Serv-U 8教學攻略--(4)伺服器組態--伺服器限制和設定

伺服器限制和設定


Serv-U 8伺服器限制和設定
  Serv-U 提供了進階選項用來設定Serv-U的使用方式,進階選項區分為「限制」和「自訂設定」兩類,應用於整個 Serv-U 內的使用者、群組、網域和伺服器的方法。和繼承一樣,這裡的設定如果有衝突,Serv-U會以下層的設定為主,也就是使用者>群組>網域>伺服器。

  Serv-U 內的限制和設定分為5類:連接、密碼、目錄清單、資料傳輸和進階。透過這5個分類,也讓Serv-U更有彈性。

Serv-U 8伺服器限制和設定-5類   
  畫面上淡藍色背景的限制為預設值。白色背景的限制值覆蓋預設值。預設值無法修新,你必須使用新增的方式,新增後白色背景限制值會放在同一條限制預設值的前面。在新增限制時,還可以設定進階內容,例如,要在什麼時間區段內啟用此限制,或星期幾啟用此限制。這也就彈性所在,例如,我們某些限制只在白天流量大時做限制,而晚上則不限制;或是只在星期一到五限制,而六、日則不限制。

Serv-U 8伺服器限制和設定-自訂限制

連接


  • 自動建立根目錄
    指示 Serv-U 在建立新使用者帳號時,如果目錄不存在,是否自動建立指定的根目錄。預設「是」。
  • 阻止反逾時方案
    阻止使用 "NOOP" 之類的命令,該命令通常用於在傳輸冗長檔案或其他閒置時段保持 FTP 命令通道連接開放,此時在控制通道上沒有資訊傳輸。當阻止了這些命令時,Serv-U 在連接空閒(例如無資料傳輸)了指定的一段時間後中斷使用者端的連接。預設「否」,這看個人應用,一般FTP環境,建議使用「是」,但如果在使用如網頁開發工具FTP功能的環境,那我會使用「否」。
  • 逾時後連接自動空閒
    指定最後一次使用者端資料傳輸後,因空閒而中斷連線期間前,必須間隔的分鐘數。預設10分鐘。與「反逾時方案」相配合,如果反逾時方案設定為否且使用者有設定使用反逾時方案,那就不會產生逾時,也就不會中斷連線。一般FTP環境,建議修改2~5分鐘即可,以減少不必要的連線數佔用了購買的授權中最大同時連線數。
  • 伺服器上的最大連線期間數
    指定整個伺服器上所允許的最大同時連線使人數。一般是受購買授權的控制,不用修改。
  • 伺服器上每個 IP 位址的最大連線期間數
    指定單個 IP 位址在整個伺服器上可以打開的最大同時連線數。預設不限。
  • 使用者帳號的每個 IP 位址的最大連線期間數
    指定使用者從單個 IP 位址可以打開的最大同時連線數。預設不限。建議限制,一般環境4~5應該就可以了。
  • 每個使用者帳號的最大連線期間數
    指定單個使用者帳號可以打開的最大同時連線數。預設不限。建議限制,一般使用者環境,5~10就很足夠;匿名環境,這就要請各位自行觀察,一般來說,從32-->64-->128…慢慢調整是不錯方式,不要一次開太大。最大同時連線數還是受購買授權的限制。
  • 登入前需要安全連接
    要求被接受的連接必須是安全的(例如 FTPS、SFTP 或 HTTPS)。預設否。
  • 連線期間自動逾時
    指定連線期間被伺服器中斷前允許持續的分鐘數。預設永不逾時。

密碼


  • 檢查匿名密碼
    指定匿名登入時 Serv-U 是否該驗證作為密碼提供的電子郵件位址。預設否。
  • 以加密形式儲存密碼
    指定是否在 Serv-U 檔伺服器設定檔中加密密碼。如果禁用該限制,則密碼以明文保存,並可被能訪問 Serv-U 安裝目錄的任何人讀取。預設是。
  • 在記錄檔案中遮罩接收到的密碼
    遮罩也就是顯示*,從使用者端接收到的密碼,使其不顯示在記錄檔案中。禁用該選項允許在記錄檔檔中顯示密碼,這有助於測試連接問題或統計使用者帳號的安全性。預設是。
  • 最短密碼長度
    指定使用者帳號的密碼需要的最小字元數。指定0個字元表示無最小要求。預設無最小值。
  • 允許使用者變更密碼
    指定是否允許使用者變更其自身的密碼。預設否。
  • 密碼自動過期
    指定密碼在必須作出變更前的有效天數。指定0天表示密碼永不過期。預設永不過期。
  • 需要複雜密碼
    指定所有使用者帳號的密碼必須包含至少一個大寫字元和一個非字母字元才被認為有效。預設否。

