首页 » 应用安全 » 其它应用 » FTP » 正文

Serv-U 安全加固

本文档以 Serv-U 14 为基准编写,其它版本可能会有所差异。

 

1,用户权限最小化

1.1 锁定用户目录

若无特殊情况,应将用户限制在它的主目录下,防止用户越权访问其它用户的数据。

在用户属性中,勾选“锁定用户根目录” 单选框。 

1.2 目录/文件访问权限

根据用户的访问需要对用户允许访问的目录进行权限限制。权限设置遵循最小化原则,例如:

读数据用户避免分配写入权限
写数据用户可以没有读取权限
只需要写入文件的不用分配创建文件夹权限
...

打开 Serv-U 管理控制台,从要设置的域下找到“用户“->”用户帐号”,打开要设置的用户的属性,在“目录访问”选项卡中双击某个要设置的目录,在打开的界面中设置权限。

注: “执行”权限允许在服务器上运行可执行文件,强烈建议不要给用户分配此权限。如果需要全局关闭“执行”功能,可以在“管理服务器”->“服务器限制和设置”->“FTP设置”中将命令“SITE EXEC”设置为禁用。

 

2,IP访问控制

Serv-U 允许在服务器、域、群组和用户级别分别定义 IP 访问规则,访问规则以显示的顺序依次应用。因此可以将特定规则置于顶部,以便在以后应用列表中更宽泛的规则前允许(或拒绝)访问。

Serv-U 的 IP访问规则是默认全部拒绝的,也就是说当没有配置任何规则时是全部允许的。一旦配置了某条规则,那么除了明确允许的规则以外的访问将会全部拒绝。

建议根据实际需要进行配置,下图演示了服务器全局 IP 访问规则设置:

其它 IP 访问规则分别可以在域详细信息、全局/域群组、全局/域用户下找到。

注:为了方便在本地进行测试,建议将127.0.0.1设置为允许。 

3,帐号密码策略

3.1,用户锁定策略

 为了防止攻击者对 FTP 用户的暴力猜解,建议启用认证错误锁定机制,由于 Serv-U 支持在服务器级别和域级别分别设置锁定策略,而且域级别的设置会覆盖服务器级别的设置,因此建议在域级别进行设置。

下图设置了在 2 分钟之内连续认证失败 4 次则锁定 30 分钟:

3.2,密码策略

为了避免 FTP 用户使用简单的密码或长期不修改密码,建议在服务器全局启用密码复杂度设置(长度、字符类别)和帐号过期策略。注意策略中蓝色的为默认策略,应避免全局策略被域、群组和用户覆盖。

4,设置管理密码

 Serv-U 的管理控制台默认未设置密码保护,建议设置密码,避免非 FTP 管理员从服务器本地修改 FTP 配置。

在管理控制台的“管理服务器”->“服务器限制和设置”->“服务器设置”页的最下方可以找到“更改管理密码”按钮,点击按钮即可修改(初始密码为空)。

5, 日志记录

默认情况下,Serv-U仅显示实时日志信息,为了便于安全审计,需要修改配置将日志持续记录到文件中。

Serv-U 的日志配置仅能针对域来定义,建议根据日志量的大小来选择日志记录的周期(下图为每天一个日志文件),同时要使用提供的变量定义好日志文件名。

 

6. 关闭 FXP

FXP(服务器端传输)常被利用发起 FTP Bounce 攻击,攻击者可以利用其扫描企业内网、绕过安全限制等等,如果确认FTP不需要进行服务器之间的数据传输,建议禁用 FXP;但如果需要这个功能,建议通过访问控制策略进行限制,降低风险。

在Serv-U guan管理控制台中,进入“管理服务器”->“服务器设置和限制”->“FTP 设置”,点击页面底部的“全局属性”按钮,打开的窗口切换到“高级选项”,勾选下图所示选项即可。

 

7,FTP 服务降权运行

在Windows下,FTP 服务在部分系统上会以用户 SYSTEM 来运行,这样一旦 FTP 服务遭受攻击,攻击者就会直接获得服务器的最高权限,因此需要将服务以 NETWORK SERVICE 用户来运行。

首先,需要将 FTP 数据目录和日志目录的权限进行修改,给用户 NETWORK SERVICE 添加相关权限(所有子目录/文件继承),修改方式如下:

FTP数据目录:完全控制,建议去掉执行权限(如果需要SITE EXEC功能则不能去掉执行权限)
FTP日志目录:读取、写入权限

然后,从“开始”->“管理工具”->“服务”中找到“Serv-U File Server”服务,双击打开其属性切换到“登录”页,按照下图设置:

最后,重启服务。

发表评论