新手向导
FTP协议规定了计算机之间的标准通讯方式,使所有不同类型,不同操作系统,不同格式的电脑之间得以互换文件。现在的电脑配置作一个FTP服务器足够了,只需一个FTP服务器软件(建议用Serv-U),如果是动态IP的话还需要申请一个动态域名,这需要到动态域名提供商处(建议用花生壳http://www.oray.net)申请。
这里说一个大家都关心的问题,就是FTP的传输速度。(这里插个嘴:带宽有上行和下行之分,上行指从本地到目的地,下行指从目的地到本地。)现在常用上网方式一般有那么几种:校园网、宽带(比如网通)、ADSL、ISDN等等。本身就太慢的自然不用说;而校园网由于大学财大势粗,所以无论上行下行带宽均很多,是架设FTP的好平台,当然他有用户多及网关限制等不利因素;宽带也是很好的选择,他上行下行都不错,架设FTP绰绰有余;ADSL就差一些,因为他是不对称传输,上行远不及下行,所以当别人从本地下载时会由于ADSL上行带宽不足而导致速度慢,这是他的一大缺点。
至于下载上传的用户,可以直接使用IE,不过IE每次登陆FTP站点都会打开两个线程,这占用了不必要的资源,而且IE不支持断点续传,所以大部分FTP是不允许IE登陆的。也可以使用FlashGet等下载工具,不过这些工具并不具备浏览功能,所以还是建议使用FTP客户端软件(这里推荐cutpro)。下面就分别对Serv-U、cutpro及一些具体问题进行详解。
另:以上提到的两个软件都有汉化注册版(适合英盲用户使用哦),在 http;//www.superdown.com有下载
建立一个FTP服务器
第一次安装,使用向导
第一节建立第一个可用的FTP服务器
1、安装Serv-U,若是动态IP还要申请了动态域名
2、打开Serv-U管理器。选上图的"Serv-U Administrator",即出现"Setup Wizard"(设置向导)。此向导可以帮你轻松地完成基本设置,因此建议使用它。 直接选"Next"(下一步)。
3、请随着安装向导按以下步骤来进行操作:
⑴IP address(IP地址):输入你自己的英特网IP"。(如果不清楚自己的IP或使用动态的、无合法的IP地址则此项为空。)
⑵Domain name(域名):输入申请的动态域名,如果没有就随便填一个吧。
⑶Install as system server(安装成一个系统服务器吗):选"Yes"后系统会将FTP服务作为一个系统服务加载,也就是以后开机会自动运行FTP服务器。
⑷Allow anonymous access(接受匿名登录吗):此处可根据自己需要选择;比如选"Yes"。
⑸anonymous home directory(匿名主目录):此处可输入(或选择)一个供匿名用户登录的主目录。
⑹Lock anonymous users in to their home directory(将用户锁定在刚才选定 的主目录中吗):即是否将上步的主目录设为用户的根目录;一般选"Yes"。
⑺Create named account(建立其他帐号吗):此处询问是否建立普通登录用户帐 号;一般选"Yes"。
⑻Account login name(用户登录名):普通用户帐号名,比如输入"nanshan" 。
⑼Password(密码):设定用户密码。由于此处是用明文(而不是*)显示所输入 的密码,因此只输一次。
⑽Home directory(主目录):输入(或选择)此用户的主目录。
⑾Lock anonymous users in to their home directory(将用户锁定在主目录中 吗):选"Yes"。
⑿Account admin privilege(帐号管理特权):一般使用它的默认值"No privilege"(普通帐号)。
⒀最后选"Finish"(结束)即完成设置
4、基本权限。比如在左边的面板中选中"nanshan"用户,则在右边的面板中出现设置窗口。选"Dir Access"(目录存取权限),即可设置此用户在它的主目录(即"Path")是否对文件拥有"Read"(读)、Write(写)、"Append "(写和添加)、"Delete"(删除)、"Execute"(执行);是否对目录拥有 "List"(显示文件和目录的列表)、"Create"(建立新目录)和"Remove"(修改目录,包括删除,移动,更名);及"Inherit"(以上权限是否包括它下面的目录树)等等。
不用向导?从这里看也行,一步一步来吧
基本上说,建一个FTP服务器主要是以下几步:新建域、填写域名(IP)、设置用户数量(速度)、添加虚拟目录、添加用户、设置用户帐户密码及其他、设置用户可访问目录权限等。具体怎么办,继续看下边的……
第二节 Serv-U 管理器
一、"Local Server"(本地服务器)属性
1、Local Server(本地服务器):此处可设置是否自动开启FTP服务以及手动开启 或停止FTP服务等。
2、License(许可证):共享版此项无内容。 注册时输入注册号的地方
3、Settings(设置):
⑴General/Max. speed:可设置最大传输速率(kb/s)。
⑵General/Max. no. of users:可设置连接到本服务器的最多用户数。
