ประการแรกคือช่องโหว่ SITE CHMOD ของ SERV-U และช่องโหว่ Serv-U MDTM ซึ่งหมายความว่าคุณสามารถรับสิทธิ์ของระบบได้อย่างง่ายดายโดยใช้บัญชี ประการที่สองคือช่องโหว่ล้นในเครื่องของ Serv-u นั่นคือ Serv-U มีผู้ใช้ที่เป็นผู้ดูแลระบบเริ่มต้น (ชื่อผู้ใช้: localadministrator รหัสผ่าน: #|@$ak#.|k;0@p) ทุกคนสามารถเข้าถึงได้ผ่าน หนึ่ง บัญชีที่มีพอร์ตโลคัล 43958 สามารถเพิ่มหรือลบบัญชีได้ตามต้องการและดำเนินการคำสั่งภายในและภายนอก
ในเวลานี้ ผู้คนเริ่มให้ความสนใจกับความปลอดภัยของ SERV-U และใช้มาตรการที่เกี่ยวข้องบางอย่าง เช่น การแก้ไขพอร์ตการจัดการ หมายเลขบัญชี และรหัสผ่านของ SERV-U อย่างไรก็ตาม เนื้อหาที่แก้ไขจะยังคงอยู่ในไฟล์ ServUDaemon.exe ดังนั้นหลังจากดาวน์โหลด คุณสามารถรับพอร์ต บัญชี และรหัสผ่านที่แก้ไขได้อย่างง่ายดาย โดยใช้ซอฟต์แวร์แก้ไขเลขฐานสิบหก เช่น UltraEdit
ตั้งแต่ SERV-U6.0.0.2 เป็นต้นไป ซอฟต์แวร์จะมีฟังก์ชันรหัสผ่านเข้าสู่ระบบ หากมีการเพิ่มรหัสผ่านการจัดการและตั้งค่าไว้อย่างเหมาะสม SERV-U จะปลอดภัยมากขึ้นกว่าเดิมมาก ตอนนี้เราเริ่มต้นการเดินทางการตั้งค่า SERV-U โดยใช้เวอร์ชัน SERV-U 6.0.0.2
ดังสุภาษิตโบราณที่ว่า หอคอยสูงหนึ่งพันฟุตเริ่มต้นด้วยรากฐาน และความปลอดภัยของ SERV-U เริ่มต้นด้วยการติดตั้ง บทความนี้เขียนเกี่ยวกับการตั้งค่าความปลอดภัยของ SERV-U เป็นหลัก ดังนั้นจึงจะไม่ใช้เวลามากเกินไปในการแนะนำการติดตั้ง มีเพียงประเด็นสำคัญเท่านั้น
SERV-U ได้รับการติดตั้งในไดเร็กทอรี C:Program FilesServ-U ตามค่าเริ่มต้น เราควรจะทำการเปลี่ยนแปลงบางอย่าง ตัวอย่างเช่น หากผู้ใช้ WEB ไม่สามารถเรียกดูอักษรระบุไดรฟ์การติดตั้งได้ ก็จะคาดเดาเส้นทางการติดตั้งได้ยาก แน่นอนหลังจากการติดตั้ง ทางลัดจะถูกสร้างขึ้นบนเดสก์ท็อปและเมนูเริ่ม ขอแนะนำให้ลบออก เนื่องจากโดยทั่วไปแล้วจะไม่ได้ใช้ คุณอาจต้องการสอบถามว่าจะเข้าสู่อินเทอร์เฟซการตั้งค่าของ SERV-U ได้อย่างไร? จริงๆ แล้วง่ายมาก คลิกสองครั้งที่ไอคอน Tray Monitor ขนาดเล็กในทาสก์บาร์ที่มุมขวาเพื่อเริ่มอินเทอร์เฟซการจัดการ SERV-U
รูปที่ 1: แก้ไขไดเร็กทอรีการติดตั้ง
เมื่อติดตั้ง เพียงเลือกสองรายการแรก สองรายการถัดไปคือคำแนะนำและไฟล์ช่วยเหลือออนไลน์ (ดูรูปที่ 2)
