1 つ目は、SERV-U の SITE CHMOD 脆弱性と Serv-U MDTM 脆弱性です。これは、アカウントを使用して SYSTEM 権限を簡単に取得できることを意味します。 2 つ目は、Serv-u のローカル オーバーフローの脆弱性です。つまり、Serv-U にはデフォルトの管理ユーザー (ユーザー名: localadministrator、パスワード: #|@$ak#.|k;0@p) があり、誰でも次の方法でアクセスできます。ローカル ポート 43958 を持つアカウントは、アカウントを自由に追加または削除し、内部および外部コマンドを実行できます。
この時点で、人々は SERV-U のセキュリティに注目し始め、SERV-U の管理ポート、アカウント番号、パスワードを変更するなどの関連措置を講じました。ただし、変更された内容は ServUDaemon.exe ファイルに保持されているため、ダウンロード後、UltraEdit などの 16 進数編集ソフトウェアを使用して、変更されたポート、アカウント、パスワードを簡単に取得できます。
SERV-U6.0.0.2からはログインパスワード機能が追加され、適切に設定すればSERV-Uはより安全になります。ここで、バージョン SERV-U 6.0.0.2 を使用して、SERV-U のセットアップ作業を開始します。
古いことわざにあるように、1,000 フィートの塔は基礎から始まり、SERV-U の安全性は設置から始まります。この記事では主に SERV-U のセキュリティ設定について説明するため、インストールの紹介にはあまり時間を費やさず、重要なポイントのみを説明します。
SERV-U はデフォルトで C:Program FilesServ-U ディレクトリにインストールされます。いくつか変更を加えた方がよいでしょう。たとえば、インストール ドライブ文字の WEB ユーザーが参照できない場合、インストール パスを推測するのは困難になります。もちろん、インストール後はデスクトップやスタートメニューにショートカットが生成されますが、通常は使用しないので削除することをお勧めします。 SERV-U の設定画面に入るにはどうすればよいですか?実際には、右隅のタスクバーにある小さなトレイ モニター アイコンをダブルクリックして、SERV-U 管理インターフェイスを起動します。
図 1: インストール ディレクトリを変更する
インストールするときは、最初の 2 つの項目を選択するだけです。次の 2 つは説明書とオンライン ヘルプ ファイルです。 (図2を参照)
図 2: インストール時に選択する必要があるのは最初の 2 つの項目のみです。次の図は、生成されたスタート メニュー グループ内のフォルダーの名前です。SERV-U に似ていない名前に変更するか、削除することをお勧めします。フォルダー。 (図 3 を参照)
図 3: インストール後に生成されるスタート メニュー グループ内のフォルダーの名前を変更する
[カットページ]
インストールが完了すると、ドメインとアカウントを作成できるウィザードが表示されます。ウィザードをキャンセルするには、ここで「キャンセル」をクリックします。ウィザードで生成したアカウントでは問題が発生するため、以下では手動でドメインとアカウントを作成します。 (図4を参照)
図 4: [キャンセル] をクリックしてウィザードをキャンセルします。
次に、[自動的に開始 (システム サービス)] の前にあるオプションをクリックし、下の [サーバーの開始] ボタンをクリックして SERV-U をシステム サービスに追加します。これにより、毎回手動で開始しなくても、システムで SERV-U を開始できるようになります。 (図5を参照)
図 5: SERV-U をサービスに追加する
次に、図 6 に示すインターフェイスが表示されます。 「パスワードの設定/変更」をクリックしてパスワードを設定します。
図 6: [パスワードの設定/変更] をクリックしてパスワードを設定します。
[カットページ]
すると、図 7 に示すインターフェイスが表示されます。初めて使用するため、パスワードはありません。つまり、元のパスワードは空です。古いパスワードに文字を入力する必要はありません。下の [新しいパスワード] と [新しいパスワードを繰り返します] に同じパスワードを入力し、[OK] をクリックします。ここでは、他人によるブルートフォースクラッキングを防ぐのに十分複雑なパスワードを設定することをお勧めします。覚えていなくても問題はありません。ServUDaemon.ini の LocalSetupPassword= 行をクリアして保存するだけで、ServUAdmin.exe を再度実行するときにログインするためのパスワードの入力を求められなくなります。
図 8: WINDOWS アカウントの作成
アカウント作成後、作成したユーザーをダブルクリックしてユーザーのプロパティを編集し、「所属」からUSERSグループを削除します。
図 9: USERS グループを所属から削除
「ターミナル サービス プロファイル」オプションから「ターミナル サーバーへのログオンを許可する (W)」のチェックを外し、「OK」をクリックして設定を続行します。 (図 10 を参照)
図 10: 「ターミナル サーバーへのログオンを許可する」をキャンセルします。
ここでアカウントを作成しました。次は、サービスでアカウントを設定します。ここで、作成したばかりのアカウントを使用する必要があります。パスワードはまだ忘れていないので、すぐに必要になります。