目錄清單


  • 不列出標記為隱藏的檔
    Windows 系統屬性設定為 "隱藏",從目錄清單中隱藏檔案和資料夾。預設否,建議修改為「是」。
  • 鎖定使用者至根目錄
    鎖定使用者至其根目錄,並禁止使用者瀏覽上層檔案資料夾。此外,其根目錄顯示為 "/" 而遮罩了真正的物理位置。預設「是」。
  • 檔案名和目錄使用小寫
    強制 Serv-U 以小寫字元顯示所有檔案名和目錄,而不管檔或目錄使用的真正大小寫。預設否。
  • 允許未鎖定的使用者使用根符號("/")列出驅動器
    允許使用者將目錄變更為系統的根目錄("\")並顯示電腦上的所有驅動器(C:\;D:\;…)。只有當未鎖定使用者至根目錄時,該選項才有用。預設是。
  • 將 Windows 快捷方式轉譯為鏈結
    指示 Serv-U 將所有有效的 .lnk 檔案作為實際的目的物件處理。換句話說,如果某個 .lnk 檔案指向另一個檔案,則在目錄清單中顯示的是目的檔案而不是 .lnk 檔自身。預設是。

資料傳輸


  • 移除部分上傳的檔
    指示 Serv-U 移除未完整上傳的檔案。如果啟用該選項,使用者就不能使用 REST(繼傳)FTP 命令重啟中斷的上傳。預設否。
  • 伺服器的最大下載速度
    限制了伺服器範圍內所有下載可用的最大頻寬。設定0KB/秒表示無限制頻寬。預設不限制。
  • 伺服器的最大上傳速度
    限制了伺服器範圍內所有上傳可用的最大頻寬。設定0KB/秒表示無限制頻寬。預設不限制。
  • 每個連線期間的最大下載速度
    為每個單獨的連線期間限制最大下載頻寬。設定0KB/秒表示無限制頻寬。預設不限制。
  • 每個連線期間最大上傳速度
    為每個單獨的連線期間限制最大上傳頻寬。設定0KB/秒表示無限制頻寬。預設不限制。
  • 使用者帳號的最大下載速度
    限制與單個使用者帳號相關的所有連線期間間共用的最大下載頻寬。設定0KB/秒表示無限制頻寬。預設不限制。
  • 使用者帳號的最大上傳速度
    限制與單個使用者帳號相關的所有連線期間間共用的最大上傳帶寬。設定0KB/秒表示無限制頻寬。預設不限制。

進階


  • 上傳時自動檢查目錄大小
    指示 Serv-U不時檢查目錄大小,並指定了最大目錄容量大小。該屬性確保 Serv-U 總備有最新的目錄容量大小,而不用在傳輸時進行計算,在傳輸時進行計算是一項費時的作業。預設否。
  • 將命令中的 URL 字元轉換為 ASCII
    指示 Serv-U 將命令參數中包含的特殊字元轉換為純 ASCII 文字。某些 Web 瀏覽器在使用 FTP 通訊協定時,能對檔案名稱和目錄中包含的特殊字元進行編碼。該屬性允許 Serv-U 對這些特殊字元進行解碼。預設否。
  • 禁用 Nagle 演算法
    不用在發送下一個資料包前等待 ACK TCP 交談。該選項通常僅用於等待時間很長的連接,例如衛星連接。預設否。
  • 內嵌帶外(out-of-band)數據
    將帶外通訊端資料解析到正常 TCP 資料流程中,將其視為正常資料處理。該選項有助於阻遏拒絕服務攻擊,該攻擊發送大量帶外資料(ODB)到不能對其進行處理的通訊端堆疊。預設否。
  • 發送保持活動資料包以檢測中斷的連接
    定期發送保持活動資料封包以確定通訊端是否仍處於連接狀態。預設否。
  • 對快速檔上傳使用適應性逾時
    為了在檔案上傳中連貫地進行快速傳輸慢慢降低資料封包逾時時間。如果未成功完成傳輸,適應性逾時使得恢復上傳更為方便,因為 Serv-U 可以更快速的識別死亡的傳輸,然後得以更早的訪問檔案。預設是。
  • 所支持的SFTP最高版本
    預設6,請不要修改。