⑶General的其他项目均与保持服务器的安全性有关。
4、Activity(活动状态):
⑴Users(用户):显示当前登录的用户IP地址等资料及当前工作状态;建议选中"Auto reload"(自动刷新)。如果选中某个用户,单击右键,再选"KillUser",即可将它从服务器中踢出去。
⑵Blocked IPs(被挡住的IP):此处用来暂时禁止某些IP访问本系统。单击工具栏的"+"即可增加即可增加被暂时禁止的IP地址及禁止登录的总时间(从增加之后开始计算)。列表中可以看见被禁止的IP地址及其对应的计算机的完整的域名和离解禁尚有多少时间(以秒为单位)等等。在列表中单击右键即可以选择删除已禁止的IP地址。
⑶Session Log(系统日志):记录所有登录(或试图登录)到本机的操作痕迹及错误信息等。
二、"Domains"(域名)属性
1、ftp.bbc.com(即选中的FTP服务器名):此处可修改相应域名、IP地址及端口号等。
2、Settings(设置):及完全允许或禁止登录的IP地址等。
⑴General/Max no. of Users(最大用户数):此处可以设置允许同时登录到本FTP服务器的最大用户数。
⑵IP Access/Deny access(拒绝):此处可设置仅仅拒绝登录到本FTP服务器的计算机的IP地址列表。
⑶IP Access/Allow access(允许):此处可设置仅仅允许登录到本FTP服务器的计算机的IP地址列表。
⑷IP Access/Rule(规则):此处可输入指定的IP地址或IP地址的范围。接受如"192.168.0.88"之类的单个IP地址;接受如"192.168.0.4-192.168.0.11"之类的IP地址范围;接受如"192.168.0.*"之类的通配符;接受如"192.168.0.1?"之类的单个字符的限制等多种格式。"Add"为添加,"Remove"为删除。
⑸Message(信息):此处可改变一些提示性显示信息,如"Signon messagefile"(开始广播)、"Server offline"(服务器未工作)、"No anonymosaccess"(不接受匿名登录)等等。
3、Activity(活动状态):
⑴Users(用户):显示登录到本服务器的用户及其状态;建议选中"Autoreload"(自动刷新)。
⑵Domain Log(系统日志):记录所有登录(或试图登录)到本服务器的操作痕迹
及错误信息等。
4、Groups(组):
⑴利用Groups(组)可以预先建立好一个或多个确定了属性(读写等)和控制权限(授予或禁止某些IP地址访问)的目录,以后当我们建立新的用户,需要用到这些目录时,就直接添加进去就行了,不用再进行重复设置。在这种情况下,组的建立可以大大减轻设置工作量。
⑵建立一个新组:选"Group→右键→New Group",然后在"Group name"中输入组的名字再按"finish"(结束)即可设置"Dir Access"(目录存取权限):在此处选"Add"(增加)增加目标目录(可多个),然后再为它们逐个设置存取权限。本项具体设置请参见本教程后文相关内容。
⑷和"IP Access"(IP控制):此项的具体设置请参见本文前列相关内容。
⑸组的复制:可以像复制文件一样复制所建立的组。选中组名,单击右键,再选"Copy Group"即可复制此组,选几次就复制几个。真是好功能!^-^
⑹使用"Group"(组):在"Users"下选中要使用组的用户名,再点击右边面板中"Group(s)"后的图标,选择所需要的组名(可用Ctrl键或Shift键来同时选中多个组);多个组名中会自动以逗号进行分隔。进入"Dir Access",再按工具栏的刷新图标(书图标左边的那个),即可看到最后的效果。
第三节 Serv-U用户属性之"Account"(帐号)
各项说明和应用实例
1、Disable account(禁用帐号):如果选中它,则此帐号将无法使用。
2、User name(用户名):此处显示并可改变该用户的登录名;修改后,左边面板的用户名也会自动作相应的变更。
3、Group(s)(组):如果有建立组,则此处可通过选择组来更多的目录。这些组中目录的属性由建立组时确定,用户在"Dir Access"中不能修改!如果组用户的主目录不在根目录(见下面第5项说明)所包含的目录树之内,则此组用户无法进入。
4、Password(密码):此项为"<>"(加密)说明有密码,为保密,因此内容不予显示。如果为空白,则不需密码;如有输入任何密码均显示"<>"。
5、Home directory(主目录):此处原则上为用户登录后的主目录;实际用户登录的根目录将由"General"属性中的"Lock user in home directory"来决定。
⑴比如此处路径为"d:\myweb","General"中相应项为选中,则主目录和根目录均为"d:\myweb"。
⑵再比如此处路径为"d:\myweb","General"中相应项为不选中,则主目录为"d:\myweb",而根目录则为"d:\"。
⑶注意:此处可据情修改,但不能超出"Dir Access"中"Path"所在盘的范围,否则登录后你将什么也看不见!
