serv-u安全设置全攻略

Serv-U是目前搭建FTP服务器使用最普遍的服务器软件之一，因此如何用它搭建一个安全的FTP服务器是众多用户苦心钻研的事情。下面就将笔者在日常使用中总地出来的防范经验与大家一起共享。

　　一、安装时的两点注意

　　在安装Serv-U时，就应该注意尽量不要将其安装在默认的C:\Program Files\Serv-U目录下，应该更换一个不易被猜测到的目录。其次在安装时选择安装组件时，一般只要选中“Server program files”和“Administrator program files”两项即可，而另外的“ReadMe and Version text files”和“Online help files”则是说明和在线帮助不需要安装。相同的道理，在安装其它应用软件时，尤其是服务器类软件时，应遵守“够用”的原则，即只安装需要使用的组件即可。

　　小提示：在最新版本之中，已经没有说明和在线帮助项供用户选择安装了。

　　二、初次设置尤重要

　　安装好Serv-U初次运行时，会自动弹出创建域和账户操作向导窗口。由于使用向导创建的账户会带来一些未知的安全问题，因此在这里建议单击“取消”按钮，改用手工来创建。

　　在Serv-U处于运行状态时，我们需要修改默认的管理口令。因为默认的口令为空，对此我们中需要单击主界面上“设置/更改密码”按钮，在弹出的“设置或更改管理员密码”窗口，此时在“新密码”和“重复新密码”窗口中连续输入自己欲设置的口令，注意一定要设置的复杂一些(图1)。这样用户在设置一些本地服务时将必须输入口令才能完成。

　　

　　三、账户设置须仔细

　　1.账户失效时间

　　对于新账的账户，必须认真设置其权限。首先如果账户有使用时间限制，那么一定需要在“帐号”标签中设置帐户自动“移除”的时间，这主要是针对一些临时账户用户。

　　2.防范大容量文件攻击

　　其次为了防范大容量文件攻击，我们需要限制最大速度。切换到“常规”标签，我们可以看到默认状态下“最大上传速度”和“最大下载速度”都是空白一片，则表示没有限制，这样一些黑客就会这个漏洞传送大容量的文件，从而导致FTP处理不过来使程序停止响应或自动关闭。因此，用户可以根据需要填写一个限制的速度，单位是KB/秒，一般填写1000KB/秒左右为宜。另外“空闲超时”和“会话超时”也建议设置一个数值，通常的10分钟左右即可(图2)。　　

　　3.目录访问权限

　　一般来说，我们不需要将多余的权限授予用户。因此，中需要根据其账户类型，在“目录访问”标签中选择相应的操作类型即可。但是有一点需要注意的是，不管是什么用户，建议都不要授予其“运行”权限，因为在取得webshell后就可以很容易的运行攻击程序来破坏Serv-U的正常工作。

　　4.限制访问来源

　　通常情况下，用户登录FTP时的IP地址都相对固定，即使是使用ADSL这类拨号上网动态IP地址用户，其用于自动分配的IP地址都是有一个相对固定的范围的。对此，我们可以切换到“IP访问”标签，将“编辑规则”设为“允许访问”，然后在“规则”中输入允许访问的IP地址或IP地址段，输入之后单击“添加”按钮，可以添加多条规则。

　　另外我们也可以从系统日志中查找蛛丝马迹，发现来明不明的IP地址，可以将其添加到“拒绝访问”列表中。

　　四、启用SSL

　　默认状态下，Serv-U的数据传输都是以明文方式传送的，这样很容易被一些嗅探工具捕获。对此，我们可以启用SSL加密。

　　首先在Serv-U的管理窗口左侧选择“本地服务器”下的“设置”项，在右侧选择“SSL证书”标签，然后在“普通名称”中填入实际使用的FTP地址，其它的项目随便填写，填好后单击“应用”按钮完成SSL证书的创建。

　　接下来，我们就可以在域列表中选择自己已经创建好的域，然后在右侧的“安全性”下拉菜单中选中“只允许SSL/TLS进程”选项，再单击“应用”按钮即可启用当前域的SSL加密功能了。

　　不过要注意的是，启用SSL加密后，默认的FTP端口21将被改成990，对此需要告知用户，否则无法成功连接到FTP服务器。

　　五、认真查阅日志

　　用户访问FTP服务器，Serv-U都会忠诚的做下详实的记录，这些记录中包括用户访问的IP地址、连接时间、断开时间、上传下载的文件等。在管理窗口左侧选择要查看的域，然后再选择“活动”项，在右侧选择“域日志”，这样在这里即可显示详细的日志信息了。通过这些日志信息可以判断是否有恶意攻击。

　　六、注意升级

　　每一次补丁的发布都会弥补一些缺陷，因此建议大家在可能的情况下需要关注安全新闻，注意打补丁及时升级。这同样是网络安全中通用的一条法则。