Serv-U應(yīng)用技巧及安全防范

1、Serv-U FTP Server應(yīng)用技巧及安全防范1、 引言Serv-U是一款由Rob Beckers開(kāi)發(fā)的獲獎(jiǎng)的FTP服務(wù)器軟件，它設(shè)置簡(jiǎn)單、功能強(qiáng)大、性能穩(wěn)定，是一款非常優(yōu)秀的FTP服務(wù)器軟件。Serv-U不僅100%遵從通用FTP標(biāo)準(zhǔn)，也包括眾多的獨(dú)特功能可為每個(gè)用戶提供文件共享完美解決方案。用戶通過(guò)它建立個(gè)人或者企業(yè)FTP服務(wù)器，能在Internet上共享和傳輸文件。它并不是簡(jiǎn)單地提供文件的下載，還為用戶的系統(tǒng)安全提供了相當(dāng)全面的保護(hù)。例如：您可以為您的FTP設(shè)置密碼、設(shè)置各種用戶級(jí)的訪問(wèn)許可、可以設(shè)定多個(gè)FTP服務(wù)器、限的定登錄用戶的權(quán)限、登錄主目錄及空間大小等等，功能非常完備。2

2、、Serv-U使用方法及應(yīng)用技巧2.1 Serv-U的安裝Serv-U的安裝很簡(jiǎn)單，和其他windows程序一樣，執(zhí)行setup.exe，即可開(kāi)始安裝；全部選默認(rèn)選項(xiàng)即可。安裝完成后不需要重新啟動(dòng)，在“開(kāi)始程序Serv-U FTP Server”中就能看到相關(guān)文件，桌面上也會(huì)產(chǎn)生快捷方式圖標(biāo)。2.2 建立一個(gè)FTP服務(wù)器打開(kāi)Serv-U主界面，點(diǎn)右鍵選擇Domains選項(xiàng)的New Domain，然后選擇填寫(xiě)IP地址、Domain名稱、端口等信息。完成后如下圖：2.3 建立FTP用戶點(diǎn)右鍵選擇Users選項(xiàng)的New User，填寫(xiě)用戶名、密碼、用戶目錄，然后確定即可。如下圖所示，我們建立了一個(gè)a

3、dmin的FTP用戶，對(duì)該用戶的目錄擁有除了execute外的所有權(quán)限。選“Dir Access”（目錄存取權(quán)限），即可設(shè)置此用戶在它的主目錄（即“Path”）是否對(duì)文件擁有“Read”（讀）、Write（寫(xiě)）、“Append” （寫(xiě)和添加）、“Delete”（刪除）、“Execute”（執(zhí)行）；是否對(duì)目錄擁有“List”（顯示文件和目錄的列表）、“Create”（建立新目錄）和“Remove”（修改目錄，包括刪除，移動(dòng)，更名）；及“Inherit”（以上權(quán)限是否包括它下面的目錄樹(shù)）等等。這樣，我們就建立好了一個(gè)簡(jiǎn)單的FTP 服務(wù)器并且設(shè)置了一個(gè)可以登錄的用戶。2.4 FTP客戶端登錄FTP客

4、戶端有好多種，這里我們只演示其中常用的2種。第一就是在命令提示符下登錄FTP服務(wù)器，如下圖所示：第二種就是用專(zhuān)用的FTP客戶端軟件，比如CuteFTP、FlashFXP、LeapFTP等。這里我們選擇FlashFXP。在“站點(diǎn)管理器”中填寫(xiě)好信息，確定即可。然后就可以在“快速連接”里看到該站點(diǎn)，點(diǎn)一下就自動(dòng)連接了。2.5 在一臺(tái)機(jī)器上建立多個(gè)FTP服務(wù)器（1）如果該機(jī)器有多個(gè)IP地址，就可以建立多個(gè)不同的New Domain。（2）如果該機(jī)器只有一個(gè)IP地址，那么只能通過(guò)設(shè)置不同的端口來(lái)建立多個(gè)FTP服務(wù)器。如果建立的第一個(gè)FTP服務(wù)器使用了默認(rèn)的TCP 21端口后，那么另外一個(gè)就不能再用該端