6、Notes(备注):此项用来标注一些说明性的文字。各项说明和应用实例
1、Lock user in home directory(将用户锁定在主目录):如果选中则只允许用户访问"主目录"以下的文件和目录(主目录即为根目录);如果不选中,则用户 可一直访问到主目录所在盘的实际根目录(比如"d:\")下——当然,可能并没有读其下其他文件目录或写等权限,但是仍建议一般选中此项。
2、Hide 'hidden' files(隐藏"隐含"文件):在列表时不显示属性为"隐含"的文件。
3、Always allow login(总是接受登录):本帐户永远有效。
4、Allow only N login(s) from same IP address(只接受同一个IP地址的N个用户登录):对于限制外部局域网接入的机器数量非常有用!
5、Allow user to change password(接受用户改变密码):有些FTP客户端有允许用户改变自己FTP密码的功能,此处就是为它们准备的。
6、Max. upload speed(最大上载速率):可以限制客户端上传文件的最大速率(以kb/s为单位)。
7、Max. download speed(最大下载速率):下传文件的最大速率(以kb/s为单位)。
8、Idle time-ou(空闲溢出时间):超过某分钟不工作(读写等操作)就丢弃已产生的连接。
9、Max. no. of users(最大用户数):允许同时连接到本服务器的最多的用户数目。
10、Logging message file(登录信息文件):在这里可以输入(或选择)一个事先建立好的文本文件(一般)的完整路径和文件名,登录成功之后就会出现相关提示信息
第五节 Serv-U用户属性之"Dir Access"(目录存取属性)
各项说明和应用实例
1、Path(路径):目录所在的实际路径;Access(属性):存取属性;Group(组):所属组。
2、Files/Read(读):对文件进行"读"操作(复制、下载;不含查看)的权力。
3、Files/Write(写):对文件进行"写"操作(上传)的权力。
4、Files/Append(附加):对文件进行"写"操作和"附加"操作的权力。
5、Files/Delete(删除):对文件进行删除(上传、更名、删除、移动)操作的权力。
6、Files/Execute(执行):直接运行可执行文件的权力。
7、Directories/List(列表):对文件和目录的查看权力。
8、Directories/Create(建立):建立目录的权力。
9、Directories/Remove(移动):对目录进行移动、删除和更名的权力。
10、Inherit(继承):如选中则以上所选属性对所选"Path"中指定目录以下整个目录树起作用;否则就只对当前目录起作用。
11、对于有多个"Path"的情况,有时顺序是至关重要的。比如主目录为"d:\myweb",其下有一个路径为"d:\myweb\win98"的目录,现在想让当前用户对"d:\myweb\win98"只能有查看权力,而对主目录下其他目录则有完全控制的权力。
需要:
⑴"Add"一个"Path",选择"d:\myweb",权限为所有都选中(特别要包括"Inherit");再"Add"另一个"Path",选择"d:\myweb\win98",权限为只选"List"(列表)。
⑵如果主目录在前,另一个目录在后,则你登录进去后就会发现,你对"win98"目录一样有完全控制权!
