- 工信部備案號 滇ICP備05000110號-1
- 滇公安備案 滇53010302000111
- 增值電信業務經營許可證 B1.B2-20181647、滇B1.B2-20190004
- 云南互聯網協會理事單位
- 安全聯盟認證網站身份V標記
- 域名注冊服務機構許可:滇D3-20230001
- 代理域名注冊服務機構:新網數碼
相關文章
云南公布第二批免費向社會提供信息技術服務企業名單 國信辦再關閉31家違規網站 云南省2019年國家網絡安全周在麗江啟動,藍隊云獲頒“最佳技術支持獎” 中國互聯網企業赴美上市規模預計今年或減半 云南省首屆互聯網網絡攻防演練大賽舉行
關于Serv-u的Banner及登錄消息的設置。
2015-11-13 17:19:12
10042
關于serv-u的Banner及登錄消息的設置。
Serv-U是一款十分經典的FTP服務器軟件,一直被大部分管理員和虛擬主機所使用,它簡單的安裝和配置以及強大的管理功能也一直被管理員們稱頌。但是隨著使用者越來越多,也有越來越多的主機被通過Serv-U軟件所入侵。
本文旨在提出一些切實可行的方法,徹底杜絕由Serv-u帶來的安全隱患。
1、Serv-u的安裝:
關于Serv-u的安裝網上許多文章中提到要安裝在一個復雜的路徑,個人認為這個不是十分必要,完全可以按照你喜歡的例如:D:softServ-u目錄里。但是不推薦安裝在系統盤目錄里,也不推薦安裝在c:Program files目錄里,因為這個目錄的權限的原因(詳細權限設置以后再發文專門討論)。推薦的方式是無需安裝,直接使用綠色版的或直接復制在其他機器上安裝好的Serv-U的目錄。serv-u的用戶配置文件有兩種方式,一種是存放在注冊表,一種是存放在ServUDaemon.ini文件,推薦使用存放在.ini文件里面的方式,這種方式便于ser-u軟件的升級,也便于重裝系統后的ftp用戶的恢復,在權限設置上也相對方便。另外版本的選擇一定要選擇6.3版本以上的,現在最新的是 6.4.0.6 ,推薦使用,這里我們假設serv-u軟件放在的的D:softServ-U目錄里。
2、權限設置:
給serv-u單獨的用戶權限運行。在計算機管理中新增帳戶ftp,設置用戶不能更改密碼,密碼用不過期,并設置一個復雜的密碼,更改ftp用戶隸屬于Guests組(默認是USERS組),當然也可以設置為不屬于任何組。
啟動serv-u(這時是使用默認的system權限運行的),選擇本地服務器,自動開始,將serv-u設置為系統服務,這樣服務器在每次重啟時serv-u就會自動啟動,這里我們主要利用其可以在服務中配置給serv-u單獨用戶。
設置D:softServ-U目錄的權限為只保留administrators,ftp兩個用戶的權限,權限都是完全控制即可,并替換到所有子目錄。
在計算機管理中找到服務,找到Serv-U FTP 服務器,右鍵屬性,在登錄選項卡中將登錄身份從本地系統帳戶改為此帳戶,帳戶選擇ftp,并輸入設置好的密碼。確定后會提示將在服務重啟后生效,接著點右鍵,重新啟動,如果啟動成功,你的serv-u就在低權限下運行了。
上傳目錄權限的設置:因為serv-u是用ftp這個帳戶運行的,所以上傳的目錄給予ftp用戶的完全訪問權限就可以了,比如我們可以設置D、E、F盤的權限為administrators和ftp完全控制的權限,System權限也不用加了,如果serv-u用默認權限運行,則必須加入system權限才能對該目錄進行ftp操作。
3、安全隱患及利用
Serv-u在本機有一個默認監聽端口,默認監聽127.0.0.1:43958,在本機才能連接這個管理端口,默認管理賬號是LocalAdministrator,默認密碼是"#l@$ak#.lk;0@P",這個密碼是固定的。所以幾乎所有的針對serv-u攻擊的木馬便是利用此來添加serv-u用戶的,比如增加一個指向C盤的超級管理員用戶,夠可怕吧。
這里我們用一個常用的ASP木馬中舉例說明:(serv-u提權超強版)
