첫 번째는 SERV-U의 SITE CHMOD 취약점과 Serv-U MDTM 취약점으로, 계정을 사용하여 쉽게 SYSTEM 권한을 얻을 수 있다는 의미입니다. 두 번째는 Serv-u의 로컬 오버플로 취약점입니다. 즉, Serv-U에는 기본 관리 사용자(사용자 이름: localadministrator, 비밀번호: #|@$ak#.|k;0@p)가 있으며 이를 통해 누구나 접근할 수 있습니다. one 로컬 포트 43958을 사용하는 계정은 마음대로 계정을 추가하거나 삭제할 수 있으며 내부 및 외부 명령을 실행할 수 있습니다.
이때부터 사람들은 SERV-U의 보안에 관심을 갖기 시작했고 SERV-U의 관리 포트, 계정 번호, 비밀번호를 수정하는 등 몇 가지 관련 조치를 취했습니다. 그러나 수정된 내용은 여전히 ServUDaemon.exe 파일에 유지되므로 다운로드 후 UltraEdit과 같은 16진수 편집 소프트웨어를 사용하여 수정된 포트, 계정 및 비밀번호를 쉽게 얻을 수 있습니다.
SERV-U6.0.0.2부터 소프트웨어에는 로그인 비밀번호 기능이 있습니다. 관리 비밀번호를 추가하고 설정을 올바르게 설정하면 SERV-U는 이전보다 훨씬 안전해집니다. 이제 SERV-U 6.0.0.2 버전을 사용하여 SERV-U 설정 과정을 시작합니다.
천피트의 탑도 기초부터 시작된다는 옛말처럼 SERV-U의 안전은 설치에서부터 시작됩니다. 이번 글에서는 SERV-U의 보안 설정에 대해 주로 다루므로 설치 소개에 너무 많은 시간을 할애하지 않고 핵심 사항만 소개하겠습니다.
SERV-U는 기본적으로 C:Program FilesServ-U 디렉터리에 설치됩니다. 예를 들어, 설치 드라이브 문자 WEB 사용자가 탐색할 수 없는 경우 설치 경로를 추측하기가 어렵습니다. 물론, 설치 후에는 바탕화면과 시작 메뉴에 바로가기가 생성되지만 일반적으로 사용되지 않으므로 삭제하는 것이 좋습니다. SERV-U의 설정 인터페이스에 어떻게 들어가나요? 실제로는 매우 간단합니다. 오른쪽 모서리에 있는 작업 표시줄에 있는 작은 트레이 모니터 아이콘을 두 번 클릭하면 SERV-U 관리 인터페이스가 시작됩니다.
그림 1: 설치 디렉터리 수정
설치할 때 처음 두 항목을 선택하면 됩니다. 다음 두 항목은 지침과 온라인 도움말 파일입니다. (그림 2 참조)
그림 2: 설치 시 처음 두 항목만 선택하면 됩니다. 다음 그림은 생성된 시작 메뉴 그룹의 폴더 이름입니다. SERV-U와 유사한 이름으로 변경하거나 삭제하는 것이 좋습니다. 폴더. (그림 3 참조)
그림 3: 설치 후 생성된 시작 메뉴 그룹의 폴더 이름 변경
[컷 페이지]
설치가 완료되면 도메인과 계정을 생성할 수 있는 마법사가 나타납니다. 마법사를 취소하려면 여기에서 취소를 클릭하세요. 마법사에서 생성한 계정은 문제가 발생할 수 있으므로 아래에서 도메인과 계정을 수동으로 생성합니다. (그림 4 참조)
그림 4: 마법사를 취소하려면 취소를 클릭하세요.
그런 다음 자동으로 시작(시스템 서비스) 앞의 옵션을 클릭한 후 아래의 서버 시작 버튼을 클릭하여 SERV-U를 시스템 서비스에 추가하면 매번 수동으로 시작할 필요 없이 시스템과 함께 시작할 수 있습니다. (그림 5 참조)
그림 5: 서비스에 SERV-U 추가
다음으로 그림 6에 표시된 인터페이스가 나타납니다. 비밀번호 설정/변경을 클릭하여 비밀번호를 설정하세요.