⑶但是如果你把主目录放在后,另一个目录在前,则结果正是你所需要的。
因此,可以总结出,此处设置的基本规律是,有特殊属性的放在前面,共用属性的放在后面
第六节 Serv-U用户属性之完结
一、"IP Access"(IP访问)选项。
1、Deny Access(拒绝访问):选中此项则下面列出的IP地址被拒绝访问此FTP服务器。
2、Allow Access(允许访问):选中此项则只有下面列出的IP地址被允许访问此FTP服务器。
3、Rule(规则):在此处输入IP地址,再按向下的手图标则被加进列表;向上的手是删除选中的IP地址。
二、"UL/DL Ratios"(上传/下载比例)选项。
三、"Quota"(配额)选项。
1、Enable disk quota(允许磁盘配额):如选中此项则可设定上传空间的大小。
2、Current(当前):这里显示的是已用空间;可通过按"Calculate current"按钮来得到此值。
3、Maximum(最大):这里可设定最大的上传空间其他操作
1、增加新的FTP服务器:选左边面板中的"Domains→右键→New Domain",再提示操作即可。需要注意的是,如果它与现有的FTP服务器使用同一个IP地址,则必须选不同的端口号!
2、删除FTP服务器:选中左边面板中的相应服务器名,再选"右键→Delete"即可。
3、建立新用户:选中左边面板中的相应服务器名,再选"右键→New User"即可。
4、删除用户:选中左边面板中的相应用户名,再选"右键→Delete User"即可。
5、复制用户:选中左边面板中的相应用户名(也可在其右边面板的任意处),再选"右键→Copy User"即可。此项也非常有用
第七节 虚拟目录的使用
利用虚拟目录可以将你其他分区、其他盘、甚至局域网上的目录'虚拟'到你的FTP主目录下使用,在用户看来他们就象是你的FTP主目录下的一个子目录一样,非常有用。
1.在Domains(域)-abc.vicp.net(域名)-Settings(设置)-General(常规)中添加要虚拟的目录。具体过程是:需要虚拟的目录实际路径-要映射到的目录实际路径-显示的目录名。
2.在Domains(域)-abc.vicp.net(域名)-Users(用户)-nanshan(用户名)-Dir Access(目录存取)中添加当前用户可以操作的目录,这里只需添加目录的实际路径就可以啦,另外再对每个目录设置权限。
小诀窍:当一切设置好后你一定想马上试试吧,其实不用上网也可以的。方法是:开启设置好的FTP服务器,然后打开一个FTP客户端软件(如curpto),在地址栏里输入127.0.0.1,输入用户名、密码,连接,^_^看到自己的FTP了吧。
FTP客户端软件cutpro的使用
1.安装、汉化、注册。
2.运行。分别在'主机'、'用户名'、'密码'中输入所要连接的FTP地址、用户名、密码(如果是匿名登陆的话就不要填这两项),回车或点击连接图标就行了。
3.有时会发生连接错误,这可能跟cutpro的设置有关。在'全局设置'(编辑菜单-全局设置)中,'连接'选项里有一个'每个站点连接的最大数量'选项,cutpro的默认设置是2,由于很多站点只允许相同IP一个线程,所以这里要改为1。另外就是下面的'连接重试尝试'、'在重试之间延迟'选项,因为有的站点对一定时间内相同IP连接次数有限制,所以这里不要改得太少,一般尝试3次、延迟40秒。
4.其他的设置就不是那么重要了。保持默认就行,你可以更改一下日志的字体大小、是否显示服务器欢迎信息等,具体自己看着办吧
关于FTP服务器的欢迎消息
可以在Message File中设置:
%Time - 目前的时间
%Date - 目前的日期
%UNow - 目前的联机人数
%UAll - 从激活到目前为止的联机人次
%U24h - 在过去 24 小时内的联机人次
%MaxUsers - 总连接人数上限
%MaxAnonymous - 匿名帐号人数上限 (Anonymous FTP)
%Name - 帐号名称
%IP - 对方主机名称/地址 (Hostname/IP)
%DIR - 目前的目录
%Disk - 目前的磁盘驱动器名 ( C: D: E: .....)