5、口了，必須重新手動(dòng)設(shè)置一個(gè)。本例中設(shè)置為2121。2.6 限制上傳、下載速度和最大用戶連接數(shù)（1）可以在Local ServerSettings的General選項(xiàng)卡下設(shè)置一個(gè)全局的參數(shù)。（2）可以在某個(gè)Domain下的SettingsGeneral選項(xiàng)卡中設(shè)置登錄該Domain的最大用戶連接數(shù)。（3）針對(duì)某個(gè)具體用戶進(jìn)行具體設(shè)置：可以設(shè)置最大上傳、下載速度；設(shè)置該用戶的最大連接數(shù)；設(shè)置線程數(shù)（同一IP的連接數(shù)）。2.7 FTP用戶管理（1）在Account選項(xiàng)卡下可以對(duì)某個(gè)具體用戶進(jìn)行禁用（Disable account），或者設(shè)置到哪一天后對(duì)該用戶進(jìn)行禁用或刪除。（2）修改用戶密碼（3）鎖

6、定用戶在自己的目錄內(nèi)（Lock user in home directory）2.8 FTP虛擬目錄設(shè)置 假設(shè)你在E盤(pán)下有一個(gè)ftproot目錄，在F盤(pán)下也有一個(gè)ftproot目錄，現(xiàn)在想用一個(gè)FTP帳號(hào)訪問(wèn)同時(shí)訪問(wèn)這兩個(gè)目錄，如何做呢？這時(shí)我們就可以使用Serv-U中的“虛擬路徑映射”功能來(lái)解決這個(gè)問(wèn)題。（1）選擇一個(gè)Domain，在Settings下的Virtual Paths選項(xiàng)卡里點(diǎn)擊Add進(jìn)行虛擬目錄添加設(shè)置。下面是出現(xiàn)的三個(gè)需要填寫(xiě)的對(duì)話框：Physical pach ：填寫(xiě)要映射的目錄的物理路徑，這里為D:ftprootMap physical path to ：選擇物理路徑映射

7、到的目錄，推薦用“%HOME%”，這樣就直接定位到登錄帳號(hào)的用戶目錄mapped path name ：虛擬目錄的名稱。這個(gè)根據(jù)自己喜好隨便！設(shè)置完畢后如下圖所示：（2）在某個(gè)具體Domain里選擇一個(gè)用戶，然后在Dir Access選項(xiàng)卡里單擊Add，添加要映射目錄的物理路徑地址，這里是D:ftproot，然后確定即可。這樣用admin帳號(hào)登錄后就可以看到除了自己的用戶主目錄外的另外一個(gè)映射過(guò)來(lái)的目錄simplelove。2.9 遠(yuǎn)程管理Serv-U（1）在FTP服務(wù)器的Serv-U管理窗口中，選擇某個(gè)賬戶，然后點(diǎn)擊Account 選項(xiàng)，在Privilege的列表中，選擇“System Ad

8、ministrator”，給予該帳戶管理身份。確定即可。（2）在遠(yuǎn)程計(jì)算機(jī)上安裝Serv-U并運(yùn)行，然后右擊Serv-U Servers，選擇New Server。輸入遠(yuǎn)程FTP服務(wù)器的IP地址、端口號(hào)、遠(yuǎn)程FTP服務(wù)器的名稱輸入管理帳戶的密碼，點(diǎn)擊“Finish”結(jié)束；完成設(shè)置后，我們可以看出和本地管理相似的界面。3、Serv-U安全防范3.1 使用SSL進(jìn)行加密（1）由于FTP默認(rèn)是不加密的，所有信息都是明文傳輸，非常的不安全。在某些特殊場(chǎng)合，就必須進(jìn)行加密。Serv-U提供了SSL加密功能，但默認(rèn)是沒(méi)有啟用的，我們需要手動(dòng)打開(kāi)。Local ServerSettingsSSL Certif

9、icate選項(xiàng)，修改系統(tǒng)的默認(rèn)信息，因?yàn)檫@些信息在所 有的Serv-U軟件里都一樣的，我們要修改成自己的。如下圖所示：（2）在Domains選項(xiàng)下的某個(gè)具體Domain中，在Security選項(xiàng)的下拉菜單中把默認(rèn)的“Regular FTP only,no SSL/TLS sessions”修改為“Allow only SSL/TLS sessions”，這時(shí)，默認(rèn)的FTP port number就由21變成了990，為了方面，我們可以再修改回去。（3）客戶端連接：如果啟用了SSL加密，就不能使用一些不支持SSL的FTP客戶端軟件，比如IE瀏覽器和系統(tǒng)自帶的ftp .exe。這里選擇FlashF

