Serv-U FTP Server应用技巧及安全防范
1、 引言
Serv-U是一款由Rob Beckers开发的获奖的FTP服务器软件,它设置简单、功能强大、性能稳定,是一款非常优秀的FTP服务器软件。Serv-U不仅100%遵从通用FTP标准,也包括众多的独特功能可为每个用户提供文件共享完美解决方案。用户通过它建立个人或者企业FTP服务器,能在Internet上共享和传输文件。
它并不是简单地提供文件的下载,还为用户的系统安全提供了相当全面的保护。例如:您可以为您的FTP设置密码、设置各种用户级的访问许可、可以设定多个FTP服务器、限的定登录用户的权限、登录主目录及空间大小等等,功能非常完备。
2、Serv-U使用方法及应用技巧
2.1 Serv-U的安装
Serv-U的安装很简单,和其他windows程序一样,执行setup.exe,即可开始安装;全部选默认选项即可。安装完成后不需要重新启动,在“开始→程序→Serv-U FTP Server”中就能看到相关文件,桌面上也会产生快捷方式图标。
2.2 建立一个FTP服务器
打开Serv-U主界面,点右键选择Domains选项的New Domain,然后选择填写IP地址、Domain名称、端口等信息。完成后如下图:
2.3 建立FTP用户
点右键选择Users选项的New User,填写用户名、密码、用户目录,然后确定即可。如下图所示,我们建立了一个admin的FTP用户,对该用户的目录拥有除了execute外的所有权限。
选“Dir Access”(目录存取权限),即可设置此用户在它的主目录(即“Path”)是否对文件拥有“Read”(读)、Write(写)、“Append” (写和添加)、“Delete”(删除)、“Execute”(执行);是否对目录拥有“List”(显示文件和目录的列表)、“Create”(建立新目录)和“Remove”(修改目录,包括删除,移动,更名);及“Inherit”(以上权限是否包括它下面的目录树)等等。
这样,我们就建立好了一个简单的FTP 服务器并且设置了一个可以登录的用户。
2.4 FTP客户端登录
FTP客户端有好多种,这里我们只演示其中常用的2种。第一就是在命令提示符下登录
FTP服务器,如下图所示:
第二种就是用专用的FTP客户端软件,比如CuteFTP、FlashFXP、LeapFTP等。这里我们选择FlashFXP。在“站点管理器”中填写好信息,确定即可。然后就可以在“快速连接”里看到该站点,点一下就自动连接了。
2.5 在一台机器上建立多个FTP服务器
(1)如果该机器有多个IP地址,就可以建立多个不同的New Domain。
(2)如果该机器只有一个IP地址,那么只能通过设置不同的端口来建立多个FTP服务器。如果建立的第一个FTP服务器使用了默认的TCP 21端口后,那么另外一个就不能再用该端口了,必须重新手动设置一个。本例中设置为2121。
2.6 限制上传、下载速度和最大用户连接数
(1)可以在Local Server——Settings的General选项卡下设置一个全局的参数。
(2)可以在某个Domain下的Settings——General选项卡中设置登录该Domain的最大用户连接数。
(3)针对某个具体用户进行具体设置:可以设置最大上传、下载速度;设置该用户的最大连接数;设置线程数(同一IP的连接数)。
2.7 FTP用户管理
(1)在Account选项卡下可以对某个具体用户进行禁用(Disable account),或者设置到哪一天后对该用户进行禁用或删除。
(2)修改用户密码
(3)锁定用户在自己的目录内(Lock user in home directory)
2.8 FTP虚拟目录设置
假设你在E盘下有一个ftproot目录,在F盘下也有一个ftproot目录,现在想用一个FTP帐号访问同时访问这两个目录,如何做呢?这时我们就可以使用Serv-U中的“虚拟路径映射”功能来解决这个问题。
(1)选择一个Domain,在Settings下的Virtual Paths选项卡里点击Add进行虚拟目录添加设置。下面是出现的三个需要填写的对话框:
Physical pach :填写要映射的目录的物理路径,这里为D:\ftproot
Map physical path to :选择物理路径映射到的目录,推荐用“%HOME%”,这样就直接定位到登录帐号的用户目录
mapped path name :虚拟目录的名称。这个根据自己喜好随便!设置完毕后如下图所示:
(2)在某个具体Domain里选择一个用户,然后在Dir Access选项卡里单击Add,添加要映射目录的物理路径地址,这里是D:\ftproot,然后确定即可。这样用admin帐号登录后就可以看到除了自己的用户主目录外的另外一个映射过来的目录simplelove。
2.9 远程管理Serv-U
(1)在FTP服务器的Serv-U管理窗口中,选择某个账户,然后点击Account 选项,在Privilege的列表中,选择“System Administrator”,给予该帐户管理身份。确定即可。
(2)在远程计算机上安装Serv-U并运行,然后右击Serv-U Servers,选择New Server。