提權后可以直接執行命令添加管理員帳戶,并且加了個隱藏的管理員帳戶(當然這個帳戶隱藏方式比較低級)如果成功了,用這個帳戶遠程登錄上去創建一個克隆的管理員帳戶,再把這個刪掉)。管理員如果連serv-u安全都做不很好的,對于隱藏度很高的克隆的帳號也不一定能發現,所以Serv-U的安全不容忽視。
比如俺一個朋友就喜歡用SQLDebugger 、SUPPORT_XXX等這樣的帳戶克隆出管理員帳戶,查看屬性又看不出來,很容易逃脫管理員的眼睛。
如何徹底解決這個安全隱患,有個最簡單的方法就是給serv-u設置一個本地管理密碼,也就是所有增加刪除修改serv-u的用戶及更改設置的操作,都需要經過本地密碼驗證。
可能有的管理員認為服務器密碼就他自己知道,別人上不去,更何況增加serv-u帳戶了,所以就不設置密碼,認為這完全是多此一舉,這就大錯特錯了。這里再介紹另一種解決問題的方法,結合上面的設置本地管理密碼可以讓我們的Serv-u更安全。就是修改serv-u的默認管理帳號和密碼,這里我們用到了UltraEdit-32這個軟件。
用UltraEdit-32打開servUAdmin.exe 查找LocalAdministrator,和#l@$ak#.lk;0@P,將這兩個字符串修改為等長度的字符串保存即可,注意一定是等長度的。當然這還不夠,還要打開ServUDaemon.exe,操作如法炮制,但修改后的字符串要務必與ServuAdmin.exe中修改的相同,否則Serv-u是無法進行用戶管理的。
經過設置Serv-U本地管理密碼和修改Serv-u文件這兩步大刀闊斧的改革后,再試試剛才的木馬,雖然也能提示執行命令成功,但實際服務器卻沒有任何變化,奈何不了了。
簡單總結一下以上所說的安全要點:
1、盡量使用最新版的Serv-u,如果英文還可以,推薦直接用英文版的,如果要用中文的,一定要在其他機器進行測試,確認漢化包無流氓插件后再在正式服務器上使用。
2、設置Serv-u運行于普通用戶權限,這樣即使通過木馬執行net localgroup administrators XXX /Add也不可能執行成功了。
3、設置Serv-u的目錄權限,只給administrators和運行serv-u用戶的權限,其他的都不要給,尤其是everyone權限(在服務器上使用everyone權限要十分慎重,網上有很多文章圖懶法不管三七二十一加個everyone就算了的。您可不要圖懶也加個everyone就算了,我所配置的服務器中沒有一處是使用everyone權限的。)和guests權限,users用戶權限也不要給。目的就是徹底防止通過Webshell訪問到Serv-u目錄,如果這一步設置不嚴,即使設了Serv-u密碼,通過Webshell下載了你的Serv-u去破解或者用UltraEdit-32打開分析,也一樣可能造成攻擊。
4、磁盤目錄權限,也就是你用ftp操作的目錄權限例如WEB目錄等,除了必要的IIS帳戶權限外,只加administrators和用來運行serv-u的帳戶的權限即可(可設為完全控制)。
5、務必要設置一個本地管理密碼,防止通過Webshell連接默認用戶名密碼的方式進行攻擊。
6、推薦用UltraEdit-32更改serv-u默認的帳戶密碼,其實也花不了很多時間。
7、端口的設置,完全可以根據個人喜好設置,個人認為與安全并無多大關系,因為即使更改了默認的21端口,如果有人想攻擊,一樣可以掃描出來。
只要嚴格注重了以上幾點,那么可以說你可以安全放心的使用你的Serv-u了。當然,服務器的安全是一個整體,任何地方的疏忽都有可能造成整個服務器的安全隱患。以上所說僅僅是與Serv-U相關的安全設置,絕不代表整個服務器就安全了。這一點務必注意。下面說說防火墻的設置。
三、Serv-u相關的防火墻設置:
關于防火墻的處理最常見的一個難題是主動FTP與被動FTP的區別以及如何配置防火墻并完美地支持它們。很多管理員可能都發現,在開了防火墻的服務器上利用FTP傳輸總有這樣那樣的小問題,有時傳輸數據“不夠流暢”。幸運地是,本文能夠幫助你徹底搞清在防火墻環境中如何支持FTP這個問題上的煩惱。
FTP服務是僅基于TCP的服務,不支持UDP。 與眾不同的是FTP使用2個端口,一個數據端口和一個命令端口(也可叫做控制端口)。通常來說這兩個端口是命令端口(21)和數據端口(20)。但當我們發現根據(FTP工作)方式的不同數據端口并不總是20時,新的問題就出來了。
