欢迎访问蓝队网络一站式平台！
关注蓝队网络
您的位置：
使用Serv-U 6.4搭建自己的FTP服务器
发布时间：&&&&&浏览量：366人
上一篇：下一篇：
最新发布的内容
大家感兴趣的内容
QQ在线咨询
服务时间：9:00 - 17:30
选择对应客服在线沟通：
您可能遇到了下面的问题：
400专线7x24小时全时响应
技术在线支持
服务时间：9:00 - 24:00
选择对应技术在线沟通：
您可能遇到了下面的问题：
400专线7x24小时全时响应
网站ICP备案咨询
服务时间：9:00 - 17:30
选择对应客服在线沟通：
您可能遇到了下面的问题：
400专线7x24小时全时响应serv-u配置图解 打造最安全的FTP设置
serv-u配置图解 打造最安全的FTP设置
SERV－U作为一款精典的FTP服务器软件，一直被大部分管理员所使用，它简单的安装和配置以及强大的管理功能的人性化也一直被管理员们称颂。但是随着使用者越来越多，该软件的安全问题也逐渐显露出来。 　　首先是SERV-U的SITE CHMOD漏洞和Serv-U MDTM漏洞，即利用一个账号可以轻易的得到SYSTEM权限。其次是Serv-u的本地溢出漏洞，即Serv-U有一个默认的管理用户（用户名：localadministrator，密码：#　@$ak#.　k;0@p），任何人只要通过一个能访问本地端口43958的账号就可以随意增删账号和执行任意内部和外部命令。 　　此时，人们才开始重视起SERV－U的安全来，并采取了一些相关措施，如修改SERV－U的管理端口、账号和密码等。但是，修改后的内容还是保留在ServUDaemon.exe文件里，因此下载后用如UltraEdit之类的16进制编辑软件就可以很轻易的获取到修改后的端口、账号和密码。 　　从SERV－U6.0.0.2开始，该软件有了登录密码功能，这样如果加了管理密码，并且设置比较妥善的话，SERV－U将会比原来安全的多。现在我们就开始SERV－U的设置之旅，采用版本是SERV－U 6.0.0.2。 　　古语有云，千尺之台始于垒土，设置SERV－U的安全就从安装开始。这篇文章主要是写SERV－U的安全设置，所以不会花费太多的功夫来介绍安装，只说一下要点。 　　SERV－U默认是安装在C:\Program Files\Serv-U目录下的，我们最好做一下变动。例如改为：D:\uutu432X$UY32xco7v23x1t3（图1）这样的路径，如果安装盘符WEB用户不能浏览的话，他便很难猜到安装的路径。当然，安装后会在桌面和开始菜单上生成快捷方式，建议删除，因为一般不会使用到它。可能你要问了，那应该怎样进入SERV－U的设置界面呢？其实很简单，双击下右角任务栏里的Tray Monitor小图标来启动SERV－U的管理界面。 　　图1：修改安装的目录 安装的时候只选前2项就可以了，后面的2个是说明和在线帮助文件。(见图2) 　　 图2：安装时候只需要选择前2项下图是生成的开始菜单组里的文件夹的名字，建议更改成比较不像SERV－U的名字，或者是删除该文件夹。(见图3) 图3：更改安装后生成开始菜单组里文件夹的名字&　　安装完成后会出现一个向导让你建立一个域和账号。在这里点Cancel取消向导。用向导生成的账号会带来一些问题，所以下面采用手工方式建立域和账号。(见图4) 　　 　　图4：点Cancel取消向导　　然后点选Start automatically(system service)前面的选项，接着点下边的Start Server按钮把SERV－U加入系统服务，这样就可以随系统启动了，不用每次都手工启动。(见图5) 　　 图5：把SERV－U加入服务&　　接下来就会出现如图6的界面。通过点击Set/Change Password设置一个密码。 　　 图6：点击Set/Change Password设置密码然后会出现如图7的界面。因为是第一次使用，所以是没有密码的，也就是说原来的密码为空。不用在old password里输入字符，直接在下面的New password和Repeat new password里输入同样的密码再点OK就可以了。这里建议设置一个足够复杂的密码，以防止别人暴力破解。自己记不得也没有关系，只要把ServUDaemon.ini里的LocalSetupPassword=这一行清除并保存，再次运行ServUAdmin.exe就不会提示你输入密码登录了。 　　 图7：设置和更改密码界面　下面就到了该对SERV－U进行安全设置的时候了。首先建立一个WINDOWS账号SSERVU，密码也需要足够的复杂。密码要记住，如果记不住就暂时保存在一个文件里，一会儿还要用到。