, dass nur dieser Ordner in der erweiterten Einstellung festgelegt ist. (Siehe Abbildung 14)
Abbildung 14: Berechtigungseinstellungen des Datenträgers, auf dem sich das WEB-Verzeichnis befindet
Zu diesem Zeitpunkt sind alle Einstellungen abgeschlossen. Die aktuellen SERV-U-Einstellungen werden in Verbindung mit IIS festgelegt. Da mit IIS unterschiedliche Konten verwendet werden, ist es für WEB-Benutzer nicht möglich, auf das SERV-U-Verzeichnis zuzugreifen, und das WEB-Verzeichnis gewährt keine SYSTEM-Berechtigungen, sodass dies für das SYSTEM-Konto nicht möglich ist Greifen Sie auf das WEB-Verzeichnis zu. Mit anderen Worten: Selbst wenn Sie MSSQL verwenden, um Sicherungsberechtigungen zu erhalten, können Sie SHELL nicht in Ihrem WEB-Verzeichnis sichern. Sie können SERV-U sicher verwenden.
Nach Abschluss der Installation erscheint ein Assistent, mit dem Sie eine Domäne und ein Konto erstellen können. Klicken Sie hier auf Abbrechen, um den Assistenten abzubrechen. Das vom Assistenten generierte Konto verursacht einige Probleme, daher werden die Domäne und das Konto unten manuell erstellt. (Siehe Abbildung 4)
Abbildung 4: Klicken Sie auf „Abbrechen“, um den Assistenten abzubrechen
Klicken Sie dann auf die Option vor „Automatisch starten (Systemdienst)“ und dann unten auf die Schaltfläche „Server starten“, um SERV-U zum Systemdienst hinzuzufügen, sodass dieser mit dem System gestartet werden kann, ohne ihn jedes Mal manuell starten zu müssen. (Siehe Abbildung 5)
Abbildung 5: SERV-U zum Dienst hinzufügen
Als nächstes erscheint die in Abbildung 6 gezeigte Schnittstelle. Legen Sie ein Passwort fest, indem Sie auf „Passwort festlegen/ändern“ klicken.
Abbildung 6: Klicken Sie auf „Passwort festlegen/ändern“, um das Passwort festzulegen