連接設定



Serv-U 8伺服器限制和設定-設定
  • 阻止使用者 'z' 分鐘,其在 'y' 秒內連接超過 'x' 次
    啟用該選項能防止強力密碼猜測系統使用字典式攻擊找到使用者帳號的有效密碼,這也稱為反攻擊。使用強健的複雜密碼能戰勝大多數字典式攻擊。然而,啟用該選項確保了 Serv-U 不會浪費時間處理這些非法所發起的連接。當組態該選項時,請確保合法使用者被阻止前有更正錯誤密碼的餘地。啟用時,該IP地址在 'y' 秒內登入失敗了 'x' 次,則暫時阻止 IP 位址 'z' 分鐘進行登入的動作。填入數字,該IP地址在 '30' 秒內登入失敗了 '4' 次,則暫時阻止 IP 位址 '5' 分鐘進行登入的動作。可以在相應的 IP 訪問規則選項中檢視用該方法阻止的 IP 位址。成功的登入會重設失敗的計數器。
  • 默認 Web 使用者端
    指定預設情況下所有 HTTP 使用者端是否應該使用 Web 使用者端還是 FTP Voyager JV(金版)。而第三個選項(預設選項)是提示使用者選擇想使用的使用者端。在群組等級和使用者等級也可以使用該選項。
  • 使用者端支援鏈結
    它可以在使用者端需要支援或協助時,在 Web 使用者端和 FTP Voyager JV 中插入直接的接洽方法。該功能的基本語法為協定:路徑。該選項相當靈活,允許使用任何網路鏈結方式,例如:「http://kkbruce.blogspot.com/」或「mailto:kingkong.bruce@abc.com?subject=請教Serv-U 檔案伺服器問題」,只要使用者端的電腦能理解的通訊協定都可以使用,例如你要放Skype的callto:也行。

進階設定

  • 目錄清單遮罩
    指定發送給 FTP 使用者端的文字字串,以規定檔案訪問許可權限。Windows 不像 Unix 那樣支持傳統的檔案訪問許可權限,因而使該選項在很大程度上流於形式,然而一些使用者端需要遮罩才能正確作業。
  • 最大同步縮略圖數量
    指定了專門用於為 HTTP 使用者端產生縮略圖和回應 FTP THUMB 命令的線程的最大數量。產生縮略圖是一項佔用 CPU 的作業。即使 Serv-U 能同時處理更多使用者端縮略圖請求,該數值增加得太高也會導致花費更長時間產成縮略圖。
  • 檔上傳訪問
    指定從使用者端接收上傳檔案時這些檔案的打開方式。預設的允許讀取訪問表示在檔案仍處於接收狀態時,其他使用者端就可以嘗試下載該檔。允許完全訪問表示在檔案傳輸時其他使用者端可以讀寫該檔案。在檔案仍處於傳輸狀態時要防止其他使用者端訪問該檔,請選擇不允許訪問
  • 檔下載訪問
    指定向使用者端發送下載檔案時這些檔案的打開方式。預設的允許讀取訪問表示其他使用者端也可以同時下載相同的檔案。允許完全訪問表示在將檔案發送給某個使用者端時其他使用者端可以讀寫該檔案。在檔案仍處於發送狀態時要防止任何其他使用者端訪問該檔,請選擇不允許訪問。

網路設定

  • 通過 UPnP 自動組態防火牆
    啟用時,Serv-U 在啟用 UPnP 的網路設備(通常為路由器)中自動組態必要的埠轉發,從而可以從網路外部訪問該檔案伺服器。這對於啟用 PASV 模式的 FTP 資料傳輸特別有用。
  • 封包逾時
    指定 TCP 資料封包傳輸的逾時時間,以秒為單位。只有等待時間很長、速度非常緩慢的網路才可能需要變更該選項的 300 秒預設值。
  • PASV 埠範圍
    指定了 Serv-U 用於 PASV 模式資料傳輸的埠包含範圍。Serv-U 通常在打開通訊端用於 PASV 模式資料傳輸時,允許作業系統為它指派一個隨機的埠號。該屬性通過將 Serv-U 的 PASV 埠範圍限定於一個已知的範圍,滿足了路由器或防火牆預先瞭解特定埠範圍的需求。對最繁忙的檔案伺服器來說 10 個埠足夠了。注意: 某些 NAT 路由器工作方式不同,可能需要更大的埠範圍。如果 Serv-U 和使用者端列出目錄或傳輸檔有問題,請嘗試在此處及路由器上增加埠範圍。