主動FTP:
主動方式的FTP是這樣的:客戶端從一個任意的非特權端口N(N>;1024)連接到FTP服務器的命令端口,也就是21端口。然后客戶端開始監聽端口N+1,并發送FTP命令“port N+ 1”到FTP服務器。接著服務器會從它自己的數據端口(20)連接到客戶端指定的數據端口(N+1)。
針對FTP服務器前面的防火墻來說,必須允許以下通訊才能支持主動方式FTP
任何端口到FTP服務器的21端口 (客戶端初始化的連接 S)
FTP服務器的21端口到大于1023的端口(服務器響應客戶端的控制端口 S->C)
FTP服務器的20端口到大于1023的端口(服務器端初始化數據連接到客戶端的數據端口 S->C)
大于1023端口到FTP服務器的20端口(客戶端發送ACK響應到服務器的數據端口 S)
主動方式FTP的主要問題實際上在于客戶端。FTP的客戶端并沒有實際建立一個到服務器數據端口的連接,它只是簡單的告訴服務器自己監聽的端口號,服務器再回來連接客戶端這個指定的端口。對于客戶端的防火墻來說,這是從外部系統建立到內部客戶端的連接,這是通常會被阻塞的。
被動FTP
為了解決服務器發起到客戶的連接的問題,人們開發了一種不同的FTP連接方式。這就是所謂的被動方式,或者叫做PASV,當客戶端通知服務器它處于被動模式時才啟用。在常用的FTP傳輸軟件中也均有相關設置,例如FlashFXP的在選項-》參數設置-》代理里面就有相關選項。
在被動方式FTP中,命令連接和數據連接都由客戶端,這樣就可以解決從服務器到客戶端的數據端口的入方向連接被防火墻過濾掉的問題。當開啟一個FTP連接時,客戶端打開兩個任意的非特權本地端口(N >; 1024和N+1)。第一個端口連接服務器的21端口,但與主動方式的FTP不同,客戶端不會提交PORT命令并允許服務器來回連它的數據端口,而是提交PASV命令。這樣做的結果是服務器會開啟一個任意的非特權端口(P >; 1024),并發送PORT P命令給客戶端。然后客戶端發起從本地端口N+1到服務器的端口P的連接用來傳送數據。
對于服務器端的防火墻來說,必須允許下面的通訊才能支持被動方式的FTP:
從任何端口到服務器的21端口 (客戶端初始化的連接 S)
服務器的21端口到任何大于1023的端口 (服務器響應到客戶端的控制端口的連接 S->C)
從任何端口到服務器的大于1023端口 (入;客戶端初始化數據連接到服務器指定的任意端口 S)
服務器的大于1023端口到遠程的大于1023的端口(出;服務器發送ACK響應和數據到客戶端的數據端口 S->C)
下面簡要總結一下主動與被動FTP優缺點:
主動FTP對FTP服務器的管理有利,但對客戶端的管理不利。因為FTP服務器企圖與客戶端的高位隨機端口建立連接,而這個端口很有可能被客戶端的防火墻阻塞掉。被動FTP對FTP客戶端的管理有利,但對服務器端的管理不利。因為客戶端要與服務器端建立兩個連接,其中一個連到一個高位隨機端口,而這個端口很有可能被服務器端的防火墻阻塞掉。
幸運的是,有折衷的辦法。既然FTP服務器的管理員需要他們的服務器有最多的客戶連接,那么必須得支持被動FTP。我們可以通過為FTP服務器指定一個有限的端口范圍來減小服務器高位端口的暴露。這樣,不在這個范圍的任何端口會被服務器的防火墻阻塞。雖然這沒有消除所有針對服務器的危險,但它大大減少了危險。
在安裝Serv-U并初次運行的時候,防火墻會提示提示是否允許Serv-U連接網絡,這里我們選擇允許。這樣ServUDaemon.exe就在防火墻的信任的程序當中了。
再在防火墻中添加端口,注意如果你的FTP端口是默認的21,那么需要添加兩個端口,21和20。如果你的FTP端口是1000,那么還要添一個999,以此類推。值得一提的是,添加完端口后,在防火墻的高級設置里就不用設置了,以個人經驗這個地方如果再開啟了,反而會有些問題。之前曾因為這個地方的設置百思不得其解而郁悶過,后來終于搞懂只設一個地方即可。如圖所示:
接下來設置Serv-U的PASV:如圖所示,這個地方的設置關系到常遇到的FTP傳輸是否“流暢”的問題,尤其是在網速慢的情況。這里的端口范圍要指定的一定要是服務器上空閑的一段端口范圍,比如有的軟件用了3306,這里就不要用3000-3500了,這個地方所說的也就是前面提到的為FTP服務器指定一個有限的端口范圍來減小服務器高位端口的暴露。這也是國內很多虛擬主機商的做法。
再來看一下傳輸的情況:從FlashFXP的傳輸日志中可以看到沒傳輸一個文件端口就會從指定的PASV端口加一個,加到最大后再重新返回端口范圍的最小端口,如此循環實現FTP文件傳送。顯然如果這里不能順利的開啟端口,就會造成FTP傳輸的停頓,也就是常說的不流暢,需要重新連接一下FTP。
總之,Serv-U涉及的防火墻方面的設置并不是很多,基本上就是防火墻模式中最常見的基于端口的和基于程序的兩種方式,其他防火墻也可以按此設置即可。
四、最后補充一點關于Serv-u的Banner和登錄消息設置。
大家可能都碰到的類似以下的連接FTP服務器時的提示信息,其實這個地方即使不知道對方FTP帳戶密碼,只要知道端口(也可能通過掃描出的端口嘗試出來)用FTP傳輸軟件連接一下就會出來了,甚至直接在DOS窗口用命令提示符open一下你的FTP服務器,也會出來類似的提示信息,這樣豈不就老老實實的告訴別人你用的Serv-U做的FTP服務器并且所用的版本了么?
[右] 已連接到 60.215.XX.XX
[右] 220 Serv-U FTP Server v6.4 for WinSock ready...
[右] USER XPB
[右] 331 User name okay, need password.
[右] PASS (隱藏)
[右] 230 User logged in, proceed.
[右] SYST
[右] 215 UNIX Type: L8
[右] FEAT
[右] 211-Extension supported
[右] CLNT
其實在Serv-u中也有設置,在域的設置中有消息一項,可以自定義服務器響應消息,這里可以根據你喜歡的把這些消息改掉,例如改為Welcome to Microsoft FTP Service... 等等其他FTP服務軟件的Banner,可以起到一定的迷惑作用。
其次我們說一下大家可能也常碰到的下面這種提示是如何做出來的。
程序代碼
[右] 已連接到 202.194.XXX.XXX
[右] 220-歡迎登錄XX大學FTP服務器...
[右] 220-你的IP地址是:211.64.XXX.XXX
[右] 220-目前服務器所在的時間是 08:56:45
[右] 220-已經有 1585 個用戶在最近24小時訪問過本FTP
[右] 220-本FTP服務器已經運行了 21 天,18 小時 和 6 分。
[右] 220-
[右] 220-服務器的運行情況:
[右] 220-
[右] 220-所有登錄用戶數量: 26 total
[右] 220-當前登錄用戶數量: 18
[右] 220-已經下載字節數: 372000 Kb
[右] 220-已經上傳字節數: 118940 Kb
[右] 220-已經下載文件數: 92
[右] 220-已經上傳文件數: 1360
[右] 220-服務器平均帶寬: 810 Kb/sec
[右] 220 服務器當前帶寬: 945 Kb/sec
[右] USER xpb
其實這個設置這個地方也很簡單,只需要設置一個用戶登錄時的消息文件就可以了,設置的地方就在Serv-u的域的設置里面,就在上邊設置服務器響應消息的下面,其中登錄消息文件格式如下:
程序代碼
您已經成功登錄FTP服務器
你的IP地址是:%IP
目前服務器所在的時間是 %time
已經有 %u24h 個用戶在最近24小時訪問過本FTP
本FTP服務器已經運行了 %ServerDays 天,%ServerHours 小時 和 %ServerMins 分。
服務器的運行情況:
所有登錄用戶數量: %loggedInAll total
當前登錄用戶數量: %Unow
已經下載字節數: %ServerKbDown Kb
已經上傳字節數: %ServerKbUp Kb
已經下載文件數: %ServerFilesDown