รูปที่ 2: ต้องเลือกเพียงสองรายการแรกระหว่างการติดตั้ง รูปต่อไปนี้คือชื่อของโฟลเดอร์ในกลุ่มเมนูเริ่มต้นที่สร้างขึ้น ขอแนะนำให้เปลี่ยนเป็นชื่อที่น้อยกว่า SERV-U หรือลบออก โฟลเดอร์ (ดูรูปที่ 3)
รูปที่ 3: เปลี่ยนชื่อโฟลเดอร์ในกลุ่มเมนูเริ่มที่สร้างขึ้นหลังการติดตั้ง
[ตัดหน้า]
หลังจากการติดตั้งเสร็จสมบูรณ์ วิซาร์ดจะปรากฏขึ้นเพื่อให้คุณสร้างโดเมนและบัญชีได้ คลิกยกเลิกที่นี่เพื่อยกเลิกตัวช่วยสร้าง บัญชีที่สร้างโดยวิซาร์ดจะทำให้เกิดปัญหา ดังนั้นโดเมนและบัญชีจึงถูกสร้างขึ้นด้วยตนเองด้านล่าง (ดูรูปที่ 4)
รูปที่ 4: คลิกยกเลิกเพื่อยกเลิกตัวช่วยสร้าง
จากนั้นคลิกตัวเลือกด้านหน้า Start อัตโนมัติ (บริการของระบบ) จากนั้นคลิกปุ่ม Start Server ด้านล่างเพื่อเพิ่ม SERV-U ให้กับบริการระบบเพื่อให้สามารถเริ่มทำงานกับระบบได้โดยไม่ต้องเริ่มด้วยตนเองทุกครั้ง (ดูรูปที่ 5)
รูปที่ 5: เพิ่ม SERV-U ไปยังบริการ
ต่อไปจะปรากฎหน้าจอดังรูปที่ 6 ตั้งรหัสผ่านโดยคลิก ตั้ง/เปลี่ยนรหัสผ่าน
รูปที่ 6: คลิก ตั้ง/เปลี่ยนรหัสผ่าน เพื่อตั้งรหัสผ่าน
[ตัดหน้า]
จากนั้นอินเทอร์เฟซที่แสดงในรูปที่ 7 จะปรากฏขึ้น เนื่องจากเพิ่งใช้งานครั้งแรกจึงไม่มีรหัสผ่านซึ่งหมายความว่ารหัสผ่านเดิมว่างเปล่า ไม่จำเป็นต้องป้อนอักขระในรหัสผ่านเก่า เพียงป้อนรหัสผ่านเดียวกันในรหัสผ่านใหม่แล้วทำซ้ำรหัสผ่านใหม่ด้านล่างแล้วคลิกตกลง ขอแนะนำที่นี่เพื่อตั้งรหัสผ่านที่ซับซ้อนพอที่จะป้องกันไม่ให้ผู้อื่นถอดรหัสอย่างดุร้าย ไม่สำคัญว่าคุณจะจำไม่ได้หรือไม่ เพียงแค่ล้างและบันทึกบรรทัด LocalSetupPassword= ใน ServUDaemon.ini แล้วคุณจะไม่ได้รับแจ้งให้ป้อนรหัสผ่านเพื่อเข้าสู่ระบบเมื่อคุณเรียกใช้ ServUAdmin.exe อีกครั้ง
รูปที่ 8: สร้างบัญชี WINDOWS
หลังจากสร้างบัญชีแล้ว ให้ดับเบิลคลิกผู้ใช้ที่สร้างขึ้นเพื่อแก้ไขคุณสมบัติผู้ใช้ และลบกลุ่ม USERS ออกจาก "เป็นของ"
รูปที่ 9: ลบกลุ่ม USERS ออกจากสังกัด
ยกเลิกการเลือก "อนุญาตให้เข้าสู่ระบบเซิร์ฟเวอร์เทอร์มินัล (W)" จากตัวเลือก "โปรไฟล์บริการเทอร์มินัล" และคลิกตกลงเพื่อดำเนินการตั้งค่าต่อไป (ดูรูปที่ 10)
รูปที่ 10: ยกเลิก "อนุญาตให้เข้าสู่ระบบเซิร์ฟเวอร์เทอร์มินัล"
เราได้สร้างบัญชีแล้วที่นี่ และถึงเวลาตั้งค่าบัญชีในบริการแล้ว ตอนนี้เราจำเป็นต้องใช้บัญชีที่เราเพิ่งสร้างขึ้น คุณยังไม่ลืมรหัสผ่าน ดังนั้นคุณจะต้องใช้มันเร็วๆ นี้
