Первая — это уязвимость SITE CHMOD SERV-U и уязвимость Serv-U MDTM, что означает, что вы можете легко получить системные разрешения, используя учетную запись. Вторая — это уязвимость локального переполнения Serv-u, то есть Serv-U имеет пользователя-администратора по умолчанию (имя пользователя: localadministrator, пароль: #|@$ak#.|k;0@p), любой может получить к нему доступ через one Учетная запись с локальным портом 43958 может добавлять или удалять учетные записи по своему желанию и выполнять любые внутренние и внешние команды.
В это время люди начали обращать внимание на безопасность SERV-U и приняли некоторые соответствующие меры, такие как изменение порта управления, номера учетной записи и пароля SERV-U. Однако измененное содержимое по-прежнему сохраняется в файле ServUDaemon.exe, поэтому после загрузки вы можете легко получить измененный порт, учетную запись и пароль с помощью программного обеспечения для шестнадцатеричного редактирования, такого как UltraEdit.
Начиная с SERV-U6.0.0.2, программное обеспечение имеет функцию пароля для входа в систему. Если добавлен пароль управления и правильно установлены настройки, SERV-U будет намного безопаснее, чем раньше. Теперь мы начинаем процесс установки SERV-U, используя версию SERV-U 6.0.0.2.
Как гласит старая поговорка, башня в тысячу футов начинается с фундамента, а безопасность СЕРВ-У начинается с установки. В этой статье в основном рассказывается о настройках безопасности SERV-U, поэтому мы не будем тратить слишком много времени на ознакомление с установкой, а только на ключевые моменты.
По умолчанию SERV-U устанавливается в каталог C:Program FilesServ-U. Нам лучше внести некоторые изменения. Например, если WEB-пользователь не может просмотреть букву установочного диска, ему будет сложно угадать путь установки. Конечно, после установки на рабочем столе и в меню «Пуск» будет создан ярлык. Рекомендуется его удалить, поскольку он обычно не используется. Вы можете спросить, как войти в интерфейс настроек SERV-U? На самом деле это очень просто. Дважды щелкните небольшой значок Tray Monitor на панели задач в правом углу, чтобы запустить интерфейс управления SERV-U.
Рисунок 1. Измените каталог установки.
При установке просто выберите первые два пункта. Следующие два — это инструкции и файлы онлайн-помощи. (См. рисунок 2)
Рисунок 2. Во время установки необходимо выбрать только первые два элемента. Следующий рисунок представляет собой имя папки в созданной группе меню «Пуск». Рекомендуется изменить его на имя, менее похожее на SERV-U, или удалить. папка. (См. рисунок 3)
Рисунок 3. Изменение имени папки в группе меню «Пуск», созданной после установки.
[Вырезанная страница]
После завершения установки появится мастер, позволяющий создать домен и учетную запись. Нажмите здесь «Отмена», чтобы отменить работу мастера. Учетная запись, созданная мастером, вызовет некоторые проблемы, поэтому домен и учетная запись создаются вручную ниже. (См. рисунок 4)
Рисунок 4. Нажмите «Отмена», чтобы отменить работу мастера.
Затем выберите параметр перед «Запустить автоматически» (системная служба), а затем нажмите кнопку «Запустить сервер» ниже, чтобы добавить SERV-U к системной службе, чтобы его можно было запускать вместе с системой без необходимости каждый раз запускать его вручную. (См. рисунок 5)
Рисунок 5. Добавьте SERV-U в сервис.
Далее появится интерфейс, показанный на рисунке 6. Установите пароль, нажав «Установить/изменить пароль».
Рисунок 6. Нажмите «Установить/изменить пароль», чтобы установить пароль.
[Вырезанная страница]
После этого появится интерфейс, показанный на рисунке 7. Поскольку вы используете его впервые, пароль отсутствует, а это означает, что исходный пароль пуст. Нет необходимости вводить символы в старый пароль. Просто введите тот же пароль в поля «Новый пароль» и «Повторите новый пароль» ниже и нажмите «ОК». Здесь рекомендуется установить достаточно сложный пароль, чтобы другие не смогли взломать его методом грубой силы. Не беда, если вы его не помните. Просто очистите и сохраните строку LocalSetupPassword= в ServUDaemon.ini, и вам не будет предложено ввести пароль для входа в систему при повторном запуске ServUAdmin.exe. Рисунок 8. Создайте учетную запись WINDOWS.
После создания учетной записи дважды щелкните созданного пользователя, чтобы отредактировать свойства пользователя и удалить группу ПОЛЬЗОВАТЕЛИ из списка «Принадлежит».
Рисунок 9. Удаление группы USERS из принадлежности
Снимите флажок «Разрешить вход на сервер терминалов (W)» в параметре «Профиль служб терминалов» и нажмите «ОК», чтобы продолжить настройку. (См. рисунок 10)
Рисунок 10. Отмена «Разрешить вход на сервер терминалов».
Мы создали учетную запись здесь, и пришло время настроить учетную запись в сервисе. Теперь нам нужно использовать только что созданную учетную запись. Пароль вы еще не забыли, поэтому он вам скоро понадобится.
