⑴ 簡單描述ftp伺服器中匿名用戶,實體用戶和虛擬用戶的區別。
意思如下:
1、anon_root=/opt匿名登入的根目錄。盯御
2、anon_umask=022匿名伍則棗腔拆用戶所上傳文件的許可權掩碼。
⑵ 如何來提高FTP伺服器的安全性
從兩個方向去做:
一、禁止系統級別用戶來登錄FTP伺服器。
為了提高FTP伺服器的安全,系統管理員最好能夠為員工設置單獨的FTP帳號,而不要把系統級別的用戶給普通用戶來使用,這會帶來很大的安全隱患。在VSFTP伺服器中,可以通過配置文件vsftpd.ftpusers來管理登陸帳戶。不過這個帳戶是一個黑名單,列入這個帳戶的人員將無法利用其帳戶來登錄FTP伺服器。部署好VSFTP伺服器後,我們可以利用vi命令來查看這個配置文件,發現其已經有了許多默認的帳戶。其中,系統的超級用戶root也在其中。可見出於安全的考慮,VSFTP伺服器默認情況下就是禁止root帳戶登陸FTP伺服器的。如果系統管理員想讓root等系統帳戶登陸到FTP伺服器,則知需要在這個配置文件中將root等相關的用戶名刪除即可。不過允許系統帳戶登錄FTP伺服器,會對其安全造成負面的影響,為此我不建議系統管理員這么做。對於這個文件中相關的系統帳戶管理員最好一個都不要改,保留這些帳號的設置。
如果出於其他的原因,需要把另外一些帳戶也禁用掉,則可以把帳戶名字加入到這個文件中即可。如在伺服器上可能同時部署了FTP伺服器與資料庫伺服器。那麼為了安全起見,把資料庫管理員的帳戶列入到這個黑名單,是一個不錯的做法。
二、加強對匿名用戶的控制。
匿名用戶是指那些在FTP伺服器中沒有定義相關的帳戶,而FTP系統管理員為了便於管理,仍然需要他們進行登陸。但纖判是他們畢竟沒有取得伺服器的授權,為了提高伺服器的安全性,必須要對他們的許可權進行限制。在VSFTP伺服器上也有很多參數可以用來控制匿名用戶的許可權。系統管理員需要根據FTP伺服器的安全級別,來做好相關的配置工作。需要說明的是,匿名用戶的許可權控制的越嚴格,FTP伺服器的安全性越高,但是同時用戶訪問的便利性也會降低。故最終系統管理員還是帶豎褲需要在伺服器安全性與便利性上取得一個均衡。
下面是我推薦的幾個針對匿名用戶的配置,大家若不清楚該如何配置的話,可以參考這些配置。這些配置兼顧了伺服器的安全與用戶的使用便利。
一是參數anon_world_readable_only。這個參數主要用來控制匿名用戶是否可以從FTP伺服器上下載可閱讀的文件。如果FTP伺服器部署在企業內部,主要供企業內部員工使用的話,則最好把這個參數設置為YES。然後把一些企業常用表格等等可以公開的文件放置在上面,讓員工在匿名的情況下也可以下載這些文件。這即不會影響到FTP伺服器的安全,而且也有利於其他員工操作的便利性上。
二是參數anon_upload_enable。這個參數表示匿名用戶能否在匿名訪問的情況下向FTP伺服器上傳文件。通常情況下,應該把這個參數設置為No。即在匿名訪問時不允許用戶上傳文件。否則的話,隨便哪個人都可以上傳文件的話,那對方若上傳一個病毒文件,那企業不是要遭殃了。故應該禁止匿名用戶上蠢簡傳文件。但是這也有例外。如有些企業通過FTP協議來備份文件。此時如果企業網路的安全性有所保障的話,可以把這個參數設置為YES,即允許操作系統調用FTP命令往FTP伺服器上備份文件。
謝謝,這是我的回答。
⑶ ftp 用戶隔離一直不成功,高手進來看下吧
大體的情況就是這樣 只是你在個許可權的時候一樣的要注意 還有應用戶設置的時候
如果你是個企業做伺服器 建議你用 SERVER-U這個軟體就可以了,配置相等的簡單,只要會隔離用戶 就可以配置成功
⑷ ftp服務的三種用戶類型分別為那三種,有何不同
Real帳戶
這類用戶是指在FTP服務上擁有帳號。當這類用戶登錄FTP伺服器的時候,其默認的主目錄就是其帳號命名的目錄。但是,其還可以變更到其他目錄中去。如系統的主目錄等等。
Guest用戶
在FTP伺服器中,我們往往會給不同的部門或者某個特定的用戶設置一個帳戶。但是,這個賬戶有個特點,就是其只能夠訪問自己的主目錄。伺服器通過這種方式來保障FTP服務上其他文件的安全性。這類帳戶,在Vsftpd軟體中就叫做Guest用戶。擁有這類用戶的帳戶,只能夠訪問其主目錄下的目錄,而不得訪問主目錄以外的文件。