%DFree - 磁盘剩余空间
%Fup - 上传文件个数
%Fdown - 下传文件个数
%Ftot - 总传档数
%Bup - 上传位数
%Bdown - 下传位数
%Btot - 总传输位数
%Tconm - 联机时间数 (以分为单位)
%Tcons - 联机时间数 (以秒为单位, 与 %tconm 配合使用)
%ServerDays - 当前服务器已运行的时间数(天)
%ServerHours - 当前服务器已运行的时间数(小时)
%ServerMins - 当前服务器已运行的时间数(分)
%ServerSecs - 当前服务器已运行的时间数(秒)
%ServerKbUp - 当前服务器运行以来已上传的字节数(Kb)
%ServerKbDown - 当前服务器运行以来已下载的字节数(Kb)
%ServerFilesUp - 当前服务器运行以来已上传的文件个数
%ServerFilesDown - 当前服务器运行以来已下载的文件个数
%UAnonAll - 目前联机的所有匿名用户个数
%UAnonThisIP - 目前联机的所有该IP用户个数
%UNonAnonAll - 目前联机的所有非匿名用户个数
%UNonAnonThisIP - 目前联机的所有非该IP用户个数
%UThisName - 所有使用该名字联机的用户个数
例如:
◎ 来自 %IP 的会员您好。
◎ 浮云阁开通以来已接通 %UAll 位使用者。
◎ 过去 24 小时总共有 %U24h 次连接。
◎ 目前有 %UNow 位使用者在线,最多容许 %MaxAnonymous 位使用者同时在线。
效果是...
220-Serv-U FTP-Server v2.5i for WinSock ready...
220-◎ 来自 xxx.xxx.xxx.xxx的的会员您好。
220-◎ 浮云阁开通以来已接通 %UAll 位使用者。
220-◎ 过去 24 小时总共有 xxx次连接。
220-◎ 目前有 xxx位使用者在线,最多容许 xxx位使用者同时在线。
********************
********************
关于防火墙的设置
下面说说防火墙的设置,防火墙等程序设置不好会影响FTP的运行,不要的话又失去保护,我可是吃过大亏的。因为我用的是天网防火墙,这里主要以天网为例(http://www.soft163.com/download/list.asp?id=32有下载)
1.安装,第一次运行出现向导。这里要看各位的上网方式:如果是自己一个人上网就选择中等安全级别;如果是局域网上网,那么不但要填写好正确的局域网IP地址,还必须选择低等安全级别,除非你不想同局域网里的其他用户保持联系。
2.自定义IP规则(左边第二个图标)。把'IP规则'选项打上勾,如果你是局域网用户还要保证'允许局域网内的机器进行连接和传输。'、'允许局域网的机器使用我的共享资源'、'允许局域网内的机器取你的机器的名称'三个选项打上勾,当然若不想与局域网其他用户保持联系就不用选择。以上几个选项的内容都不必更改。
3.为保证安全性,最好关闭除指定程序及FTP需要的20、21以外的端口。方法是首先保证'允许已经授权程序打开的端口'、'禁止所有人连接低端端口'、'禁止所有人连接'三个选项选中。然后在'禁止所有人连接低端端口'前添加新规则'允许本机打开FTP数据传输服务'。他的内容是:'数据包方向'选接收,'对方IP地址'选任何IP地址,TCP标签的'本地端口'填写从20到21,'对方端口'填写从0到0,'满足上面条件时'选择通行,这样就行了。
4.应用程序规则(左边第一个图标)。一般这个不用理,等到他出现是否允许该程序访问网络的提示时再选择'是'就行了。当然如果你想一次性弄好而又出现麻烦是有个方法。首先进入'系统设置'(左边第三个图标),将应用程序权限的'允许所有应用程序访问网络,并在规则中记录这些程序'选项打上勾。然后放心使用把,等需要的程序运行一段时间后再打开天网'应用程序规则'看看,你用过的程序已经在里面了,现在你只需把'系统设置'里的'允许所有应用程序访问网络,并在规则中记录这些程序'选项前的勾去掉,恢复天网的保护就行了。
以上均以天网为准,其实其他如金山毒霸也大同小异。大家多看帮助,一定可以设置好的。
万一你被黑了,丢失了很多东西!