其他設定

  • 上傳/下載率不限的檔案
    由比率不限檔案按鈕所列出的檔案不受對檔案傳輸所作的傳輸比率限制的影響。在伺服器或網域等級指定的比率不限檔案由其所有使用者帳號繼承。
  • 變更管理密碼
    按二下 Serv-U 系統Icon圖示啟動 Serv-U 時,Serv-U 管理控制臺可以受密碼保護。當管理控制臺以該方式運行時,變更密碼的選項變為有效。預設情況下,沒有管理密碼。

FTP設定



Serv-U 8伺服器限制和設定-FTP命令
  我不推薦修改這裡的任何值,除非你與使用者非常熟悉FTP通訊協定和標準和擴充指令集。

全域屬性



Serv-U 8伺服器限制和設定-FTP命令屬性
  FTP 回應是大多數 FTP 命令間共用的回應,你能在伺服器、網域、群組、使用者找到FTP命令屬性,記得,繼承關係。例如未找到檔案時發送的錯誤消息。FTP 命令回應可以包含特殊巨集(系統變數),該巨集可以將即時資料插入回應。請參見系統變數章節內容以瞭解更多資訊。

  例如:我們在代碼220看到的回應文字是「Serv-U FTP Server v$ServerVersionShort Ready...」,其中$開頭的就是系統變數,使用者接收的文字會是「Serv-U FTP Server v8.0 Ready...」$ServerVersionShort 字面上很明顯代表版本。如果我們不希望使用者知道我們FTP Server軟體和版本,那我就會修改為「KingKong FTP Server Ready ...」,但這只對FTP使用端有效,如果使用者是使用HTTP方式連線,畫面上就會有Serv-U大大大的Logo,那修改這裡也是多餘。(金版可放企業Logo,但無法移除Serv-U Logo)

  另外請注意,在FTP回應文字消息檔案中,Serv-U無法處理「中文字」,也就是說,如果你想打中文訊息,那使用者端只會看到一堆亂碼,所以還是乖乖輸入英文訊息吧!

消息檔



  當伺服器和使用者端首次連接時,除了發送標準的 "220 歡迎消息" 以向使用者端標識伺服器身份之外,還發送伺服器歡迎消息。

  例如,你可以在電腦上建立一個Welcome.txt檔案,內容為:

  Welcome KingKong FTP Server, you can download all resource in this Server.
  ---------------------------------------------------------------------------
  FTP Server User statu:
  Your IP: $IP
  Your IP Name(DNS): $IPName
  Protocol: $Protocol
  Anonymous Users: $UAnonThisDomain
  ---------------------------------------------------------------------------

  當使用者或匿名者首次登入時,會發送消息檔內容,Serv-U會自動轉換"$"的系統變數,如果是HTTP方式會出現一彈跳視窗顯示內容。

  例如回應的文字:
  
  Welcome KingKong FTP Server, you can download all resource in this Server.
  ---------------------------------------------------------------------------
  FTP Server User statu:
  Your IP: 192.168.10.10
  Your IP Name(DNS): kkbruce.abc.com
  Protocol: FTP
  Anonymous Users: 10
  ---------------------------------------------------------------------------

進階選項


  • 阻止 "FTP_bounce" 攻擊和 FXP(伺服器間傳輸) - 選擇該核取方塊阻止了所有涉及該 Serv-U 檔伺服器的伺服器間檔傳輸,只允許將檔案傳輸到命令通道所用的 IP 位址。有關 "FTP_bounce" 攻擊的更多資訊,請搜尋CERT advisory CA-97.27。
  • 在多行回應的所有行上包含回應代碼 - FTP 通訊協定定義了 FTP 伺服器發佈多行回應的兩種方法。如果多行回應的每一行不包含 3 位回應代碼,一些較早的 FTP 使用者端就無法對其進行解析。如果您所用的 FTP 使用者端難以處理來自 Serv-U 的多行回應,請選擇該核取方塊。
  • 對所有已收發的路徑和檔案名使用 UTF-8 編碼 - 預設情況下,Serv-U 將所有檔案名稱和路徑視為以 UTF-8 編碼的字串。並以 UTF-8 編碼的字串發送所有檔案名和路徑,例如發送目錄列表時。取消選中該選項則禁止 Serv-U 將這些字串編碼為 UTF-8。如果未選中該選項,則 UTF8 不包含在 FEAT 命令回應中,該回應用於向使用者端說明伺服器未使用 UTF-8 編碼。如果使用者會有中文亂碼的問題,請取消此選項,再試試看。
  最後,因為此部份很重要,如果你任何修改造成Serv-U不穩定或無法運作,可以使用畫面上「使用者默認設定」(你有修改才會出現),就是我們說的「回復預設值」,就可以將所有設定回復。

