SERV-U FTP 服務器的設置：

    一般來說，不推薦使用srev-u做ftp服務器，主要是漏洞出現的太頻繁了，但是也正是因為其操作簡單，功能強大，過于流行，關注的人也多，才被發(fā)掘出bug來，換做其他的ftp服務器軟件也一樣不見得安全到哪兒去。

    當然，這里也有款功能跟serv-u同樣強大，比較安全的ftp軟件：Ability FTP Server

    設置也很簡單，不過我們這里還是要迎合大眾胃口，說說關于serv-u的安全設置。

     首先，6.0比從前5.x版本的多了個修改本地LocalAdministrtaor的密碼功能，其實在5.x版本里可以用ultraedit-32等編輯器修改serv-u程序體進行修改密碼端口，6.0修補了這個隱患，單獨拿出來方便了大家。不過修改了管理密碼的serv-u是一樣有安全隱患的，兩個月前臭要飯的就寫了新的采用本地sniff方法獲取serv-u的管理密碼的exploit，正在網上火賣著，不過這種sniff的方法，同樣是在獲得 webshell的條件后還得有個能在目錄里有"執(zhí)行"的權限，并且需要管理員再次登陸運行serv-u administrator的時候才能成功。所以我們的管理員要盡量避上以上幾點因素，也是可以防護的。 



另外serv-u的幾點常規(guī)安全需要設置下：

     選中"Block "FTP_bounce"attack and FXP"。什么是FXP呢？通常，當使用FTP協(xié)議進行文件傳輸時，客戶端首先向FTP服務器發(fā)出一個"PORT"命令，該命令中包含此用戶的IP地址和將被用來進行數據傳輸的端口號，服務器收到后，利用命令所提供的用戶地址信息建立與用戶的連接。大多數情況下，上述過程不會出現任何問題，但當客戶端是一名惡意用戶時，可能會通過在PORT命令中加入特定的地址信息，使FTP服務器與其它非客戶端的機器建立連接。雖然這名惡意用戶可能本身無權直接訪問某一特定機器，但是如果FTP服務器有權訪問該機器的話，那么惡意用戶就可以通過FTP服務器作為中介，仍然能夠最終實現與目標服務器的連接。這就是FXP，也稱跨服務器攻擊。選中后就可以防止發(fā)生此種情況。

     另外在"Block anti time-out schemes"也可以選中。其次，在"Advanced"選項卡中，檢查 "Enable security"是否被選中，如果沒有，選擇它們。

IIS的安全：

    刪掉c:/inetpub目錄，刪除iis不必要的映射

   首先是每一個web站點使用單獨的IIS用戶，譬如這里，新建立了一個名為www.315safe.com ，權限為guest的。

    在IIS里的站點屬性里"目錄安全性"---"身份驗證和訪問控制"里設置匿名訪問使用下列Windows 用戶帳戶"的用戶名密碼都使用www.315safe.com 這個用戶的信息.在這個站點相對應的web目錄文件，默認的只給IIS用戶的讀取和寫入權限（后面有更BT的設置要介紹）。 

在"應用程序配置"里，我們給必要的幾種腳本執(zhí)行權限：ASP.ASPX,PHP， 
IIS6.0由于運行機制的不同，出現了應用程序池的概念。一般建議10個左右的站點共用一個應用程序池，應用程序池對于一般站點可以采用默認設置，

可以在每天凌晨的時候回收一下工作進程。

     新建立一個站，采用默認向導，在設置中注意以下在應用程序設置里：執(zhí)行權限為默認的純腳本，應用程序池使用獨立的名為：315safe的程序池。

    名為315safe的應用程序池可以適當設置下"內存回收"：這里的最大虛擬內存為：1000M，最大使用的物理內存為256M，這樣的設置幾乎是沒限制這個站點的性能的。

最新評論