⑴ 简单描述ftp服务器中匿名用户,实体用户和虚拟用户的区别。
意思如下:
1、anon_root=/opt匿名登入的根目录。盯御
2、anon_umask=022匿名伍则枣腔拆用户所上传文件的权限掩码。
⑵ 如何来提高FTP服务器的安全性
从两个方向去做:
一、禁止系统级别用户来登录FTP服务器。
为了提高FTP服务器的安全,系统管理员最好能够为员工设置单独的FTP帐号,而不要把系统级别的用户给普通用户来使用,这会带来很大的安全隐患。在VSFTP服务器中,可以通过配置文件vsftpd.ftpusers来管理登陆帐户。不过这个帐户是一个黑名单,列入这个帐户的人员将无法利用其帐户来登录FTP服务器。部署好VSFTP服务器后,我们可以利用vi命令来查看这个配置文件,发现其已经有了许多默认的帐户。其中,系统的超级用户root也在其中。可见出于安全的考虑,VSFTP服务器默认情况下就是禁止root帐户登陆FTP服务器的。如果系统管理员想让root等系统帐户登陆到FTP服务器,则知需要在这个配置文件中将root等相关的用户名删除即可。不过允许系统帐户登录FTP服务器,会对其安全造成负面的影响,为此我不建议系统管理员这么做。对于这个文件中相关的系统帐户管理员最好一个都不要改,保留这些帐号的设置。
如果出于其他的原因,需要把另外一些帐户也禁用掉,则可以把帐户名字加入到这个文件中即可。如在服务器上可能同时部署了FTP服务器与数据库服务器。那么为了安全起见,把数据库管理员的帐户列入到这个黑名单,是一个不错的做法。
二、加强对匿名用户的控制。
匿名用户是指那些在FTP服务器中没有定义相关的帐户,而FTP系统管理员为了便于管理,仍然需要他们进行登陆。但纤判是他们毕竟没有取得服务器的授权,为了提高服务器的安全性,必须要对他们的权限进行限制。在VSFTP服务器上也有很多参数可以用来控制匿名用户的权限。系统管理员需要根据FTP服务器的安全级别,来做好相关的配置工作。需要说明的是,匿名用户的权限控制的越严格,FTP服务器的安全性越高,但是同时用户访问的便利性也会降低。故最终系统管理员还是带竖裤需要在服务器安全性与便利性上取得一个均衡。
下面是我推荐的几个针对匿名用户的配置,大家若不清楚该如何配置的话,可以参考这些配置。这些配置兼顾了服务器的安全与用户的使用便利。
一是参数anon_world_readable_only。这个参数主要用来控制匿名用户是否可以从FTP服务器上下载可阅读的文件。如果FTP服务器部署在企业内部,主要供企业内部员工使用的话,则最好把这个参数设置为YES。然后把一些企业常用表格等等可以公开的文件放置在上面,让员工在匿名的情况下也可以下载这些文件。这即不会影响到FTP服务器的安全,而且也有利于其他员工操作的便利性上。
二是参数anon_upload_enable。这个参数表示匿名用户能否在匿名访问的情况下向FTP服务器上传文件。通常情况下,应该把这个参数设置为No。即在匿名访问时不允许用户上传文件。否则的话,随便哪个人都可以上传文件的话,那对方若上传一个病毒文件,那企业不是要遭殃了。故应该禁止匿名用户上蠢简传文件。但是这也有例外。如有些企业通过FTP协议来备份文件。此时如果企业网络的安全性有所保障的话,可以把这个参数设置为YES,即允许操作系统调用FTP命令往FTP服务器上备份文件。
谢谢,这是我的回答。
⑶ ftp 用户隔离一直不成功,高手进来看下吧
大体的情况就是这样 只是你在个权限的时候一样的要注意 还有应用户设置的时候
如果你是个企业做服务器 建议你用 SERVER-U这个软件就可以了,配置相等的简单,只要会隔离用户 就可以配置成功
⑷ ftp服务的三种用户类型分别为那三种,有何不同
Real帐户
这类用户是指在FTP服务上拥有帐号。当这类用户登录FTP服务器的时候,其默认的主目录就是其帐号命名的目录。但是,其还可以变更到其他目录中去。如系统的主目录等等。
Guest用户
在FTP服务器中,我们往往会给不同的部门或者某个特定的用户设置一个帐户。但是,这个账户有个特点,就是其只能够访问自己的主目录。服务器通过这种方式来保障FTP服务上其他文件的安全性。这类帐户,在Vsftpd软件中就叫做Guest用户。拥有这类用户的帐户,只能够访问其主目录下的目录,而不得访问主目录以外的文件。