加密


  Serv-U 支援兩種加密資料傳輸方式 - SSL和SSH2。SSL 用於保護檔案傳輸通訊協定(FTP)和超文字傳輸通訊協定(HTTP)。SSH2 是一種安全地與遠端系統交互作用的方法,該遠端系統支援通常稱為 SFTP 的檔案傳輸方法。為了使每種加密方法有效工作,必須提供憑證(或)私鑰。SSL 需要提供憑證和私鑰,而 SSH2 只需要私鑰。如果您沒有所需要的檔,Ser-U 可以建立這些檔案。

Serv-U 8伺服器限制和設定-加密
  當在 Serv-U 中建立 SSL/TLS、SSH 和 HTTPS 加密網域時,加密網域不能共用監聽器,這一點很重要。因為 SSL/TLS 和 SSH 加密是基於對在 IP 位址之間傳送的訊息通訊進行加密,因此每個網域都必須具有單獨的監聽器才能正確作業。如果建立了多個加密網域共用監聽器,則第一個建立的網域能優先使用監聽器,造成其他加密網域不能正常工作。要正常作業多個加密網域,請修改每個網域的監聽器以確保它們監聽唯一的埠號。

為 FTPS 和 HTTPS 組態 SSL


  • 使用現有的憑證
    如果你已經有憑證機構的SSL憑證和私鑰,可以直接匯入使用。在畫面上選擇正確的路徑及密碼,Serv-U會立即開始使用所提供的憑證來保護 FTPS 和 HTTPS 連接。
  • 創建新憑證
    在畫面上按下「創建證書」,然後依序輸入所需資訊,最後按下創建即可,然後將憑證檔案儲存到安全的目錄。在畫面上選擇正確的路徑及密碼,Serv-U會立即開始使用所提供的憑證來保護 FTPS 和 HTTPS 連接。
  輸入資訊中,注意指定憑證的通用名稱。此處必須列出使用者連接所用的 IP 位址或全網域名稱(FQDN)。注意:如果通用名稱不是使用者端連接所用的 IP 地址或 FQDN,則使用者端可能收到提示指出憑證不符合連接的網域名稱。

Serv-U 8伺服器限制和設定-建立憑證
  Serv-U依所提供的資訊建立3個檔案:一個自簽名憑證(.crt),它能在伺服器上立即使用,但未經任何已知憑證頒發機構的驗證;一個證書申請(.csr),可以提供給憑證頒發機構用於驗證;以及一個私鑰檔案(.key),用於保護以上兩種憑證檔案。將私鑰保存在安全可靠的位置極其重要。如果您的私鑰暴露了,則懷有惡意的人士就能使用您的憑證。

進階 SSL 選項

  只能在伺服器等級組態這些進階 SSL 選項。所有網域繼承該行為,而不能單獨進行覆蓋。
  • 啟用低安全性密碼 -
    選擇該啟用低安全性 SSL 密碼。一些較早的或國際使用者端可能不支援現今的最佳 SSL 密碼。因為現今的計算標準認為這些密碼不安全,預設情況下 Serv-U 不接受這些密碼。建議不啟用此設定。
  • 禁用 SSLv2 支援
    Serv-U 支援的 SSL 有數個不同版本。較早的 SSLv2 版本已證明有安全漏洞,其安全性不如 SSLv3 和 TLS。然而,為了與使用者端或以前的使用者端軟體相容,可能需要支援 SSLv2。啟用後即不支援較早的 SSLv2 協定。建議啟用此設定,以提高SSL安全性。
  以上討論了很多限制和組態設定,這些限制和組態設定可以讓你在設定Serv-U時可以更靈活更有彈性,一方面可以提高你必要的安全性,一方面可以調整Serv-U整體的使用方式,這個方面雖然很雜,但好的組態設定可以讓你的Serv-U上天堂。

2 則留言:

  1. 您好,不好意思,我想請問一下:
    您有試過限速功能嗎.
    我設定下載限速200KB,
    但我在下載檔案時,只會跑60~80KB,
    取消限速時就可以到180~200KB.
    我希望限速能也能跑極速~

    回覆刪除
  2. 因為可以設定限速的地方很多,請提供你設定限速的地方。

    原理都是一樣,「全域」最大,也就是最上層的水管,再來是「域」,所以如果你的「全域」設100KB,「域」設200KB也沒有用,因為「全域」代表之下所有「域」的總合,也就是說「域」加起來所能使用的全部就只有100KB。

    回覆刪除

感謝您的留言,如果我的文章你喜歡或對你有幫助,按個「讚」或「分享」它,我會很高興的。