千万别着急,最好先断开网络吧,之后的安全工作我就不多说了。主要说的一点是千万保证损失盘无任何改动,比如复制粘贴、新建、删除、磁盘整理之类。之后,用数据恢复工具抢救吧。
我建议一个工具filerescue,中文的,简单易用。好像海阔天空下载站有吧,同样我的FTP也有。将filerescue.zip解压缩后有个reg文件,双击他把其中的注册信息添加到注册表中,这样才没有共享限制。
好啦,filerescue.zip压缩包里的主要文件是undelete.exe,执行吧:
1.出现让你选择搜索那个盘的提示,选择吧,其中的排除以下扩展名选项是让你选择输入只搜索那一部分扩展名的文件。确定
2.软件将自动搜索到说有丢失的文件,由于大部分文件都找不到或找不全文件名,所以大部分文件的文件名都有些奇怪符号,这没关系,恢复后自己把名字改过来就行了。
3.你只需选择需要恢复的文件点击恢复就行了,其中要选择恢复到什么地方。建议恢复到其他磁盘,这样容易保证不出错。
这里我只想补充一点,filerescue找到的文件很多,他包括了所有你在这个盘有过的文件,所以其中有大部分更本不能恢复(有个×标记),或是很多重复的。这里建议按文件大小排序(点击文件大小标签),这样你再仔细看最右边的数据,他显示的是所找到文件开始的扇区位置,相同的那表示这两个文件一样,你只需选择恢复其中一个就可以啦。。。
关于动态IP要申请动态域名
因为别人必须知道你的IP地址才能够访问,可是当你的IP不断变化的时候,如果每更改一次就告诉别人更改IP地址那不是太麻烦了吗,所以要申请动态域名。之所以推荐花生壳(http://www.oray.net/)是因为它不仅免费还是中文的,不过它有个缺点——对局域网支持不够好。如果你是局域网用户,除非你是主机,否则还是建议你用D2g(http://dns2go.deerfield.com/),它也是免费,不过是英文的。可参考我发表的另一篇文章。
另外http://www.3322.org/也可以试试,是国内的。
申请无非是注个册,填一些表格,再安装一个动态域名软件。开放FTP的时候需要同时打开那个动态域名软件,而FTP服务器端的设置也很简单,如Serv-U的设置就是只需在动态域名处填写你申请的动态域名,而IP地址一项留空就行了,简单吧
示例问题1:
现在ftp一般都使用被动模式(Passive Mode)传输,其传输原理是由客户端申请一个端口(一般为五位数的端口),然后服务器由这个端口发送数据.此端口对服务器来说是不固定的,楼主的帖子里说只留下20,21端口,如此处理还能使用被动模式传输吗?盼解答
FTP协议的数据传输存在两种模式:主动模式和被动模式。这两种模式发起连接的方向截然相反,主动模式是从服务器端向客户端发起;被动模式是客户端向服务器端发起连接。但是如果服务器和客户之间存在防火墙,主动模式经常会引起一些麻烦。设想,客户位于防火墙之后,防火墙允许所有内部向外部的连接通过,但是对于外部向内部发起的连接却存在很多限制。在这种情况下,客户可以正常地和服务器建立控制连接,而如果使用主动模式,ls、put和get等数据传输命令就很难成功运行,因为防火墙会阻塞从服务器向客户发起的数据传输连接。简单包过滤防火墙把控制连接和数据传输连接完全分离开了,因此很难通过配置防火墙允许主动模式的FTP数据传输连接通过。如果防火墙允许ICMP或者TCP RST报文通过,客户程序就会马上返回connection refused错误信息;而如果防火墙只是做简单的丢弃处理,会造成客户程序挂起一段时间。被动模式一般可以解决此类问题,因为在被动模式下,连接是由客户端发起的。
现在为了安全大家都使用了防火墙,所以被动模式是必须的,当然各位如果确定不用也没问题自然可以关掉。另外,防火墙中的'允许已经授权程序打开的端口'这个设置是要打开的,因为被动模式中客户端发起连接后,由服务器端响应,对于服务器端来说是从里到外的发送数据,所以分配端口等操作都不会有什么影响,而客户端也只需被动的(也就是不由自主^_^)接收数据就行了。
Serv-U有一个重大漏洞!!!
首先我们使用匿名进入一个使用Seru-U的2.5i以前版本FTP站点:
ftp>pwd
257 "/c:/ftproot" is current directory.
ftp>cd ..
550 /c:/: Permission denied.
哦,没有权限进入上一级目录。
ftp> ls ..
200 PORT Command successful.
550 Permission denied.
也没有权限查看上一级目录。让我们换个方式:
ftp> ls ..%20./* (必须加上"/*")
看看发生什么了?上一级目录(C:\)的东西尽收眼底了!
ftp> cd ..%20.
ftp> pwd
257 "/c:/ftproot/.." is current directory.