[ตัดหน้า]
ค้นหา "บริการ" ในเครื่องมือการจัดการของเมนูเริ่มแล้วคลิกเพื่อเปิด คลิกขวาที่ "Serv-U FTP Server Service" และเลือก Properties เพื่อดำเนินการต่อ
จากนั้นคลิก "เข้าสู่ระบบ" เพื่อเข้าสู่อินเทอร์เฟซการเลือกบัญชีเข้าสู่ระบบ เลือกชื่อบัญชีระบบที่คุณเพิ่งสร้างขึ้น และป้อนรหัสผ่านสำหรับบัญชีสองครั้ง (ชื่อที่คุณถูกขอให้จำเมื่อกี้) จากนั้นคลิก "ใช้" และคลิกตกลงอีกครั้งเพื่อเสร็จสิ้นการตั้งค่าบริการ (ดูรูปที่ 11)
รูปที่ 11: เปลี่ยนรหัสผ่านบัญชีสำหรับการเริ่มต้นและเข้าสู่ระบบ SRV-U จากนั้น คุณจะต้องใช้เครื่องมือการจัดการ FTP เพื่อสร้างโดเมน จากนั้นสร้างบัญชี จากนั้นเลือกบันทึกลงในรีจิสทรี (ดูรูปที่ 12)
รูปที่ 12: รหัสผ่านผู้ใช้ FTP จะถูกบันทึกไว้ในรีจิสทรี
เปิดรีจิสทรีเพื่อทดสอบสิทธิ์ที่เกี่ยวข้อง มิฉะนั้น SERV-U จะไม่เริ่มทำงาน ป้อน regedt32 ใน Start->Run แล้วคลิก "ตกลง" เพื่อดำเนินการต่อ
ค้นหาสาขา [HKEY_LOCAL_MACHINESOFTWARECat Soft] คลิกขวาที่มัน เลือกการอนุญาต จากนั้นคลิกขั้นสูง ยกเลิกการอนุญาตให้สิทธิ์ที่สืบทอดมาของผู้ปกครองสามารถเผยแพร่ไปยังออบเจ็กต์นี้และออบเจ็กต์ลูกทั้งหมด รวมถึงที่กำหนดไว้อย่างชัดเจนที่นี่ คลิก "นำไปใช้" เพื่อดำเนินการต่อ จากนั้นลบบัญชีทั้งหมด คลิกปุ่ม "ตกลง" อีกครั้งเพื่อดำเนินการต่อ กล่องโต้ตอบจะปรากฏขึ้นว่า "คุณได้ปฏิเสธผู้ใช้ทั้งหมดในการเข้าถึง Cat Soft ไม่มีใครสามารถเข้าถึง Cat Soft และมีเพียงเจ้าของเท่านั้นที่สามารถเปลี่ยนการอนุญาต คุณต้องการดำเนินการต่อหรือไม่" คลิก "ใช่" เพื่อดำเนินการต่อ จากนั้นคลิกปุ่มเพิ่มเพื่อเพิ่มบัญชี SSERVU ที่เราสร้างลงในรายการสิทธิ์ของคีย์ย่อยและให้สิทธิ์การควบคุมเต็มรูปแบบ รีจิสทรีได้รับการตั้งค่าที่นี่ แต่ SERV-U ไม่สามารถรีสตาร์ทได้เนื่องจากยังไม่ได้ตั้งค่าไดเร็กทอรีการติดตั้ง
ตั้งค่าตอนนี้ เก็บเฉพาะบัญชีผู้ดูแลระบบและบัญชี SSERVU ของคุณ และให้สิทธิ์ทั้งหมดยกเว้นการควบคุมเต็มรูปแบบ (ดูรูปที่ 13)
รูปที่ 13: การตั้งค่าการอนุญาตไดเรกทอรีการติดตั้ง SERV-U