그림 6: 비밀번호 설정/변경을 클릭하여 비밀번호를 설정합니다.
[컷 페이지]
그러면 그림 7과 같은 인터페이스가 나타납니다. 처음 사용하는 것이기 때문에 비밀번호가 없습니다. 즉 원래 비밀번호가 비어 있다는 뜻입니다. 이전 비밀번호에는 문자를 입력할 필요가 없습니다. 아래의 새 비밀번호와 새 비밀번호 반복에 동일한 비밀번호를 입력하고 확인을 클릭하면 됩니다. 여기서는 다른 사람이 무차별 대입 크래킹을 방지할 수 있을 만큼 복잡한 비밀번호를 설정하는 것이 좋습니다. 기억나지 않아도 상관 없습니다. ServUDaemon.ini에서 LocalSetupPassword= 줄을 지우고 저장하면 ServUAdmin.exe를 다시 실행할 때 로그인하기 위해 비밀번호를 입력하라는 메시지가 표시되지 않습니다.
그림 8: WINDOWS 계정 만들기
계정을 생성한 후 생성된 사용자를 두 번 클릭하여 사용자 속성을 편집하고 "속함"에서 USERS 그룹을 삭제합니다.
그림 9: 소속에서 USERS 그룹 삭제
"터미널 서비스 프로필" 옵션에서 "터미널 서버(W) 로그온 허용"을 선택 취소하고 확인을 클릭하여 설정을 계속합니다. (그림 10 참조)
그림 10: "터미널 서버에 로그온 허용" 취소
여기서 계정을 만들었으니 이제 서비스에서 계정을 설정할 차례입니다. 이제 방금 만든 계정을 사용해야 합니다. 아직 비밀번호를 잊어버리지 않았으므로 곧 필요할 것입니다.
[컷 페이지]
시작 메뉴의 관리 도구에서 "서비스"를 찾아 클릭하여 엽니다. "Serv-U FTP 서버 서비스"를 마우스 오른쪽 버튼으로 클릭하고 속성을 선택하여 계속합니다.
그런 다음 "로그인"을 클릭하여 로그인 계정 선택 인터페이스로 들어갑니다. 방금 생성한 시스템 계정 이름을 선택하고 해당 계정의 비밀번호(지금 기억하라고 한 비밀번호)를 두 번 입력한 후 "적용"을 클릭하고 다시 확인을 클릭하면 서비스 설정이 완료됩니다. (그림 11 참조)
그림 11: SRV-U 시작 및 로그인을 위한 계정 비밀번호 변경 다음으로 FTP 관리 도구를 사용하여 도메인을 생성한 다음 계정을 생성하고 이를 레지스트리에 저장하도록 선택해야 합니다. (그림 12 참조)
그림 12: FTP 사용자 비밀번호가 레지스트리에 저장됩니다.
레지스트리를 열어 해당 권한을 테스트하십시오. 그렇지 않으면 SERV-U가 시작되지 않습니다. 시작->실행에 regedt32를 입력하고 "확인"을 클릭하여 계속합니다.
[HKEY_LOCAL_MACHINESOFTWARECat Soft] 분기를 찾습니다. 마우스 오른쪽 버튼을 클릭하고 권한을 선택한 다음 고급을 클릭하고 상위 개체의 상속된 권한이 이 개체와 여기에 명시적으로 정의된 개체를 포함하여 모든 하위 개체에 전파되도록 허용을 취소하고 "적용"을 클릭하여 계속한 다음 모든 계정을 삭제합니다. 계속하려면 "확인" 버튼을 다시 클릭하세요. "모든 사용자의 Cat Soft 액세스를 거부했습니다. 누구도 Cat Soft에 액세스할 수 없으며 소유자만 권한을 변경할 수 있습니다. 계속하시겠습니까?"라는 대화 상자가 나타나면 "예"를 클릭하여 계속합니다. 그런 다음 추가 버튼을 클릭하여 생성한 SSERVU 계정을 하위 키의 권한 목록에 추가하고 모든 제어 권한을 부여합니다. 여기에 레지스트리가 설정되었습니다. 하지만 아직 설치 디렉터리가 설정되지 않았기 때문에 SERV-U를 재시작할 수 없습니다.