(见图8) 　　 图8：建立一个WINDOWS账号　　建好账号以后，双击建好的用户编辑用户属性，从“隶属于”里删除USERS组。图9：从隶属于里删除USERS组　　从“终端服务配置文件”选项里取消“允许登录到终端服务器（W）”的选择，然后点击确定继续我们的设置。（见图10） 　　 图10：取消“允许登录到终端服务器”　　这里我们已经建好了账号，该设置服务里的账号了。现在就要用到刚才建立的这个账号，密码还没有忘记吧，马上就要用到了。 　　在开始菜单的管理工具里找到“服务”点击打开。在“Serv-U FTP Server服务”上点右键，选择属性继续。然后点击“登录”进入登录账号选择界面。选择刚才建立的系统账号名，并在下面重复输入2次该账号的密码（就是刚才让你记住的那个），然后点“应用”，再次点确定，完成服务的设置。（见图11） 图11：更改启动和登录SRV－U的账号密码　　接下来要先使用FTP管理工具建立一个域，再建立一个账号，建好后选择保存在注册表。（见图12） 图12：FTP用户密码保存到注册表里　打开注册表来测试相应的权限，否则SERV－U是没办法启动的。在开始－＞运行里输入regedt32点“确定”继续。 　　找到[HKEY_LOCAL_MACHINE\SOFTWARE\Cat Soft]分支。在上面点右键，选择权限，然后点高级，取消允许父项的继承权限传播到该对象和所有子对象，包括那些在此明确定义的项目，点击“应用”继续，接着删除所有的账号。再次点击“确定”按钮继续。这时会弹出对话框显示“您拒绝了所有用户访问Cat Soft。没有人能访问 Cat Soft，而且只有所有者才能更改权限。您要继续吗？”，点击“是”继续。接着点击添加按钮增加我们建立的SSERVU账号到该子键的权限列表里，并给予完全控制权限。到这里注册表已经设置完了。但还不能重新启动SERV－U，因为安装目录还没设置。　　现在就来设置一下，只保留你的管理账号和SSERVU账号，并给予除了完全控制外的所有权限。（见图13） 图13：SERV－U安装目录权限设置　　现在，在服务里重启Serv-U FTP Server服务就可以正常启动了。当然，到这里还没有完全设置完，你的FTP用户因为没有权限还是登录不了的，所以还要设置一下目录的权限。 　　假设你有一个WEB目录，路径是d:\web。那么在这个目录的“安全设定”里除了管理员和IIS用户都删除掉，再加入SSERVU账号，切记SYSTEM账号也删除掉。为什么要这样设置呢？因为现在已经是用SSERVU账号启动的SERV－U，而不是用SYSTEM权限启动的了，所以访问目录不再是用SYSTEM而是用SSERVU，此时SYSTEM已经没有用了，这样就算真的溢出也不可能得到SYSTEM权限。另外，WEB目录所在盘的根目录还要设置允许SSERV－U账号的浏览和读取权限，并确认在高级里设置只有该文件夹。（见图14） 图14：WEB目录所在盘的权限设置　　至此，设置全部结束。现在的SERV－U设置是配合IIS设置的，因为和IIS使用不同的账号，WEB用户就不可能访问SERV－U的目录，并且WEB目录没有给予SYSTEM权限，所以SYSTEM账号也同样访问不了WEB目录，也就是说，即使使用MSSQL得到备份的权限也不能备份SHELL到你的WEB目录。你可以安全的使用SERV－U了。
&&&主编推荐
H3C认证Java认证Oracle认证
基础英语软考英语项目管理英语职场英语
.NETPowerBuilderWeb开发游戏开发Perl
二级模拟试题一级模拟试题一级考试经验四级考试资料
港口与航道工程建设工程法规及相关知识建设工程经济考试大纲矿业工程市政公用工程通信与广电工程
操作系统汇编语言计算机系统结构人工智能数据库系统微机与接口
软件测试软件外包系统分析与建模敏捷开发
法律法规历年试题软考英语网络管理员系统架构设计师信息系统监理师
高级通信工程师考试大纲设备环境综合能力
路由技术网络存储无线网络网络设备
CPMP考试prince2认证项目范围管理项目配置管理项目管理案例项目经理项目干系人管理
Powerpoint教程WPS教程
电子政务客户关系管理首席信息官办公自动化大数据
职称考试题目
就业指导签约违约职业测评
招生信息考研政治
网络安全安全设置工具使用手机安全
3DMax教程Flash教程CorelDraw教程Director教程
Dreamwaver教程HTML教程网站策划网站运营Frontpage教程
生物识别传感器物联网传输层物联网前沿技术物联网案例分析
互联网电信IT业界IT生活
Java核心技术J2ME教程
Linux系统管理Linux编程Linux安全AIX教程
Windows系统管理Windows教程Windows网络管理Windows故障
