以普通权限运行Serv-U FTP服务器软件的操作步骤
默认情况下,Serv-U 以 SYSTEM 权限运行,Serv-U有一个默认的管理用户(用户名:localadministrator,密码:#|@$ak#.|k;0@p),通过一个能访问本地端口43958的账号就有可能随意增删账号和以SYSTEM权限执行命令。
修改Serv-u的管理端口、账号和密码后,修改后的内容还是保留在ServUDaemon.exe文件里,因此下载后用如Ultra Edit之类的16进制编辑软件还是有可能的获取到修改后的端口、账号和密码。
通过本文的操作方法,将 Serv-U.exe 以普通自定义用户权限运行,即使通过 Serv-U 执行命令也只是普通用户权在执行命令,可以防止恶意提权操作等。
- 打开Windows 任务管理器,查看一下 Serv-U.exe 的运行用户权限
如果如下图所示,显示的是 SYSTEM 用户,则表示 SYSTEM系统权限在运行,非常危险。
2
、将 Serv-U
以普通用户权限运行,建立一个用户 Serv-U_user
这里只选2个选项
(1)用户不能更改密码
(2)密码用不过期
用户建立后,默认会加入 Users 组,修改用户属性,将 Users 组取消
3
、修改 Serv-U
安装目录的NTFS
权限
假设我们将Serv-U软件安装在 D:\Serv-U 目录,修改这个目录,只保留
(1)Administrators 完全控制
(2)SYSTEM完全控制
(3)Serv-U_user完全控制
如果有其他用户权限,都删除掉
这里可能会出现其他权限,除了这2个
(1)Administrators 完全控制
(2)SYSTEM完全控制
其他权限都删除掉
由于此目录继承了上级目录的权限,无法直接删除。点“高级”先取消继承的权限。
删除户,只保留下面2个权限
(1)Administrators 完全控制
(2)SYSTEM完全控制
点“添加”将 Serv-U_user 用户加上
选择 Serv-U_user 用户,点“完全控制”,授予 Serv-U_user 用户完全控制的权限
4
、给Serv-U
的安装盘,D
盘增 Serv-U_user
加“读取权限”的权限
我们这里的D 盘属性里,只有2个权限 (1)Administrators 完全控制
(2)SYSTEM完全控制
如果有其他权限请保留,如MySQL 等的用户权限,请保留,不要删除,以免其他程序无法运行。
我们这里只增加一个权限。点“高级”
如果 Serv-U 正在运行,请先点“停止”,将 Serv-U 先停止
选择“此账户”,填写 Serv-U_user 和密码,然后点确定。
打开Windows 任务管理器,我们看到 Serv-U.exe 已经是在 Serv-U_user 用户在运行了。
Serv-U 部分已经配置完成
特别说明
如果是老版本的Serv-U
,FTP
登录的用户名和密码可能保存在注册表里。还需在注册表里HKEY_LOCAL_MACHINE\SOFTWARE\
找到Serv-U
的分支,并赋予Serv-U_user
读写权限。否则Serv-U
可能无法读写。
6
、修改服务器FTP
上传目录的NTFS
权限
由于以前 Serv-U 是 SYSTEM权限在运行,现在降权为自定义的Serv-U_user用户后,这个用户无法读写 FTP目录,也就无法 FTP 上传下载文件,需要对服务器FTP目录授予 Serv-U_user 完全控制的权限,以便 Serv-U 可以读写和 FTP上传文件。
假设FTP的主目录是 D:\home 目录
特别说明:
如果 FTP目录是其他目录,比如F 盘,需要增加一个 Serv-U_user 用户对D 盘的“读取权限”的权限。设置步骤参照上面第4步的说明。
授予 Serv-U_user 对此目录的完全控制权限
对于具体网站 FTP目录,例如,客户web111 的FTP目录,在原来的基础上增加 Serv-U_user 完全控制即可,这样 Serv-U 就可以读写web111 目录了。
如果使用的是
虚拟主机管理软件,在开通空间的时候,同时增加 Serv-U_user 用户完全控制权限即可。
7
、禁止Windows
磁盘配额对Serv-U_user
用户使用的硬盘空间的限制
如果开启了磁盘配额限制,请取消对 Serv-U_user 用户的配额限制,以免无法正常FTP上传文件。
评论