지금 설정하고 관리 계정과 SSERVU 계정만 유지하고 모든 권한을 제외한 모든 권한을 부여하세요. (그림 13 참조)
그림 13: SERV-U 설치 디렉터리 권한 설정
이제 서비스에서 Serv-U FTP 서버 서비스를 다시 시작하면 정상적으로 시작됩니다. 물론 여기에서 설정이 완전히 완료되지 않았습니다. FTP 사용자는 권한이 없기 때문에 여전히 로그인할 수 없으므로 여전히 디렉터리 권한을 설정해야 합니다.
WEB 디렉토리가 있고 경로는 d:web이라고 가정합니다. 그런 다음 이 디렉터리의 "보안 설정"에서 관리자 및 IIS 사용자를 제외한 모든 항목을 삭제한 다음 SSERVU 계정을 추가하세요. SYSTEM 계정도 삭제하세요. 왜 이렇게 설정해야 합니까? SERV-U는 이제 SYSTEM 권한 대신 SSERVU 계정으로 시작되므로 더 이상 SYSTEM을 사용하여 디렉터리에 액세스하지 않고 SSERVU를 사용합니다. 이때 SYSTEM은 더 이상 유용하지 않으므로 오버플로가 발생하더라도 5월이 되지 않습니다. 시스템 권한을 얻으십시오. 또한, WEB 디렉터리가 위치한 디스크의 루트 디렉터리도 SSERV-U 계정의 검색 및 읽기 권한을 허용하도록 설정되어 있어야 하며, 고급 설정에서 이 폴더만 설정되어 있는지 확인하세요. (그림 14 참조)
그림 14: WEB 디렉터리가 위치한 디스크의 권한 설정
이제 모든 설정이 완료되었습니다. 현재 SERV-U 설정은 IIS와 연동되어 설정되어 있으므로, IIS에서는 서로 다른 계정을 사용하므로 WEB 사용자는 SERV-U 디렉터리에 접근할 수 없으며, WEB 디렉터리에서는 SYSTEM 권한을 부여하지 않으므로 SYSTEM 계정은 접근할 수 없습니다. 즉, MSSQL을 사용하여 백업 권한을 얻더라도 SHELL을 WEB 디렉터리에 백업할 수 없습니다. SERV-U를 안전하게 사용하실 수 있습니다.
설치가 완료되면 도메인과 계정을 생성할 수 있는 마법사가 나타납니다. 마법사를 취소하려면 여기에서 취소를 클릭하세요. 마법사에서 생성한 계정은 문제가 발생할 수 있으므로 아래에서 도메인과 계정을 수동으로 생성합니다. (그림 4 참조)
그림 4: 마법사를 취소하려면 취소를 클릭하세요.
그런 다음 자동으로 시작(시스템 서비스) 앞의 옵션을 클릭한 후 아래의 서버 시작 버튼을 클릭하여 SERV-U를 시스템 서비스에 추가하면 매번 수동으로 시작할 필요 없이 시스템과 함께 시작할 수 있습니다. (그림 5 참조)
그림 5: 서비스에 SERV-U 추가
다음으로 그림 6에 표시된 인터페이스가 나타납니다. 비밀번호 설정/변경을 클릭하여 비밀번호를 설정하세요.
그림 6: 비밀번호 설정/변경을 클릭하여 비밀번호를 설정합니다.