输入远程FTP服务器的IP地址、端口号、远程FTP服务器的名称
输入管理帐户的密码,点击“Finish”结束;
完成设置后,我们可以看出和本地管理相似的界面。
3、Serv-U安全防范
3.1 使用SSL进行加密
(1)由于FTP默认是不加密的,所有信息都是明文传输,非常的不安全。在某些特殊场合,就必须进行加密。Serv-U提供了SSL加密功能,但默认是没有启用的,我们需要手动打开。
Local Server——Settings——SSL Certificate选项,修改系统的默认信息,因为这些信息在所 有的Serv-U软件里都一样的,我们要修改成自己的。如下图所示:
(2)在Domains选项下的某个具体Domain中,在Security选项的下拉菜单中把默认的“Regular FTP only,no SSL/TLS sessions”修改为“Allow only SSL/TLS sessions”,这时,默认的FTP port number就由21变成了990,为了方面,我们可以再修改回去。
(3)客户端连接:如果启用了SSL加密,就不能使用一些不支持SSL的FTP客户端软件,比如IE浏览器和系统自带的ftp .exe。这里选择FlashFXP。
在快速连接选——常规 选项里填写FTP服务器的地址、端口(990)、用户信息。
然后切换到SSL选项卡,默认是标准(无SSL),修改为隐式SSL,然后在数据连接
选项里勾选自己需要的选项,然后点连接即可。
连接后,就会弹出一个证书信息对话框,选择“接受并保存”即可,这样下次连接就不再弹出;如果选择“接受一次”的话,下次连接还会继续弹出窗口。
连接成功后,就可以在FlashFXP有下方的状态栏里看到信息,而且有一个小锁的标志,这就代表传输是加密的。如下图所示:
3.2 在防火墙后部署FTP服务器
(1)FTP传输模式介绍:FTP传输模式分为主动模式(port)和被动模式(pasv)。一般情况下,传输过程中使用那种模式是由客户端决定的,因为FTP服务器都是支持的。
这两种传输模式都是针对FTP服务器而言的。由于FTP工作时候需要两个端口,一个是命令端口(就是我们平时所说的TCP 21),另外一个是数据端口(默认是TCP 20)。客户端先和FTP服务器的21端口建立连接,当传输数据时才使用20端口。
主动模式是FTP服务器用自身的TCP 20端口去连接客户端;被动模式则是FTP服务器被客户端连接。
(2)主动模式下防火墙设置
只需要打开防火墙的TCP 20和21两个端口即可。系统自带的ftp. exe 就是使用主动模式进行连接的。如果使用FlashFXP,则需要去掉默认的“使用被动模式”勾选。
(3)被动模式下防火墙设置
首先要先在Serv-U上进行被动模式传输端口的设置。Local Server——Settings的Advanced选项卡下的PASV port range(被动模式端口范围)里填写,一般选择比较大一点的端口,端口的个数根据自己需要,5—20个均可。
其次在防火墙上面打开命令端口和刚才上面填写的数据端口(本例中为5151—5155)即可。使用FlashFXP时候需要勾选“使用被动模式”(默认是勾选的)。
3.3 其他安全设置
(1)修改Serv-U默认管理账号的本地连接密码。
(2)磁盘配额
为了保证FTP服务器的正常稳定运行,对于开放上传权限的用户有时候有必要开启磁
盘配额。选中某个用户后,点击Quota选项卡,勾选“Enable disk quota”,然后在Maximum
栏里根据需要填写允许该用户最大使用的磁盘空间即可。本例中设置为1024MB。
(3)用户权限设置
在FTP服务器上面对不同的用户设置不同的权限,以保证服务器安全稳定运行。方法如下:选中某个具体用户后,点击“Dir Access”选项卡,设置此用户在它的主目录(即“Path”)是否对文件拥有“Read”(读)、Write(写)、“Append” (写和添加)、“Delete”(删除)、“Execute”(执行);是否对目录拥有“List”(显示文件和目录的列表)、“Create”(建立新目录)和“Remove”(修改目录,包括删除,移动,更名);及“Inherit”(以上权限是否包括它下面的目录树)等等。
(4)IP访问策略
Deny Access(拒绝访问):选中此项则下面列出的IP地址被拒绝访问此FTP服务器。
Allow Access(允许访问):选中此项则只有下面列出的IP地址被允许访问此FTP服务器
(5)日志审核策略
选择某个已经建立好的具体Domain后,除了在Activity——“Domain log”下看到部分日志外,还可以在Settings——Messages选显卡下设置登录信息记录到文件。
(6)取消FTP服务器的FXP传输功能
在Local Server——Settings——General选项卡下勾选“block "ftp_bounce" attacks and FXP”即可。
4、小结
本文简单讲述了使用Serv-U做FTP服务器的使用方法、应用技巧以及安全设置。由于本人水平和时间有限,文章中难免出现错误,请各位朋友批评指正。如果有好的意见或者建议请到论坛(bbs.51cto.com)里来和我进行交流。