已經上傳文件數: %ServerFilesUp
服務器平均帶寬: %ServerAvg Kb/sec
服務器當前帶寬: %ServerKBps Kb/sec
將此文件保存問例如logininfo.txt的文本文件,放于Serv-u目錄(也可以放到其他目錄,放到這里是因為不用再單獨設置該文件的權限了),然后把該文件設置為登錄時的消息文件,就可以了
Serv-U是一款十分經典的FTP服務器軟件,一直被大部分管理員和虛擬主機所使用,它簡單的安裝和配置以及強大的管理功能也一直被管理員們稱頌。但是隨著使用者越來越多,也有越來越多的主機被通過Serv-U軟件所入侵。
本文旨在提出一些切實可行的方法,徹底杜絕由Serv-u帶來的安全隱患。
1、Serv-u的安裝:
關于Serv-u的安裝網上許多文章中提到要安裝在一個復雜的路徑,個人認為這個不是十分必要,完全可以按照你喜歡的例如:D:softServ-u目錄里。但是不推薦安裝在系統盤目錄里,也不推薦安裝在c:Program files目錄里,因為這個目錄的權限的原因(詳細權限設置以后再發文專門討論)。推薦的方式是無需安裝,直接使用綠色版的或直接復制在其他機器上安裝好的Serv-U的目錄。serv-u的用戶配置文件有兩種方式,一種是存放在注冊表,一種是存放在ServUDaemon.ini文件,推薦使用存放在.ini文件里面的方式,這種方式便于ser-u軟件的升級,也便于重裝系統后的ftp用戶的恢復,在權限設置上也相對方便。另外版本的選擇一定要選擇6.3版本以上的,現在最新的是 6.4.0.6 ,推薦使用,這里我們假設serv-u軟件放在的的D:softServ-U目錄里。
2、權限設置:
給serv-u單獨的用戶權限運行。在計算機管理中新增帳戶ftp,設置用戶不能更改密碼,密碼用不過期,并設置一個復雜的密碼,更改ftp用戶隸屬于Guests組(默認是USERS組),當然也可以設置為不屬于任何組。
啟動serv-u(這時是使用默認的system權限運行的),選擇本地服務器,自動開始,將serv-u設置為系統服務,這樣服務器在每次重啟時serv-u就會自動啟動,這里我們主要利用其可以在服務中配置給serv-u單獨用戶。
設置D:softServ-U目錄的權限為只保留administrators,ftp兩個用戶的權限,權限都是完全控制即可,并替換到所有子目錄。
在計算機管理中找到服務,找到Serv-U FTP 服務器,右鍵屬性,在登錄選項卡中將登錄身份從本地系統帳戶改為此帳戶,帳戶選擇ftp,并輸入設置好的密碼。確定后會提示將在服務重啟后生效,接著點右鍵,重新啟動,如果啟動成功,你的serv-u就在低權限下運行了。
上傳目錄權限的設置:因為serv-u是用ftp這個帳戶運行的,所以上傳的目錄給予ftp用戶的完全訪問權限就可以了,比如我們可以設置D、E、F盤的權限為administrators和ftp完全控制的權限,System權限也不用加了,如果serv-u用默認權限運行,則必須加入system權限才能對該目錄進行ftp操作。
3、安全隱患及利用
Serv-u在本機有一個默認監聽端口,默認監聽127.0.0.1:43958,在本機才能連接這個管理端口,默認管理賬號是LocalAdministrator,默認密碼是"#l@$ak#.lk;0@P",這個密碼是固定的。所以幾乎所有的針對serv-u攻擊的木馬便是利用此來添加serv-u用戶的,比如增加一個指向C盤的超級管理員用戶,夠可怕吧。
這里我們用一個常用的ASP木馬中舉例說明:(serv-u提權超強版)
提權后可以直接執行命令添加管理員帳戶,并且加了個隱藏的管理員帳戶(當然這個帳戶隱藏方式比較低級)如果成功了,用這個帳戶遠程登錄上去創建一個克隆的管理員帳戶,再把這個刪掉)。管理員如果連serv-u安全都做不很好的,對于隱藏度很高的克隆的帳號也不一定能發現,所以Serv-U的安全不容忽視。
比如俺一個朋友就喜歡用SQLDebugger 、SUPPORT_XXX等這樣的帳戶克隆出管理員帳戶,查看屬性又看不出來,很容易逃脫管理員的眼睛。
