E.对本地提升权限的终极防范
读者朋友们,前面说了Serv-U是以服务启动默认是以System权限运行的,所以才有被权限提升的可能。如果这个时候我们把Serv-U服务的启动用户改成一个USER组的用户,那么就再不会有所谓的权限提升了。这样做又出来了一个问题,FTP服务本身却无权限访问serv_U安装目录了,比较好的解决办法就是把这个低权限用户对Serv-U安装目录和提供FTP服务的目录或盘符设为完全控制的权限。在进行终极防范之前,首先把你欲创建的FTP账号建好并设置好相关的权限,然后我们把serv_U服务的权限降级,Let’s go….
1.打开计算机管理里面的用户与组,创建一个隶属于users的用户servuadmin,然后打开服务找到serv_u服务并进行如下的设置,输入刚才添加servuadmin的时候的密码再按下确定就是了,如图15:
图15
这样我们的FTP服务的权限就属于一个users权限了。就不会存在本地提升权限了,但是这样子修改以后你的FTP已经失去功能了,不用急,看下面。
2.下面得为serv_U安装目录和提供FTP服务的目录进行设置,选中完全控制就可以了。这里只抓一个安装目录的权限设置,提供FTP服务的目录设置也是一样,如图16:
图16
4. 溢出测试是否安全。经过上面的配置之后,我们可以对自己的FTP服务器进行本地溢出测试,就不抓图了,结论嘛肯定是不成功啦!当然,这样配置后就意味着以后我们管理FTP的时候少了一份危险的同时却多了一份麻烦,因为你会发现现在打开FTP管理工具却创建不了新的用户以及删除不了用户。所以以后想加FTP账号的话,改回Serv_U服务的system权限再加吧!
四. 小结与思考
借用某N人的话:入侵和防御就像矛和盾,盾上不能有任何薄弱之处,不然就会死的很难看。本文旨在为服务器管理员提供防御这个漏洞的办法,不足之处,请大家多多指教。
网友评论