Anonymous(匿名)用戶
這也是我們通常所說的匿名訪問。這類用戶是指在FTP伺服器中沒有指定帳戶,但是其仍然可以進行匿名訪問某些公開的資源。
在組建FTP伺服器的時候,我們就需要根據用戶的類型,對用戶進行歸類。默認情況下,Vsftpd伺服器會把建立的所有帳戶都歸屬為Real用戶。但是,這往往不符合企業安全的需要。因為這類用戶不僅可以訪問自己的主目錄,而且,還可以訪問其他用戶的目錄。這就給其他用戶所在的空間帶來一定的安全隱患。所以,企業要根據實際情況,修改用戶所在的類別。
⑸ ftp怎麼設置隔離用戶
架設FTP站點現在已經變得非常簡單,但其安全保障尚需添加和設置許多東西。通常我們只需要使用Windows伺服器系統自帶的IIS功能,就能輕易地架設一台FTP站點了。不過,用這種方法架設的FTP站點不但允許任何用戶進行匿名訪問,而他們也能對FTP站點的主目錄進行隨意「讀取」與「寫入」,如此一來保存在FTP站點中的內容就沒有安全性了。那麼我們究竟該怎樣才能讓架設成功的,且安全的FTP站點,限制用戶訪問主目錄、而只能訪問用戶自己的目錄呢?事實上,在Windows 2003伺服器的IIS 6.0系統中,我們只需要利用新增加的「隔離用戶」FTP組件,就能輕松讓用戶只訪問自己的目錄。
安裝「隔離用戶」FTP組件 由於架設FTP站點需要IIS6.0的支持,而在默認狀態下Windows 2003伺服器並沒有安裝該組件,所以在架設具有用戶隔離功能的FTP站點之前,我們需要先安裝好IIS6.0組件,並將其中的「隔離用戶」FTP組件一並安裝成功,下面就是安裝「隔離用戶」FTP組件的具體操作步驟:首先在Windows 2003伺服器系統中,依次單擊「開始」/「設置」/「控制面板」命令,在彈出的「控制面板」窗口中用滑鼠雙擊其中的「添加或刪除程序」圖標,在其後出現的「添加或刪除程序」中單擊一下「添加/刪除Windows組件」按鈕,進入到一個標題為「Windows組件向導」的界面。其次在「組件」列表框中,選中「應用程序伺服器」復選項,並單擊「詳細信息」按鈕,在隨後彈出的「應用程序伺服器」設置窗口中,用滑鼠雙擊其中的「Internet信息服務(IIS)」項目,進入到「Internet信息服務(IIS)」屬性設置框,在該設置框的子組件列表中選中「文件傳輸協議(FTP)服務」項目,單擊「確定」按鈕,然後按照向導提示完成具有「隔離用戶」功能的FTP組件。
創建FTP站點用戶訪問帳號為了防止普通用戶通過匿名帳號訪問FTP站點,我們在架設FTP站點的時候肯定會限制匿名帳號的訪問許可權,只讓特定用戶才能訪問FTP站點下面的內容。為此,在正式架設FTP站點之前,我們有必要在Windows 2003伺服器系統中為FTP站點創建一些用戶訪問帳號,日後用戶必須憑事先創建好的帳號才能登錄進行FTP站點。在創建FTP站點用戶訪問帳號時,我們可以按照如下步驟進行操作:首先在伺服器系統桌面中依次單擊「開始」/「運行」命令,在彈出的系統運行,輸入字元串命令「compmgmt.msc」,單擊回車鍵後,打開本地伺服器系統的計算機管理窗口;其次在該管理窗口的左側顯示區域中,用滑鼠雙擊「本地用戶和組」選項,在其後展開的分支下面選中「用戶」文件夾,在對應該文件夾的右側顯示區域中,用滑鼠右鍵單擊空白位置,從彈出的右鍵菜單中單擊「新用戶」命令,進入「新用戶」創建窗口;
接下來在該窗口中設置好用戶的訪問帳號以及密碼信息,將「用戶下次登錄時須更該密碼」項目的選中狀態取消,同時選中「用戶不能更該密碼」選項與「密碼永不過期」選項,再單擊一下「創建」按鈕,這么一來一個目標用戶的帳號信息就算創建成功了。同樣地,我們可以為那些需要訪問FTP站點的所有用戶都創建一個帳號信息。創建與訪問帳號對應的目錄當創建好了用戶訪問帳號後,我們下面需要進行的操作就是在伺服器系統的本地硬碟中創建好FTP站點的主目錄,以及各個用戶帳號所對應的用戶帳號,以便確保每一個用戶日後只能訪問自己的目錄,而沒有權利訪問其他用戶的目錄。為了讓架設好的FTP站點具有用戶隔離功能,我們必須按照一定的規則設置好該站點的主目錄以及用戶目錄。