[カットページ]
スタートメニューの管理ツールで「サービス」を見つけてクリックして開きます。 「Serv-U FTP サーバー サービス」を右クリックし、「プロパティ」を選択して続行します。
次に、「ログイン」をクリックして、ログインアカウント選択インターフェースに入ります。作成したばかりのシステム アカウント名を選択し、アカウントのパスワード (先ほど覚えておくように求められたパスワード) を 2 回入力し、[適用] をクリックし、再度 [OK] をクリックしてサービス設定を完了します。 (図 11 を参照)
図 11: SRV-U を起動してログインするためのアカウント パスワードを変更する 次に、FTP 管理ツールを使用してドメインを作成し、アカウントを作成して、レジストリに保存することを選択する必要があります。 (図 12 を参照)
図 12: FTP ユーザーのパスワードはレジストリに保存されます
レジストリを開いて対応するアクセス許可をテストしないと、SERV-U が起動しません。 [スタート] -> [ファイル名を指定して実行] に「regedt32」と入力し、[OK] をクリックして続行します。
[HKEY_LOCAL_MACHINESOFTWARECat Soft] ブランチを見つけます。それを右クリックし、「アクセス許可」を選択し、「詳細設定」をクリックし、親から継承されたアクセス許可がこのオブジェクトとすべての子オブジェクト (ここで明示的に定義されているものを含む) に反映されることを許可することをキャンセルし、「適用」をクリックして続行し、すべてのアカウントを削除します。続行するには、もう一度「OK」ボタンをクリックしてください。 「Cat Soft へのすべてのユーザーのアクセスが拒否されました。誰も Cat Soft にアクセスできず、所有者のみが権限を変更できます。続行しますか?」というダイアログ ボックスが表示されますので、「はい」をクリックして続行します。次に、[追加] ボタンをクリックして、作成した SSERVU アカウントをサブキーの権限リストに追加し、フル コントロールの権限を付与します。レジストリはここに設定されています。ただし、インストールディレクトリが設定されていないため、SERV-Uを再起動することはできません。
今すぐセットアップして、管理者アカウントと SSERVU アカウントのみを保持し、フル コントロールを除くすべての権限を付与します。 (図 13 を参照)
図 13: SERV-U インストール ディレクトリの権限設定
ここで、サービス内で Serv-U FTP Server サービスを再起動すると、正常に開始されます。もちろん、ここでは設定が完全に完了していないため、FTP ユーザーは権限がないためまだログインできないため、ディレクトリの権限を設定する必要があります。
WEB ディレクトリがあるとします。パスは d:web です。次に、このディレクトリの「セキュリティ設定」で管理者と IIS ユーザーを除くすべてのユーザーを削除し、SSERVU アカウントを追加します。SYSTEM アカウントも忘れずに削除してください。なぜこのように設定する必要があるのでしょうか? SERV-U は SYSTEM 権限ではなく SSERVU アカウントで開始されるため、SYSTEM を使用してディレクトリにアクセスすることはなくなりますが、現時点では SYSTEM は役に立たないため、たとえオーバーフローしても問題は発生しません。システム権限を取得します。また、WEB ディレクトリが存在するディスクのルート ディレクトリも SSERV-U アカウントの参照および読み取り権限を許可するように設定し、詳細設定でこのフォルダーのみが設定されていることを確認する必要があります。 (図 14 を参照)
図 14: WEB ディレクトリが配置されているディスクのアクセス許可設定
これですべての設定が完了しました。現在の SERV-U 設定は IIS と連動して設定されているため、IIS では異なるアカウントが使用されるため、WEB ユーザーは SERV-U ディレクトリにアクセスできず、WEB ディレクトリには SYSTEM 権限が付与されないため、SYSTEM アカウントにはアクセスできません。つまり、MSSQL を使用してバックアップ権限を取得したとしても、SHELL を WEB ディレクトリにバックアップすることはできません。 SERV-Uを安心してご利用いただけます。
インストールが完了すると、ドメインとアカウントを作成できるウィザードが表示されます。ウィザードをキャンセルするには、ここで「キャンセル」をクリックします。ウィザードで生成したアカウントでは問題が発生するため、以下では手動でドメインとアカウントを作成します。 (図4を参照)
図 4: [キャンセル] をクリックしてウィザードをキャンセルします。
次に、[自動的に開始 (システム サービス)] の前にあるオプションをクリックし、下の [サーバーの開始] ボタンをクリックして SERV-U をシステム サービスに追加します。これにより、毎回手動で開始しなくても、システムで SERV-U を開始できるようになります。 (図5を参照)
図 5: SERV-U をサービスに追加する
次に、図 6 に示すインターフェイスが表示されます。 「パスワードの設定/変更」をクリックしてパスワードを設定します。
図 6: [パスワードの設定/変更] をクリックしてパスワードを設定します。