Anonymous(匿名)用户
这也是我们通常所说的匿名访问。这类用户是指在FTP服务器中没有指定帐户,但是其仍然可以进行匿名访问某些公开的资源。
在组建FTP服务器的时候,我们就需要根据用户的类型,对用户进行归类。默认情况下,Vsftpd服务器会把建立的所有帐户都归属为Real用户。但是,这往往不符合企业安全的需要。因为这类用户不仅可以访问自己的主目录,而且,还可以访问其他用户的目录。这就给其他用户所在的空间带来一定的安全隐患。所以,企业要根据实际情况,修改用户所在的类别。
⑸ ftp怎么设置隔离用户
架设FTP站点现在已经变得非常简单,但其安全保障尚需添加和设置许多东西。通常我们只需要使用Windows服务器系统自带的IIS功能,就能轻易地架设一台FTP站点了。不过,用这种方法架设的FTP站点不但允许任何用户进行匿名访问,而他们也能对FTP站点的主目录进行随意“读取”与“写入”,如此一来保存在FTP站点中的内容就没有安全性了。那么我们究竟该怎样才能让架设成功的,且安全的FTP站点,限制用户访问主目录、而只能访问用户自己的目录呢?事实上,在Windows 2003服务器的IIS 6.0系统中,我们只需要利用新增加的“隔离用户”FTP组件,就能轻松让用户只访问自己的目录。
安装“隔离用户”FTP组件 由于架设FTP站点需要IIS6.0的支持,而在默认状态下Windows 2003服务器并没有安装该组件,所以在架设具有用户隔离功能的FTP站点之前,我们需要先安装好IIS6.0组件,并将其中的“隔离用户”FTP组件一并安装成功,下面就是安装“隔离用户”FTP组件的具体操作步骤:首先在Windows 2003服务器系统中,依次单击“开始”/“设置”/“控制面板”命令,在弹出的“控制面板”窗口中用鼠标双击其中的“添加或删除程序”图标,在其后出现的“添加或删除程序”中单击一下“添加/删除Windows组件”按钮,进入到一个标题为“Windows组件向导”的界面。其次在“组件”列表框中,选中“应用程序服务器”复选项,并单击“详细信息”按钮,在随后弹出的“应用程序服务器”设置窗口中,用鼠标双击其中的“Internet信息服务(IIS)”项目,进入到“Internet信息服务(IIS)”属性设置框,在该设置框的子组件列表中选中“文件传输协议(FTP)服务”项目,单击“确定”按钮,然后按照向导提示完成具有“隔离用户”功能的FTP组件。
创建FTP站点用户访问帐号为了防止普通用户通过匿名帐号访问FTP站点,我们在架设FTP站点的时候肯定会限制匿名帐号的访问权限,只让特定用户才能访问FTP站点下面的内容。为此,在正式架设FTP站点之前,我们有必要在Windows 2003服务器系统中为FTP站点创建一些用户访问帐号,日后用户必须凭事先创建好的帐号才能登录进行FTP站点。在创建FTP站点用户访问帐号时,我们可以按照如下步骤进行操作:首先在服务器系统桌面中依次单击“开始”/“运行”命令,在弹出的系统运行,输入字符串命令“compmgmt.msc”,单击回车键后,打开本地服务器系统的计算机管理窗口;其次在该管理窗口的左侧显示区域中,用鼠标双击“本地用户和组”选项,在其后展开的分支下面选中“用户”文件夹,在对应该文件夹的右侧显示区域中,用鼠标右键单击空白位置,从弹出的右键菜单中单击“新用户”命令,进入“新用户”创建窗口;
接下来在该窗口中设置好用户的访问帐号以及密码信息,将“用户下次登录时须更该密码”项目的选中状态取消,同时选中“用户不能更该密码”选项与“密码永不过期”选项,再单击一下“创建”按钮,这么一来一个目标用户的帐号信息就算创建成功了。同样地,我们可以为那些需要访问FTP站点的所有用户都创建一个帐号信息。创建与访问帐号对应的目录当创建好了用户访问帐号后,我们下面需要进行的操作就是在服务器系统的本地硬盘中创建好FTP站点的主目录,以及各个用户帐号所对应的用户帐号,以便确保每一个用户日后只能访问自己的目录,而没有权利访问其他用户的目录。为了让架设好的FTP站点具有用户隔离功能,我们必须按照一定的规则设置好该站点的主目录以及用户目录。