10、XP。在快速連接選常規(guī) 選項(xiàng)里填寫(xiě)FTP服務(wù)器的地址、端口（990）、用戶信息。然后切換到SSL選項(xiàng)卡，默認(rèn)是標(biāo)準(zhǔn)（無(wú)SSL），修改為隱式SSL，然后在數(shù)據(jù)連接選項(xiàng)里勾選自己需要的選項(xiàng)，然后點(diǎn)連接即可。連接后，就會(huì)彈出一個(gè)證書(shū)信息對(duì)話框，選擇“接受并保存”即可，這樣下次連接就不再?gòu)棾?；如果選擇“接受一次”的話，下次連接還會(huì)繼續(xù)彈出窗口。連接成功后，就可以在FlashFXP有下方的狀態(tài)欄里看到信息，而且有一個(gè)小鎖的標(biāo)志，這就代表傳輸是加密的。如下圖所示：3.2 在防火墻后部署FTP服務(wù)器（1）FTP傳輸模式介紹：FTP傳輸模式分為主動(dòng)模式（port）和被動(dòng)模式（pasv）。一般情況下，傳輸過(guò)程中

11、使用那種模式是由客戶端決定的，因?yàn)镕TP服務(wù)器都是支持的。這兩種傳輸模式都是針對(duì)FTP服務(wù)器而言的。由于FTP工作時(shí)候需要兩個(gè)端口，一個(gè)是命令端口（就是我們平時(shí)所說(shuō)的TCP 21），另外一個(gè)是數(shù)據(jù)端口（默認(rèn)是TCP 20）。客戶端先和FTP服務(wù)器的21端口建立連接，當(dāng)傳輸數(shù)據(jù)時(shí)才使用20端口。主動(dòng)模式是FTP服務(wù)器用自身的TCP 20端口去連接客戶端；被動(dòng)模式則是FTP服務(wù)器被客戶端連接。（2）主動(dòng)模式下防火墻設(shè)置只需要打開(kāi)防火墻的TCP 20和21兩個(gè)端口即可。系統(tǒng)自帶的ftp. exe 就是使用主動(dòng)模式進(jìn)行連接的。如果使用FlashFXP，則需要去掉默認(rèn)的“使用被動(dòng)模式”勾選。（3）被動(dòng)模

12、式下防火墻設(shè)置首先要先在Serv-U上進(jìn)行被動(dòng)模式傳輸端口的設(shè)置。Local ServerSettings的Advanced選項(xiàng)卡下的PASV port range（被動(dòng)模式端口范圍）里填寫(xiě)，一般選擇比較大一點(diǎn)的端口，端口的個(gè)數(shù)根據(jù)自己需要，520個(gè)均可。其次在防火墻上面打開(kāi)命令端口和剛才上面填寫(xiě)的數(shù)據(jù)端口（本例中為51515155）即可。使用FlashFXP時(shí)候需要勾選“使用被動(dòng)模式”（默認(rèn)是勾選的）。3.3 其他安全設(shè)置（1）修改Serv-U默認(rèn)管理賬號(hào)的本地連接密碼。（2）磁盤(pán)配額為了保證FTP服務(wù)器的正常穩(wěn)定運(yùn)行，對(duì)于開(kāi)放上傳權(quán)限的用戶有時(shí)候有必要開(kāi)啟磁盤(pán)配額。選中某個(gè)用戶后，點(diǎn)擊Qu

13、ota選項(xiàng)卡，勾選“Enable disk quota”，然后在Maximum欄里根據(jù)需要填寫(xiě)允許該用戶最大使用的磁盤(pán)空間即可。本例中設(shè)置為1024MB。（3）用戶權(quán)限設(shè)置 在FTP服務(wù)器上面對(duì)不同的用戶設(shè)置不同的權(quán)限，以保證服務(wù)器安全穩(wěn)定運(yùn)行。方法如下：選中某個(gè)具體用戶后，點(diǎn)擊“Dir Access”選項(xiàng)卡，設(shè)置此用戶在它的主目錄（即“Path”）是否對(duì)文件擁有“Read”（讀）、Write（寫(xiě)）、“Append” （寫(xiě)和添加）、“Delete”（刪除）、“Execute”（執(zhí)行）；是否對(duì)目錄擁有“List”（顯示文件和目錄的列表）、“Create”（建立新目錄）和“Remove”（修改目錄，包括刪除，移動(dòng)，更名）；及“Inherit”（以上權(quán)限是否包括它下面的目錄樹(shù)）等等。（4）IP訪問(wèn)策略Deny Access（拒絕訪問(wèn)）：選中此項(xiàng)則下面列出的IP地址被拒絕訪問(wèn)此FTP服務(wù)器。Allow Access（允許訪問(wèn)）：選中此項(xiàng)則只有下面列出的IP地址被允許訪問(wèn)此FTP服務(wù)器（5）日志審核策略選擇某個(gè)已經(jīng)建立好的具體Domain后，除了在Activity“Domain log”下看到部分日志外，還可以在Settings