如何徹底解決這個安全隱患,有個最簡單的方法就是給serv-u設置一個本地管理密碼,也就是所有增加刪除修改serv-u的用戶及更改設置的操作,都需要經過本地密碼驗證。
可能有的管理員認為服務器密碼就他自己知道,別人上不去,更何況增加serv-u帳戶了,所以就不設置密碼,認為這完全是多此一舉,這就大錯特錯了。這里再介紹另一種解決問題的方法,結合上面的設置本地管理密碼可以讓我們的Serv-u更安全。就是修改serv-u的默認管理帳號和密碼,這里我們用到了UltraEdit-32這個軟件。
用UltraEdit-32打開servUAdmin.exe 查找LocalAdministrator,和#l@$ak#.lk;0@P,將這兩個字符串修改為等長度的字符串保存即可,注意一定是等長度的。當然這還不夠,還要打開ServUDaemon.exe,操作如法炮制,但修改后的字符串要務必與ServuAdmin.exe中修改的相同,否則Serv-u是無法進行用戶管理的。
經過設置Serv-U本地管理密碼和修改Serv-u文件這兩步大刀闊斧的改革后,再試試剛才的木馬,雖然也能提示執行命令成功,但實際服務器卻沒有任何變化,奈何不了了。
簡單總結一下以上所說的安全要點:
1、盡量使用最新版的Serv-u,如果英文還可以,推薦直接用英文版的,如果要用中文的,一定要在其他機器進行測試,確認漢化包無流氓插件后再在正式服務器上使用。
2、設置Serv-u運行于普通用戶權限,這樣即使通過木馬執行net localgroup administrators XXX /Add也不可能執行成功了。
3、設置Serv-u的目錄權限,只給administrators和運行serv-u用戶的權限,其他的都不要給,尤其是everyone權限(在服務器上使用everyone權限要十分慎重,網上有很多文章圖懶法不管三七二十一加個everyone就算了的。您可不要圖懶也加個everyone就算了,我所配置的服務器中沒有一處是使用everyone權限的。)和guests權限,users用戶權限也不要給。目的就是徹底防止通過Webshell訪問到Serv-u目錄,如果這一步設置不嚴,即使設了Serv-u密碼,通過Webshell下載了你的Serv-u去破解或者用UltraEdit-32打開分析,也一樣可能造成攻擊。
4、磁盤目錄權限,也就是你用ftp操作的目錄權限例如WEB目錄等,除了必要的IIS帳戶權限外,只加administrators和用來運行serv-u的帳戶的權限即可(可設為完全控制)。
5、務必要設置一個本地管理密碼,防止通過Webshell連接默認用戶名密碼的方式進行攻擊。
6、推薦用UltraEdit-32更改serv-u默認的帳戶密碼,其實也花不了很多時間。
7、端口的設置,完全可以根據個人喜好設置,個人認為與安全并無多大關系,因為即使更改了默認的21端口,如果有人想攻擊,一樣可以掃描出來。
只要嚴格注重了以上幾點,那么可以說你可以安全放心的使用你的Serv-u了。當然,服務器的安全是一個整體,任何地方的疏忽都有可能造成整個服務器的安全隱患。以上所說僅僅是與Serv-U相關的安全設置,絕不代表整個服務器就安全了。這一點務必注意。下面說說防火墻的設置。
三、Serv-u相關的防火墻設置:
關于防火墻的處理最常見的一個難題是主動FTP與被動FTP的區別以及如何配置防火墻并完美地支持它們。很多管理員可能都發現,在開了防火墻的服務器上利用FTP傳輸總有這樣那樣的小問題,有時傳輸數據“不夠流暢”。幸運地是,本文能夠幫助你徹底搞清在防火墻環境中如何支持FTP這個問題上的煩惱。
FTP服務是僅基于TCP的服務,不支持UDP。 與眾不同的是FTP使用2個端口,一個數據端口和一個命令端口(也可叫做控制端口)。通常來說這兩個端口是命令端口(21)和數據端口(20)。但當我們發現根據(FTP工作)方式的不同數據端口并不總是20時,新的問題就出來了。
主動FTP:
主動方式的FTP是這樣的:客戶端從一個任意的非特權端口N(N>;1024)連接到FTP服務器的命令端口,也就是21端口。然后客戶端開始監聽端口N+1,并發送FTP命令“port N+ 1”到FTP服務器。接著服務器會從它自己的數據端口(20)連接到客戶端指定的數據端口(N+1)。