[Вырезанная страница]
Найдите «Службы» в инструментах управления меню «Пуск» и нажмите, чтобы открыть их. Щелкните правой кнопкой мыши «Служба FTP-сервера Serv-U» и выберите «Свойства», чтобы продолжить.
Затем нажмите «Войти», чтобы войти в интерфейс выбора учетной записи. Выберите имя системной учетной записи, которую вы только что создали, и дважды введите пароль для учетной записи (тот, который вас попросили запомнить только что), затем нажмите «Применить» и еще раз нажмите «ОК», чтобы завершить настройку службы. (См. рисунок 11)
Рисунок 11: Измените пароль учетной записи для запуска и входа в SRV-U Далее вам необходимо использовать инструмент управления FTP, чтобы создать домен, затем создать учетную запись, а затем выбрать ее сохранение в реестре. (См. рисунок 12)
Рисунок 12. Пароль пользователя FTP сохраняется в реестре.
Откройте реестр, чтобы проверить соответствующие разрешения, иначе SERV-U не запустится. Введите regedt32 в меню «Пуск->Выполнить» и нажмите «ОК», чтобы продолжить.
Найдите ветку [HKEY_LOCAL_MACHINESOFTWARECat Soft]. Щелкните его правой кнопкой мыши, выберите «Разрешения», затем нажмите «Дополнительно», отмените разрешение распространения унаследованных от родительского объекта разрешений на этот объект и все дочерние объекты, включая те, которые явно определены здесь, нажмите «Применить», чтобы продолжить, а затем удалите все учетные записи. Нажмите кнопку «ОК» еще раз, чтобы продолжить. Появится диалоговое окно с сообщением: «Вы запретили всем пользователям доступ к Cat Soft. Никто не может получить доступ к Cat Soft, и только владелец может изменять разрешения. Хотите продолжить?», нажмите «Да», чтобы продолжить. Затем нажмите кнопку «Добавить», чтобы добавить созданную нами учетную запись SSERVU в список разрешений подраздела и предоставить разрешения на полный доступ. Реестр создан здесь. Но SERV-U пока нельзя перезапустить, поскольку каталог установки еще не установлен.
Настройте его сейчас, оставьте только свою учетную запись администратора и учетную запись SSERVU и предоставьте все разрешения, кроме полного доступа. (См. рисунок 13)
Рис. 13. Настройки разрешений для каталога установки SERV-U.
Теперь перезапустите службу FTP-сервера Serv-U в службе, и она запустится нормально. Конечно, настройки здесь не полностью завершены. Ваш FTP-пользователь по-прежнему не может войти в систему, поскольку у него нет разрешений, поэтому вам все равно необходимо установить права доступа к каталогу.
Предположим, у вас есть WEB-каталог, путь — d:web. Затем удалите всех, кроме администратора и пользователей IIS, в «Настройках безопасности» этого каталога, а затем добавьте учетную запись SSERVU. Не забудьте также удалить учетную запись SYSTEM. Почему нам нужно так настроить? Поскольку SERV-U теперь запускается с учетной записью SSERVU вместо разрешений системы, поэтому для доступа к каталогу вы больше не используете систему, а SSERVU. В настоящее время система больше не полезна, поэтому даже если она переполнится, это не произойдет. получить СИСТЕМНЫЕ разрешения. Кроме того, корневой каталог диска, на котором расположен WEB-каталог, также должен быть настроен так, чтобы разрешить просмотр и чтение учетной записи SSERV-U, и подтвердить, что в расширенных настройках задана только эта папка. (См. рисунок 14)
Рис. 14. Настройки разрешений диска, на котором находится WEB-каталог.
На этом все настройки завершены. Текущие настройки SERV-U задаются совместно с IIS. Поскольку в IIS используются разные учетные записи, пользователи WEB не могут получить доступ к каталогу SERV-U, а каталог WEB не предоставляет системных разрешений, поэтому учетная запись SYSTEM не может этого сделать. получить доступ к WEB-каталогу. Другими словами, даже если вы используете MSSQL для получения разрешений на резервное копирование, вы не сможете выполнить резервное копирование SHELL в свой WEB-каталог. Вы можете безопасно использовать SERV-U.
После завершения установки появится мастер, позволяющий создать домен и учетную запись. Нажмите здесь «Отмена», чтобы отменить работу мастера. Учетная запись, созданная мастером, вызовет некоторые проблемы, поэтому домен и учетная запись создаются вручную ниже. (См. рисунок 4)
Рисунок 4. Нажмите «Отмена», чтобы отменить работу мастера.
Затем выберите параметр перед «Запустить автоматически» (системная служба), а затем нажмите кнопку «Запустить сервер» ниже, чтобы добавить SERV-U к системной службе, чтобы его можно было запускать вместе с системой без необходимости каждый раз запускать его вручную. (См. рисунок 5)
Рисунок 5. Добавьте SERV-U в сервис.
Далее появится интерфейс, показанный на рисунке 6. Установите пароль, нажав «Установить/изменить пароль».
Рисунок 6. Нажмите «Установить/изменить пароль», чтобы установить пароль.