首先我们需要在NTFS格式的磁盘分区中建立一个文件夹,例如该文件夹名称为“aaa”,并把该文件夹作为待建FTP站点的主目录;接着进入到“aaa”文件夹窗口中,并在其中创建一个子文件夹,同时必须将该子文件夹名称设置为“LocalUser”(该子文件夹名称不能随意设置),再打开“LocalUser”子文件夹窗口,然后在该窗口下依次创建好与每个用户帐号名称相同的个人文件夹,例如我们可以为“aaa”用户创建一个“aaa”子文件夹(要是用户帐号名称与用户目录名称不一样的话,日后用户就无法访问到自己目录下面的内容)。当然,要是我们仍然希望架设成功的FTP站点具有匿名登录功能的话,那就必须在“LocalUser”文件夹窗口中创建一个“Public”子目录,日后访问者通过匿名方式登录进FTP站点时,只能浏览到“Public”子目录中的内容。创建“用户隔离”FTP站点做好上面的各项准备工作后,我们现在就能正式搭建具有“用户隔离”功能的FTP站点了,下面就是具体的搭建步骤:首先用鼠标逐一单击系统桌面中的“开始”、“程序”、“管理工具”、“Internet 信息服务(IIS)管理器”命令,打开IIS控制台窗口,在该窗口的左侧列表区域,用鼠标右击“FTP站点”,并从弹出的右键菜单中依次选择“新建”、“FTP站点”菜单命令,进入到FTP站点创建向导设置界面,单击其中的“下一步”按钮;其次在弹出的“FTP站点描述”界面中输入FTP站点的名称信息,例如这里可以输入“用户隔离站点”,继续单击“下一步”按钮;在随后出现的IP地址和端口设置页面中,设置好目标FTP站点的IP地址,同时将服务端口号码设置成默认的“21”,再单击“下一步”按钮;接着我们将看到一个标题为“FTP用户隔离”的设置界面,选中该界面中的“隔离用户”项目,之后进入到FTP站点主目录向导设置窗口,单击其中的“浏览”按钮,从随后弹出的文件夹选择对话框中将前面已经创建好的“aaa”文件夹选中并导入进来,再单击“确定”按钮;当向导窗口要求我们设置“FTP站点访问权限”时,我们必须将“写入”项目选中,最后单击一下“完成”按钮,结束FTP站点的架设操作。当FTP站点架设成功后,我们不妨从局域网的另外一台工作站中,以帐号“aaa”登录进刚刚创建好的FTP站点,然后在对应目录中重新创建一个文件。为了检验刚刚创建的文档是否保存在“aaa”子文件夹中,我们不妨登录进Windows 2003服务器中,检查“LocalUser”文件夹下面的“aaa”子目录,看看其中是否有自己刚刚才建的文件,如果看到的话,那说明具有用户隔离功能的FTP站点就成功了。
⑹ 如何分离匿名用户和普通用户对ftp服务器的访问权限
新建一个用户组,将FTP用亩纳团茄烂户都加入迅橘到这个组。
对FTP目录的权限限制,只允许管理员组、系统组、新建组完全访问。
⑺ ftp服务器不允许匿名登录
一、匿名用户 ftp anonymous
/var/ftp 默认主目录
在/etc/vsftpd/vsftpd.conf中:
anonymous_enable=YES
anon_upload_enable=YES
anon_other_write_enable=YES #可删除
chmod -R 777 /var/ftp/pub/
修改/var/ftp/pub的SELinux权限
执行以下命令,修改/var/ftp/pub这目录的类型:
chcon -R -t ftpd_anon_rw_t /var/ftp/pub/
anon_root=/var/www/html/ftp #改匿名用户的宿主目录
二、本地用户
默认支持,使用各自的宿主目录。不安全
local_root=/opt #新增这一项,改成其他路径
三、虚拟用户 PAM文件方式 推荐
1、建立虚拟用户口令库文件
# cat /etc/vsftpd/logins
mike #用户
pwabcd #用户 mike密码
john #用户john
pw1234 #john 密码
2、生成vsftpd的认证文件
db_load -T -t hash -f logins.txt /etc/vsftpd/vsftpd_login.db
chmod 600 /etc/vsftpd/vsftpd_login.db
3、新创建虚拟用户所需的PAM配置文件
配置文件 /etc/pam.d/vsftpd(注释所有行)添加下列:(x64系统)
auth required /lib64/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login