ตอนนี้รีสตาร์ทบริการ Serv-U FTP Server ในบริการและจะเริ่มทำงานตามปกติ แน่นอนว่าการตั้งค่ายังไม่เสร็จสมบูรณ์ที่นี่ ผู้ใช้ FTP ของคุณยังคงไม่สามารถเข้าสู่ระบบได้เนื่องจากเขาไม่มีสิทธิ์ ดังนั้นคุณยังคงต้องตั้งค่าการอนุญาตไดเรกทอรี
สมมติว่าคุณมีไดเร็กทอรี WEB เส้นทางคือ d:web จากนั้นลบทั้งหมดยกเว้นผู้ดูแลระบบและผู้ใช้ IIS ใน "การตั้งค่าความปลอดภัย" ของไดเรกทอรีนี้ จากนั้นเพิ่มบัญชี SSERVU อย่าลืมลบบัญชี SYSTEM ด้วย ทำไมเราต้องตั้งค่าแบบนี้? เนื่องจากขณะนี้ SERV-U เริ่มต้นด้วยบัญชี SSERVU แทนที่จะเป็นสิทธิ์ของระบบ ดังนั้นคุณจึงไม่ได้ใช้ SYSTEM เพื่อเข้าถึงไดเร็กทอรีอีกต่อไป แต่ SSERVU ในขณะนี้ ระบบไม่มีประโยชน์อีกต่อไป ดังนั้น แม้ว่าจะล้น แต่ก็จะไม่อาจเกิดขึ้นได้ รับสิทธิ์ระบบ นอกจากนี้ จะต้องตั้งค่าไดเร็กทอรีรากของดิสก์ซึ่งเป็นที่ตั้งของไดเร็กทอรี WEB เพื่ออนุญาตให้เรียกดูและอ่านสิทธิ์ของบัญชี SSERV-U และยืนยันว่าตั้งค่าเฉพาะโฟลเดอร์นี้ในการตั้งค่าขั้นสูง (ดูรูปที่ 14)
รูปที่ 14: การตั้งค่าการอนุญาตของดิสก์ที่มีไดเรกทอรีเว็บอยู่
ณ จุดนี้ การตั้งค่าทั้งหมดจะเสร็จสมบูรณ์ การตั้งค่า SERV-U ปัจจุบันถูกตั้งค่าร่วมกับ IIS เนื่องจากมีการใช้บัญชีที่แตกต่างกันกับ IIS จึงเป็นไปไม่ได้สำหรับผู้ใช้ WEB ในการเข้าถึงไดเร็กทอรี SERV-U และไดเร็กทอรี WEB ไม่ให้สิทธิ์ระบบ ดังนั้นบัญชี SYSTEM จึงไม่สามารถทำได้ เข้าถึงไดเร็กทอรี WEB หรืออีกนัยหนึ่ง แม้ว่าคุณจะใช้ MSSQL เพื่อขอรับสิทธิ์ในการสำรองข้อมูล คุณจะไม่สามารถสำรองข้อมูล SHELL ไปยังไดเร็กทอรี WEB ของคุณได้ คุณสามารถใช้ SERV-U ได้อย่างปลอดภัย
หลังจากการติดตั้งเสร็จสมบูรณ์ วิซาร์ดจะปรากฏขึ้นเพื่อให้คุณสร้างโดเมนและบัญชีได้ คลิกยกเลิกที่นี่เพื่อยกเลิกตัวช่วยสร้าง บัญชีที่สร้างโดยวิซาร์ดจะทำให้เกิดปัญหา ดังนั้นโดเมนและบัญชีจึงถูกสร้างขึ้นด้วยตนเองด้านล่าง (ดูรูปที่ 4)
รูปที่ 4: คลิกยกเลิกเพื่อยกเลิกตัวช่วยสร้าง
จากนั้นคลิกตัวเลือกด้านหน้า Start อัตโนมัติ (บริการของระบบ) จากนั้นคลิกปุ่ม Start Server ด้านล่างเพื่อเพิ่ม SERV-U ให้กับบริการระบบเพื่อให้สามารถเริ่มทำงานกับระบบได้โดยไม่ต้องเริ่มด้วยตนเองทุกครั้ง (ดูรูปที่ 5)
รูปที่ 5: เพิ่ม SERV-U ไปยังบริการ
ต่อไปจะปรากฎหน้าจอดังรูปที่ 6 ตั้งรหัสผ่านโดยคลิก ตั้ง/เปลี่ยนรหัสผ่าน
รูปที่ 6: คลิก ตั้ง/เปลี่ยนรหัสผ่าน เพื่อตั้งรหัสผ่าน