当前目录变成了"c:\ftproot\..",这不就是根目录吗?
来看看刚才敲了两个什么命令:"ls ..%20./*"和"cd ..%20./"。原来如此:"..%20."在这里相当于"..";而且,在Serv-U分析这个目录的时候,把".."当作当前目录下的子目录,而不是直接进入上一级目录。所以C盘根目录,也就是"c:\ftproot\.."被当作"ftproot"里面的子目录来操作。如果在Serv-U的设置里面,"c:\ftproot"被当作用户的主目录,用户可以对它和其子目录进行读和写的操作,而本来用户被禁止操作的其他目录,就可以通过这种方式当作当前目录的子目录而继承其属性,用户也可以对它读和写了。假如当前在"\c:\ftproot\incoming\"目录,那么就可以用"..%20./ ..%20./windows"来表示"\c:\ftproot\test\..\..\windows",即"c:\windows"目录,如果"incoming"目录对用户完全开放,可以进行读、写、删除、列表、建目录,那么用户也就可以对"c:\windows"目录进行一些可怕的操作了。
那好,再让我们进入有写和删除权限的"incoming"目录看看:
我们在这里使用两个命令:"put 1.txt ..%20./..%20./windows/"和"put 1.txt ..%20./..%20./windows/2.txt"。我们可以发现,前者不能运行,但后者却可以,"dele"命令也成功了。
实验证明"%20..%20%20.."、"..%20%20.."、"%20..%20."都等效于".."。
如果Serv-U的管理员不清楚这个可怕的漏洞,将用户的主目录与系统放在同一个分区,那么黑客利用此漏洞便能抓取到系统的所有密码,如果用户的主目录与Serv-U的配置文件serv-u.ini在同一分区,那么黑客可以抓取serv-u.ini里的用户密码,如果某个用户拥有写和运行权限,那么黑客就可以放一个特洛依木马,并运行它,然后……
即使黑客拿不到serv-u.ini,也可以利用一个有写权限的目录,在这个分区的根目录里放上特洛依木马,再放一个运行木马的autorun.inf,当管理员打开"我的电脑"时,木马就可以自动运行了。
大家看了也不必太担心,首先它是Seru-U的2.5i以前版本才有的,另外你只需不把serv-u主目录放在C盘、serv-u所在盘,不允许'执行'权限,最好有'写'权限的目录也不要同主目录在一个盘,这样就没有多大的问题了。
事例2:
他的系统是xp,用的是serv-u,可是当他计算机锁定或switch user以后别人就无法连上他的机器了,
请问是什么原因啊。
锁定计算机是windows出于安全考虑的一种手段,计算机锁定期间除锁定本人和系统管理员外的用户都不能访问,而且需要提供密码才行,所以计算机锁定的时候别人是无法连接到被锁定计算机使用FTP服务的。至于switch user(切换用户)的时候别人是可以连接到FTP服务器的。你朋友出现的问题可能是由于某些软件的影响,比如防火墙。切换用户后,原提供FTP服务器的用户下的程序仍在运行,但新转到或者说当前用户下的程序(如防火墙)的设置和原提供FTP服务器的用户不一致时就会造成别人不能访问FTP服务器的问题,经常发生的是socket错误,你朋友可以试试关闭非FTP服务提供者的用户的防火墙或者其他对网络传输有影响的软件,一般都能解决。
至于FTP的格式,可以参考别人的啊。比如:[教育全天][最近更新02-5-23]×××的FTP
主要就是要表达出是教育网还是公众网,是全天开放还是固定时间,最新的一次更新是什么时候,以及是谁的FTP。因为空间改版以后帖子标题有字数限制,所以可以根据具体情况适当删减,只要表达出要求的意思就行。而且帖子里的内容最好有一定规范,同样可以参考别人的,要写清地址、用户密码、内容、开放时间等等。
事例3:
我们这里用局域网,好多人共用一个对外ip,如何使外部可以访问我的ftp呢?
简单的说是不用理会的,申请一个动态域名就可以了,动态域名是可以指出你的正确位置的。复杂的说需要用一个端口映射软件,把你的机子上的FTP端口映射到主机上。
你可以先试试简单的方法。
-完-
No comments:
Post a Comment