作為一款精典的FTP服務器軟件,SERV-U一直被大部分管理員所使用,它簡單的安裝和配置以及強大的管理功能的人性化也一直被管理員們稱頌。但是隨著使用者越來越多,該軟件的安全問題也逐漸顯露出來。
首先是SERV-U的SITE CHMOD漏洞和Serv-U MDTM漏洞,即利用一個賬號可以輕易的得到SYSTEM權限。其次是Serv-u的本地溢出漏洞,即Serv-U有一個默認的管理用戶(用戶名:localadministrator,密碼:#|@$ak#.|k;0@p),任何人只要通過一個能訪問本地端口43958的賬號就可以隨意增刪賬號和執行任意內部和外部命令。
此時,人們才開始重視起SERV-U的安全來,並采取了一些相關措施,如修改SERV-U的管理端口、賬號和密碼等。但是,修改後的內容還是保留在ServUDaemon.exe文件裡,因此下載後用如UltraEdit之類的16進制編輯軟件就可以很輕易的獲取到修改後的端口、賬號和密碼。
從SERV-U6.0.0.2開始,該軟件有了登錄密碼功能,這樣如果加了管理密碼,並且設置比較妥善的話,SERV-U將會比原來安全的多。現在我們就開始SERV-U的設置之旅,采用版本是SERV-U 6.0.0.2。
古語有雲,千尺之台始於壘土,設置SERV-U的安全就從安裝開始。這篇文章主要是寫SERV-U的安全設置,所以不會花費太多的功夫來介紹安裝,只說一下要點。
SERV-U默認是安裝在C:\Program Files\Serv-U目錄下的,我們最好做一下變動。例如改為:D:\u89327850mx8utu432X$UY32x211936890co7v23x1t3(圖1)這樣的路徑,如果安裝盤符WEB用戶不能浏覽的話,他便很難猜到安裝的路徑。當然,安裝後會在桌面和開始菜單上生成快捷方式,建議刪除,因為一般不會使用到它。可能你要問了,那應該怎樣進入SERV-U的設置界面呢?其實很簡單,雙擊下右角任務欄裡的Tray Monitor小圖標來啟動SERV-U的管理界面。