组织运营财务资本
视频播放文件压缩杀毒软件输入法微博
数据库开发Sybase数据库Informix数据库
&&&&&&&&&&&&&&&
希赛网 版权所有 & &&查看:6652|回复：18
目前坏境，2WAN口路由器，2条固定公网IP地址，在局域网内，用一台电脑搭建FTP服务器，IP地址为192.168.2.24，在这台电脑上安装SERV-U后，建立用户，在本地上可以正常访问，在局域网内也可以访问这台电脑搭建的FTP，在局域网内别的电脑上通过CUTFTP软件访问的时候填写服务器IP才可以访问，填写公网IP无法访问，已经在路由器上做了端口映射，内网服务器IP192.168.2.24，映射端口2121（我自己改的FTP端口，防止和IIS冲突），哪个高手给解决一下这个问题，最终目的就是想再外网通过IP地址访问内网服务器，路由器公网IP114.242.18.225，
备注：1、现在内网可以通过服务器IP地址访问。
& && && &&&2、路由器端口映射没有问题。
& && && &&&3、公网IP没有问题。
& && && &&&4、SERV-U设置没大问题，内网已经内购访问。
请高手给支招，谢谢。
你需要在外网才能使用你映射的公网IP进行访问啊
引用:原帖由 zhanyueshang 于
17:05 发表
目前坏境，2WAN口路由器，2条固定公网IP地址，在局域网内，用一台电脑搭建FTP服务器，IP地址为192.168.2.24，在这台电脑上安装SERV-U后，建立用户，在本地上可以正常访问，在局域网内也可以访问这台电脑搭建的FTP，在局域网内别的电脑上 ... 那我理解错了，现在内网先不考虑了，内网能够访问，但是外网不能访问，也不知道什么原因，
首先两个WAN口的路由器支持将端口映射两个WAN口么？还是只提供一个WAN口映射？
另外，你啥宽带呀，确定服务商给的IP地址是公网的？
很多时候服务商都只给自家内部再分的地址。
你单独拿一台电脑，纯纯的接一根服务商过来的网线，看看能够访问你的电脑么？电脑关闭防火墙。这个测试很重要的。也是必须的。
家用小路由器的WAN口是固化NAT转换的，单向，只向上转，无法将WAN口来的访问转向LAN口下面。不支持WAN口前面的任何静态路由跳转。
建议拿胶布封闭小路由器WAN口，网线改插小路由器LAN口，关闭小路由器的DHCP服务，当交换机用。坚决使用WAN口的话，就只能那样了。
关于DMZ打印机，请看这里“”6楼看看。
中级工程师
被动模式 + 被动端口
引用:原帖由 9321106 于
17:49 发表
被动模式 + 被动端口 赞同，可以先查查20端口映射了没
版主，并不是一种荣耀，而是一种坚持 ...
引用:原帖由 zhanyueshang 于
17:05 发表
目前坏境，2WAN口路由器，2条固定公网IP地址，在局域网内，用一台电脑搭建FTP服务器，IP地址为192.168.2.24，在这台电脑上安装SERV-U后，建立用户，在本地上可以正常访问，在局域网内也可以访问这台电脑搭建的FTP，在局域网内别的电脑上 ... 建议指定某一条线路走FTP,，防火墙开通所指定的端口
本帖最后由 cugzz 于
09:28 编辑
版主，并不是一种荣耀，而是一种坚持和责任！
引用:原帖由 天月来了 于
17:38 发表
首先两个WAN口的路由器支持将端口映射两个WAN口么？还是只提供一个WAN口映射？
另外，你啥宽带呀，确定服务商给的IP地址是公网的？
很多时候服务商都只给自家内部再分的地址。
你单独拿一台电脑，纯纯的接一根服务商过来的网 ... 确定IP地址是联通给的公网固定IP地址，现在远程连接监控可以看，IP地址肯定没有问题，内网访问现在正常，路由器端口映射没有说具体映射到WAN1还是WAN2，提供端口映射功能，2121端口（自己设定的）和20端口已经映射好了，现在还是访问不了，单独接电脑没办法实验，不能断网，2条带宽都是联通光纤20M。
引用:原帖由 9321106 于
17:49 发表
被动模式 + 被动端口 能详细一点吗？
你既然说防止和IIS冲突
那么IIS也建有使用21端口的FTP服务么？
有的话，你先试试映射21端口，看访问能否正常呢？
家用小路由器的WAN口是固化NAT转换的，单向，只向上转，无法将WAN口来的访问转向LAN口下面。不支持WAN口前面的任何静态路由跳转。
建议拿胶布封闭小路由器WAN口，网线改插小路由器LAN口，关闭小路由器的DHCP服务，当交换机用。坚决使用WAN口的话，就只能那样了。
关于DMZ打印机，请看这里“”6楼看看。