針對FTP服務器前面的防火墻來說,必須允許以下通訊才能支持主動方式FTP
任何端口到FTP服務器的21端口 (客戶端初始化的連接 S)
FTP服務器的21端口到大于1023的端口(服務器響應客戶端的控制端口 S->C)
FTP服務器的20端口到大于1023的端口(服務器端初始化數據連接到客戶端的數據端口 S->C)
大于1023端口到FTP服務器的20端口(客戶端發送ACK響應到服務器的數據端口 S)
主動方式FTP的主要問題實際上在于客戶端。FTP的客戶端并沒有實際建立一個到服務器數據端口的連接,它只是簡單的告訴服務器自己監聽的端口號,服務器再回來連接客戶端這個指定的端口。對于客戶端的防火墻來說,這是從外部系統建立到內部客戶端的連接,這是通常會被阻塞的。
被動FTP
為了解決服務器發起到客戶的連接的問題,人們開發了一種不同的FTP連接方式。這就是所謂的被動方式,或者叫做PASV,當客戶端通知服務器它處于被動模式時才啟用。在常用的FTP傳輸軟件中也均有相關設置,例如FlashFXP的在選項-》參數設置-》代理里面就有相關選項。
在被動方式FTP中,命令連接和數據連接都由客戶端,這樣就可以解決從服務器到客戶端的數據端口的入方向連接被防火墻過濾掉的問題。當開啟一個FTP連接時,客戶端打開兩個任意的非特權本地端口(N >; 1024和N+1)。第一個端口連接服務器的21端口,但與主動方式的FTP不同,客戶端不會提交PORT命令并允許服務器來回連它的數據端口,而是提交PASV命令。這樣做的結果是服務器會開啟一個任意的非特權端口(P >; 1024),并發送PORT P命令給客戶端。然后客戶端發起從本地端口N+1到服務器的端口P的連接用來傳送數據。
對于服務器端的防火墻來說,必須允許下面的通訊才能支持被動方式的FTP:
從任何端口到服務器的21端口 (客戶端初始化的連接 S)
服務器的21端口到任何大于1023的端口 (服務器響應到客戶端的控制端口的連接 S->C)
從任何端口到服務器的大于1023端口 (入;客戶端初始化數據連接到服務器指定的任意端口 S)
服務器的大于1023端口到遠程的大于1023的端口(出;服務器發送ACK響應和數據到客戶端的數據端口 S->C)
下面簡要總結一下主動與被動FTP優缺點:
主動FTP對FTP服務器的管理有利,但對客戶端的管理不利。因為FTP服務器企圖與客戶端的高位隨機端口建立連接,而這個端口很有可能被客戶端的防火墻阻塞掉。被動FTP對FTP客戶端的管理有利,但對服務器端的管理不利。因為客戶端要與服務器端建立兩個連接,其中一個連到一個高位隨機端口,而這個端口很有可能被服務器端的防火墻阻塞掉。
幸運的是,有折衷的辦法。既然FTP服務器的管理員需要他們的服務器有最多的客戶連接,那么必須得支持被動FTP。我們可以通過為FTP服務器指定一個有限的端口范圍來減小服務器高位端口的暴露。這樣,不在這個范圍的任何端口會被服務器的防火墻阻塞。雖然這沒有消除所有針對服務器的危險,但它大大減少了危險。
在安裝Serv-U并初次運行的時候,防火墻會提示提示是否允許Serv-U連接網絡,這里我們選擇允許。這樣ServUDaemon.exe就在防火墻的信任的程序當中了。
再在防火墻中添加端口,注意如果你的FTP端口是默認的21,那么需要添加兩個端口,21和20。如果你的FTP端口是1000,那么還要添一個999,以此類推。值得一提的是,添加完端口后,在防火墻的高級設置里就不用設置了,以個人經驗這個地方如果再開啟了,反而會有些問題。之前曾因為這個地方的設置百思不得其解而郁悶過,后來終于搞懂只設一個地方即可。如圖所示:
接下來設置Serv-U的PASV:如圖所示,這個地方的設置關系到常遇到的FTP傳輸是否“流暢”的問題,尤其是在網速慢的情況。這里的端口范圍要指定的一定要是服務器上空閑的一段端口范圍,比如有的軟件用了3306,這里就不要用3000-3500了,這個地方所說的也就是前面提到的為FTP服務器指定一個有限的端口范圍來減小服務器高位端口的暴露。這也是國內很多虛擬主機商的做法。