account required /lib64/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login
4、新创建虚拟用户的系统用户所要访问的目录并设置相应权限
# useradd -s /bin/false -d /home/ftpsite ftpvirtual #创建映射本地用户
# chmod 700 /home/ftpsite
#设置vsftpd.conf配置文件,支持虚拟用户
guest_enable=YES
guest_username=ftpvirtual
pam_service_name=vsftpd
user_config_dir=/etc/vsftpd/vsftpd_user_conf #添加用户配置文件目录设置
⑻ Win2008 FTP 隔离用户 要求:匿名不可上传,用户可上传
你可以参照WIN 2003 大致一样的。主要是用户权限的设置:在桌面上右击“我的电脑”,执行“管理”命令,在“计算机管理”窗口的左窗格中依次展开“系统工具”→“本地用户和组”目录,单击选中“用户”选项。在右侧窗格中单击右键,执行“新用户”命令。在打开的“新用户”对话框中填写用户名(如hanjiang),并设定密码。然后取消“用户下次登录时需更改密码”复选框,并勾选“用户不能更改密码”和“密码永不过期”复选框,单击“创建”按钮完成该用户的添加。重复这一过程添加其他用户,最后单击“关闭”按钮即可。
为方便对这些用户的管理,最好将他们放入一个专门的组中。例如我们可以创建一个“FTPUsers”组:在“计算机管理”窗口的目录树中单击选中“组”选项,然后在右侧窗格中单击右键,执行“新建组”命令,并将该组命名为“FTPUsers”。接着依次单击“添加”→“高级”→“立即查找”按钮,将刚才创建的用户全部添加进来,最后依次单击“创建”→“结束”按钮。
然而事情并没有完,因为上述创建的用户默认隶属于“Users”组,也就是说他们拥有对大部分资源的浏览权限。为了实现对特定资源的有效管理,需要将这些用户从“Users”组中删除。在“计算机管理”窗口的右侧窗格中双击“Users”选项,用鼠标拖选所有刚添加的用户并单击“删除”按钮即可。
设置独立权限
这里的权限设置需要分两部分来进行,即对FTP服务器主目录的权限设置和对各个用户文件夹的权限设置。假设FTP服务器的主目录路径为“G:/FTPServer”,我们先来取消“FTPUsers”组的用户对“FTPServer”文件夹的“写入 ”权限。右击“FTPServer”文件夹,执行“属性”命令。在打开的“FTPServer 属性”对话框中切换至“安全”选项卡下,然后依次单击“添加”→“高级”→“立即查找”按钮,单击选中“FTPUsers”组并依次单击“确定”按钮回到“FTPServer 属性”对话框。接着在“FTPUsers的权限”列表框中勾选“拒绝写入”复选框。为了使“拒绝写入”权限仅对“FTPServer”文件夹有效,还需要单击“高级”按钮,在“FTPServer的高级安全设置”对话框中双击“权限列表”中的“拒绝FTPUsers写入”选项,打开“FTPServer的权限设置”对话框。在“应用到”下拉列表中选中“只有该文件夹”选项,连续单击“确定”按钮完成设置(如图1)。
接着我们为每个用户创建独立的文件夹(以用户名命名),并针对每个文件夹赋予相应用户适当的权限。以文件夹“hanjiang”为例,在“hanjiang 属性”对话框的“安全”选项卡下将用户“hanjiang”添加进来,并赋予其读取和写入的权限。同理,对于其他文件夹,也只赋予相应用户读取和写入的权限。
小提示:需要受到权限保护的文件夹必须在NTFS分区中创建,FAT32分区内的资源无法设置权限。
至此,设置工作就全部结束了。在任意一台机器上以用户“hanjiang”的身份登录FTP服务器,你会发现该用户只能在“hanjiang”文件夹中任意读写,而无法看到主目录和其他用户目录的内容。
⑼ FTP弱口令或匿名登陆如何解决
允许ftp匿名登陆方法:
1、在使用Ftp服务器软件创建服务器时,可以定义是否允许匿名访问。
2、在创建后添加匿名账号,不同软件方法不同。