首先我們需要在NTFS格式的磁碟分區中建立一個文件夾,例如該文件夾名稱為「aaa」,並把該文件夾作為待建FTP站點的主目錄;接著進入到「aaa」文件夾窗口中,並在其中創建一個子文件夾,同時必須將該子文件夾名稱設置為「LocalUser」(該子文件夾名稱不能隨意設置),再打開「LocalUser」子文件夾窗口,然後在該窗口下依次創建好與每個用戶帳號名稱相同的個人文件夾,例如我們可以為「aaa」用戶創建一個「aaa」子文件夾(要是用戶帳號名稱與用戶目錄名稱不一樣的話,日後用戶就無法訪問到自己目錄下面的內容)。當然,要是我們仍然希望架設成功的FTP站點具有匿名登錄功能的話,那就必須在「LocalUser」文件夾窗口中創建一個「Public」子目錄,日後訪問者通過匿名方式登錄進FTP站點時,只能瀏覽到「Public」子目錄中的內容。創建「用戶隔離」FTP站點做好上面的各項准備工作後,我們現在就能正式搭建具有「用戶隔離」功能的FTP站點了,下面就是具體的搭建步驟:首先用滑鼠逐一單擊系統桌面中的「開始」、「程序」、「管理工具」、「Internet 信息服務(IIS)管理器」命令,打開IIS控制台窗口,在該窗口的左側列表區域,用滑鼠右擊「FTP站點」,並從彈出的右鍵菜單中依次選擇「新建」、「FTP站點」菜單命令,進入到FTP站點創建向導設置界面,單擊其中的「下一步」按鈕;其次在彈出的「FTP站點描述」界面中輸入FTP站點的名稱信息,例如這里可以輸入「用戶隔離站點」,繼續單擊「下一步」按鈕;在隨後出現的IP地址和埠設置頁面中,設置好目標FTP站點的IP地址,同時將服務埠號碼設置成默認的「21」,再單擊「下一步」按鈕;接著我們將看到一個標題為「FTP用戶隔離」的設置界面,選中該界面中的「隔離用戶」項目,之後進入到FTP站點主目錄向導設置窗口,單擊其中的「瀏覽」按鈕,從隨後彈出的文件夾選擇對話框中將前面已經創建好的「aaa」文件夾選中並導入進來,再單擊「確定」按鈕;當向導窗口要求我們設置「FTP站點訪問許可權」時,我們必須將「寫入」項目選中,最後單擊一下「完成」按鈕,結束FTP站點的架設操作。當FTP站點架設成功後,我們不妨從區域網的另外一台工作站中,以帳號「aaa」登錄進剛剛創建好的FTP站點,然後在對應目錄中重新創建一個文件。為了檢驗剛剛創建的文檔是否保存在「aaa」子文件夾中,我們不妨登錄進Windows 2003伺服器中,檢查「LocalUser」文件夾下面的「aaa」子目錄,看看其中是否有自己剛剛才建的文件,如果看到的話,那說明具有用戶隔離功能的FTP站點就成功了。
⑹ 如何分離匿名用戶和普通用戶對ftp伺服器的訪問許可權
新建一個用戶組,將FTP用畝納團茄爛戶都加入迅橘到這個組。
對FTP目錄的許可權限制,只允許管理員組、系統組、新建組完全訪問。
⑺ ftp伺服器不允許匿名登錄
一、匿名用戶 ftp anonymous
/var/ftp 默認主目錄
在/etc/vsftpd/vsftpd.conf中:
anonymous_enable=YES
anon_upload_enable=YES
anon_other_write_enable=YES #可刪除
chmod -R 777 /var/ftp/pub/
修改/var/ftp/pub的SELinux許可權
執行以下命令,修改/var/ftp/pub這目錄的類型:
chcon -R -t ftpd_anon_rw_t /var/ftp/pub/
anon_root=/var/www/html/ftp #改匿名用戶的宿主目錄
二、本地用戶
默認支持,使用各自的宿主目錄。不安全
local_root=/opt #新增這一項,改成其他路徑
三、虛擬用戶 PAM文件方式 推薦
1、建立虛擬用戶口令庫文件
# cat /etc/vsftpd/logins
mike #用戶
pwabcd #用戶 mike密碼
john #用戶john
pw1234 #john 密碼
2、生成vsftpd的認證文件
db_load -T -t hash -f logins.txt /etc/vsftpd/vsftpd_login.db
chmod 600 /etc/vsftpd/vsftpd_login.db
3、新創建虛擬用戶所需的PAM配置文件
配置文件 /etc/pam.d/vsftpd(注釋所有行)添加下列:(x64系統)
auth required /lib64/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login