再來看一下傳輸的情況:從FlashFXP的傳輸日志中可以看到沒傳輸一個文件端口就會從指定的PASV端口加一個,加到最大后再重新返回端口范圍的最小端口,如此循環實現FTP文件傳送。顯然如果這里不能順利的開啟端口,就會造成FTP傳輸的停頓,也就是常說的不流暢,需要重新連接一下FTP。
總之,Serv-U涉及的防火墻方面的設置并不是很多,基本上就是防火墻模式中最常見的基于端口的和基于程序的兩種方式,其他防火墻也可以按此設置即可。
四、最后補充一點關于Serv-u的Banner和登錄消息設置。
大家可能都碰到的類似以下的連接FTP服務器時的提示信息,其實這個地方即使不知道對方FTP帳戶密碼,只要知道端口(也可能通過掃描出的端口嘗試出來)用FTP傳輸軟件連接一下就會出來了,甚至直接在DOS窗口用命令提示符open一下你的FTP服務器,也會出來類似的提示信息,這樣豈不就老老實實的告訴別人你用的Serv-U做的FTP服務器并且所用的版本了么?
[右] 已連接到 60.215.XX.XX
[右] 220 Serv-U FTP Server v6.4 for WinSock ready...
[右] USER XPB
[右] 331 User name okay, need password.
[右] PASS (隱藏)
[右] 230 User logged in, proceed.
[右] SYST
[右] 215 UNIX Type: L8
[右] FEAT
[右] 211-Extension supported
[右] CLNT
其實在Serv-u中也有設置,在域的設置中有消息一項,可以自定義服務器響應消息,這里可以根據你喜歡的把這些消息改掉,例如改為Welcome to Microsoft FTP Service... 等等其他FTP服務軟件的Banner,可以起到一定的迷惑作用。
其次我們說一下大家可能也常碰到的下面這種提示是如何做出來的。
程序代碼
[右] 已連接到 202.194.XXX.XXX
[右] 220-歡迎登錄XX大學FTP服務器...
[右] 220-你的IP地址是:211.64.XXX.XXX
[右] 220-目前服務器所在的時間是 08:56:45
[右] 220-已經有 1585 個用戶在最近24小時訪問過本FTP
[右] 220-本FTP服務器已經運行了 21 天,18 小時 和 6 分。
[右] 220-
[右] 220-服務器的運行情況:
[右] 220-
[右] 220-所有登錄用戶數量: 26 total
[右] 220-當前登錄用戶數量: 18
[右] 220-已經下載字節數: 372000 Kb
[右] 220-已經上傳字節數: 118940 Kb
[右] 220-已經下載文件數: 92
[右] 220-已經上傳文件數: 1360
[右] 220-服務器平均帶寬: 810 Kb/sec
[右] 220 服務器當前帶寬: 945 Kb/sec
[右] USER xpb
其實這個設置這個地方也很簡單,只需要設置一個用戶登錄時的消息文件就可以了,設置的地方就在Serv-u的域的設置里面,就在上邊設置服務器響應消息的下面,其中登錄消息文件格式如下:
程序代碼
您已經成功登錄FTP服務器
你的IP地址是:%IP
目前服務器所在的時間是 %time
已經有 %u24h 個用戶在最近24小時訪問過本FTP
本FTP服務器已經運行了 %ServerDays 天,%ServerHours 小時 和 %ServerMins 分。
服務器的運行情況:
所有登錄用戶數量: %loggedInAll total
當前登錄用戶數量: %Unow
已經下載字節數: %ServerKbDown Kb
已經上傳字節數: %ServerKbUp Kb
已經下載文件數: %ServerFilesDown
已經上傳文件數: %ServerFilesUp
服務器平均帶寬: %ServerAvg Kb/sec
服務器當前帶寬: %ServerKBps Kb/sec
將此文件保存問例如logininfo.txt的文本文件,放于Serv-u目錄(也可以放到其他目錄,放到這里是因為不用再單獨設置該文件的權限了),然后把該文件設置為登錄時的消息文件,就可以了