谢谢大家的帮忙，现在问题已经解决了，最终解决方法很简单，端口映射、IP地址都没有问题，在网上查了半天有人说把CUTFTP改成被动模式，我进去后查看本来就是被动模式，把PASV前面的勾去掉后连接正常。
但现在还有一个问题，做端口映射2121端口，20端口不能使用，刚才测试能用了是DMZ主机了，将DMZ主机关闭后就不能用了，应该是端口还没有映射好，不知道还需要映射哪些端口，大家在给想想，帮帮忙。
关闭多余的端口。。
高级工程师
你自己要查看下ftp是哪种模式。主动-被动？？抓个包看看，用到哪些端口。并不是只印射个21就可以。
引用:原帖由 天月来了 于
14:23 发表
你既然说防止和IIS冲突
那么IIS也建有使用21端口的FTP服务么？
有的话，你先试试映射21端口，看访问能否正常呢？ 21端口映射了，还有20端口，就是不能访问，DMZ就可以，应该有的端口没有开，但又不知道必须还要开什么端口，用CUTFTP连接提示建立SOCKET数据失败
引用:原帖由 zhanyueshang 于
15:52 发表
21端口映射了，还有20端口，就是不能访问，DMZ就可以，应该有的端口没有开，但又不知道必须还要开什么端口，用CUTFTP连接提示建立SOCKET数据失败 可以用些工具查看你外网的那个FTP访问哪几个端口的情况来决定
一、什么是PASV和PORT方式
（1）PORT其实是Standard模式的另一个名字，又称为Active模式。中文意思是“主动模式。
（2）PASV也就是Passive的简写。中文就是“被动模式。
二、两者不同
&&不同之处是由于PORT（主动）这个方式需要在接上TCP 21端口后，服务器通过自己的TCP 20来发出数据。并且需要建立一个新的连接来传送档案。而PORT的命令包含一些客户端没用的资料，所以有了PASv的出现。而PASV模式拥有PORT模式的优点，并去掉一些PORT的缺点。PASV运行方式就是当服务器接收到客户端连接请求时，就会自动从端口中随机选择一个和客户端建立连接传递数据。
+++++++++++++++++++++++++++++++++++++++++++
PORT模式下，默认的服务器控制端口是21，这也是客户端发起连接时的目的端口，数据端口是20；客户端的端口是随机选择的，若控制端口是N，则数据端口是N+1，一般N&1024。客户端使用本地端口N连接服务器的21端口，并开始监听N+1端口，连接成功后，客户端发送命令PORT N+1给服务器，服务器使用20端口连接到客户端的N+1端口，建立数据连接。这种模式下服务器要去连接客户端，如果客户端对外来连接有防火墙限制的话就会导致连接不成功，于是就有了PASV模式。
PASV模式下，客户端使用本地端口N连接服务器的21端口，连接成功后，客户端向服务器发送命令PASV，服务器随机选择一个大于1024的端口M，并通过控制端口将使用端口M的信息发回客户端，客户端使用本地的N+1端口连接到服务器的端口M，建立数据连接。这样，数据连接由客户端发起，解决了客户端防火墙限制的问题，对服务器而言是被动的，因此称为PASV模式。
本帖最后由 天月来了 于
16:56 编辑
家用小路由器的WAN口是固化NAT转换的，单向，只向上转，无法将WAN口来的访问转向LAN口下面。不支持WAN口前面的任何静态路由跳转。
建议拿胶布封闭小路由器WAN口，网线改插小路由器LAN口，关闭小路由器的DHCP服务，当交换机用。坚决使用WAN口的话，就只能那样了。
关于DMZ打印机，请看这里“”6楼看看。
引用:原帖由 天月来了 于
16:00 发表
可以用些工具查看你外网的那个FTP访问哪几个端口的情况来决定
一、什么是PASV和PORT方式
（1）PORT其实是Standard模式的另一个名字，又称为Active模式。中文意思是“主动模式。
（2）PASV也就是Passive的简写。中文就是“被 ... 现在的情况是这样，serv-u用的的被动模式，填写的是公网固定IP地址，用cutftp连接的时候必须把cutftp里面的PSAV关闭后才能连接。现在连接可以，但是一把DMZ主机关闭就不行了，把DMZ主机关闭，用端口映射，21,20都映射了，就是不行
21,20都映射了，就是不行
那你换FTP客户端呀，老死抱住那一家伙干什么？
服务端应该是设置为支持任意模式才对，主要由客户端自己发起相应的正确模式。
家用小路由器的WAN口是固化NAT转换的，单向，只向上转，无法将WAN口来的访问转向LAN口下面。不支持WAN口前面的任何静态路由跳转。
建议拿胶布封闭小路由器WAN口，网线改插小路由器LAN口，关闭小路由器的DHCP服务，当交换机用。坚决使用WAN口的话，就只能那样了。
关于DMZ打印机，请看这里“”6楼看看。[太平洋网站群]系统升级维护提示
返回太平洋专业网站群：