Sevr-u 防止提权溢出漏洞

有许多管理员都遇到过这种情况,当ser-u开启的时候总被攻击,关闭了之后就安全了,这是因为ser-u漏洞太多,很容易被攻击,如果管理员处理不当, 还会导致将整个服务器献于他人之手,所以我们应该很

好的配置ser-u,以免遭到不必要的攻击..

      一、大家知道Liunx系统和Unix系统比Windows安全的一个重要原因在于：Linux和Unix的系统服务不使用root权限，而是使用权限比较低的另外一个单独用户，比如web服务使用了nobody这个用户

。而Serv-U默认是以system身份运行的，而System这个系统内置账户对本机有完全操作的权限;因此如果攻击者利用Serv-U程序的漏洞而获得了可执行shell的那，那么他将可以随意控制操作系统里任何

一个目录了..

      二、我们根据一的讲解知道了为什么Serv-U提权与溢出攻击可怕的原因了，那么我们该如何防止这一类攻击的发生呢？答案就是降底Serv-U的运行权限与控制Serv-U的“Acls”可访问目录...好，

下面就一步一步跟我来吧!

      三、Serv-U安全配置

     1、首先请保持合用Serv-U的最新版本(目前新版为6.4...)。然后在安装Serv-U的时候尽量不要选择默认的安装目录，比如俺将Serv-U 安装在D:/Pro_LeeBolin^_^/Serv-U#$2008$/...(因为这样复

杂的目录名可防止Hacker的猜解)

     2、然后将Serv-U取消MDTM命令的执行，修改Serv-U FTP Banner并开启好Serv-U的FTP日志保存到非系统盘，日志选择记录好Serv-U命名用了那些命令与DLL，并为Serv-U设置一个强壮的本地管理密

码(因提权多是因为Serv-U的默认管理员)，你还可以选择将Serv-U的FTP账户信息保存到注册表，不要存在Serv-U目录下的ini 文中，这样更加安全。

     3、我们再开启"计算机管理"新建一个用户Serv-UAdmin,设置好密码。将用户退出Users组，不加入任何组。并在用户的“终端服务配置文件” 选项里取消“允许登录到终端服务器。并且禁止Serv

-UAdmin用户的本地登陆。进入控制面板 -> 管理工具 -> 本地安全策略 -> 本地策略 -> 用户权利指派 -> 拒绝本地登陆。(备注：这个用户我们将它来作为俺们Serv-U的服务运行账号，嘿嘿) 设置教

程看这里...

     4、开始运行"Services.msc"打开win的服务管理器，找开Serv-U Ftp Server的Serv-U服务;打开“登陆”对话框。当前默认的为“本地系统帐户”。我们将其修改为我们在3中新建的Serv-UAdmin用

户，并输入密码。

     5、下面的工作就是设置Serv-U的运行与FTP目录的ACLs权限了.如果是asp/php/html脚本的话，WEB目录只需要admins & serv-uadmin & IUSR_XX即可(这里的IUSR_XX是指站点的匿名单用户账号...

    四、到目前为止，我们的Serv-U已经简单的做到了防提权，防溢出了。为什么呢？因为能常远程溢出overflow的话，都是通过得一shell 而进行进一步的hacking，而我们现在的Serv-U不是以system

运行，所以即使执行了overflow指命，也并不能得到什么...防提权就不用我解释了：因为我们的Serv-Uadmin没有任何系统级的ACLs访问权限..