account required /lib64/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login
4、新創建虛擬用戶的系統用戶所要訪問的目錄並設置相應許可權
# useradd -s /bin/false -d /home/ftpsite ftpvirtual #創建映射本地用戶
# chmod 700 /home/ftpsite
#設置vsftpd.conf配置文件,支持虛擬用戶
guest_enable=YES
guest_username=ftpvirtual
pam_service_name=vsftpd
user_config_dir=/etc/vsftpd/vsftpd_user_conf #添加用戶配置文件目錄設置
⑻ Win2008 FTP 隔離用戶 要求:匿名不可上傳,用戶可上傳
你可以參照WIN 2003 大致一樣的。主要是用戶許可權的設置:在桌面上右擊「我的電腦」,執行「管理」命令,在「計算機管理」窗口的左窗格中依次展開「系統工具」→「本地用戶和組」目錄,單擊選中「用戶」選項。在右側窗格中單擊右鍵,執行「新用戶」命令。在打開的「新用戶」對話框中填寫用戶名(如hanjiang),並設定密碼。然後取消「用戶下次登錄時需更改密碼」復選框,並勾選「用戶不能更改密碼」和「密碼永不過期」復選框,單擊「創建」按鈕完成該用戶的添加。重復這一過程添加其他用戶,最後單擊「關閉」按鈕即可。
為方便對這些用戶的管理,最好將他們放入一個專門的組中。例如我們可以創建一個「FTPUsers」組:在「計算機管理」窗口的目錄樹中單擊選中「組」選項,然後在右側窗格中單擊右鍵,執行「新建組」命令,並將該組命名為「FTPUsers」。接著依次單擊「添加」→「高級」→「立即查找」按鈕,將剛才創建的用戶全部添加進來,最後依次單擊「創建」→「結束」按鈕。
然而事情並沒有完,因為上述創建的用戶默認隸屬於「Users」組,也就是說他們擁有對大部分資源的瀏覽許可權。為了實現對特定資源的有效管理,需要將這些用戶從「Users」組中刪除。在「計算機管理」窗口的右側窗格中雙擊「Users」選項,用滑鼠拖選所有剛添加的用戶並單擊「刪除」按鈕即可。
設置獨立許可權
這里的許可權設置需要分兩部分來進行,即對FTP伺服器主目錄的許可權設置和對各個用戶文件夾的許可權設置。假設FTP伺服器的主目錄路徑為「G:/FTPServer」,我們先來取消「FTPUsers」組的用戶對「FTPServer」文件夾的「寫入 」許可權。右擊「FTPServer」文件夾,執行「屬性」命令。在打開的「FTPServer 屬性」對話框中切換至「安全」選項卡下,然後依次單擊「添加」→「高級」→「立即查找」按鈕,單擊選中「FTPUsers」組並依次單擊「確定」按鈕回到「FTPServer 屬性」對話框。接著在「FTPUsers的許可權」列表框中勾選「拒絕寫入」復選框。為了使「拒絕寫入」許可權僅對「FTPServer」文件夾有效,還需要單擊「高級」按鈕,在「FTPServer的高級安全設置」對話框中雙擊「許可權列表」中的「拒絕FTPUsers寫入」選項,打開「FTPServer的許可權設置」對話框。在「應用到」下拉列表中選中「只有該文件夾」選項,連續單擊「確定」按鈕完成設置(如圖1)。
接著我們為每個用戶創建獨立的文件夾(以用戶名命名),並針對每個文件夾賦予相應用戶適當的許可權。以文件夾「hanjiang」為例,在「hanjiang 屬性」對話框的「安全」選項卡下將用戶「hanjiang」添加進來,並賦予其讀取和寫入的許可權。同理,對於其他文件夾,也只賦予相應用戶讀取和寫入的許可權。
小提示:需要受到許可權保護的文件夾必須在NTFS分區中創建,FAT32分區內的資源無法設置許可權。
至此,設置工作就全部結束了。在任意一台機器上以用戶「hanjiang」的身份登錄FTP伺服器,你會發現該用戶只能在「hanjiang」文件夾中任意讀寫,而無法看到主目錄和其他用戶目錄的內容。
⑼ FTP弱口令或匿名登陸如何解決
允許ftp匿名登陸方法:
1、在使用Ftp伺服器軟體創建伺服器時,可以定義是否允許匿名訪問。
2、在創建後添加匿名賬號,不同軟體方法不同。