Vsftpd安全配置大全.pdf

《Vsftpd安全配置大全.pdf》由会员分享，可在线阅读，更多相关《Vsftpd安全配置大全.pdf（88页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、VOCs 设备安全操作规程 1 1VSFTPD 简介.2 11 什么是 VSFTPD.2 12 谁在使用 VSFTPD.3 2安装.3 21 软件获得.4 22 软件安装.4 3配置服务.6 31 如何启动服务.6 32 制作服务启动脚本.8 4简单配置文件分组讲解.11 41 匿名和本地用户登陆.11 42 两类用户的共同设置.16 43 本地用户权限管理.18 44 匿名用户的管理.22 45 关于欢迎语设置.30 46 关于 ip 监听与并发连接.32 47 关于连接端口设置.35 48 VSFTPD 的日志.43 49 服务器连接时间控制.45 5 特殊 Vsftpd 环境搭建.46

2、51 服务的双模式切换.46 52 基于 ip 的虚拟站点.47 53 虚拟用户建立、管理.53 54 在数据库中记录日志.63 55 建立加密的数据传输.65 6 VSFTPD.CONF(5)的中文翻译.71 61 布尔项.71 62 数字选项设置.81 63 字符串选项.83 7 VSFTPD 结束语.88 VOCs 设备安全操作规程 2 1VSFTPD 简介 11 什么是 VSFTPD Vsftpd 是一个基于 GPL 发布的类 UNIX 的 ftp 服务器软件。其中 Vs 代表了“very secure”，可以看出软件的写作初衷就是为了安全性考虑。所以可以这么说，在众多的 ftp 服务

3、器软件中此款软件是最安全的。同样的在 Linux 上，它依然体现了这个特点。然而不仅在安全上是出色的，在速度上和稳定性上它都有着不俗的表现。在速度上，Vsftpd 完全超越了Wu-ftpd的速度，大约可以是 Wu-ftpd 速度的 1.5 到 2 倍的速率。有记录表明，在千兆以太网上，Vsftpd 的速率可以达到86Mbyte/sec。稳定性上更是优秀，资料表明，完全工作了 24 小时，传输数据达 2.6TB，平均并发连接为 1500 用户，这些都是在单机上实现的。在单机非集群的情况下，它的并发连接可以达到 4000 用户。除此之外，Vsftpd 还在其他功能上有着自己的表现：基于 IP 的虚

4、拟 ftp 服务器；实现虚拟用户，用户验证结合数据库；可以选择基于 standalone 或者 inetd 模式；为每个用户设置单独的配置文件；限制速率；支持全面的 IPV6 技术；支持加密的 SSL 技术实现数据传输；以上所有的内容摘自 Vsftpd 的官方网站，大家可以点击:http:/vsftpd.beasts.org。VOCs 设备安全操作规程 3 12 谁在使用 VSFTPD 以下网站都一直在使用 Vsftpd 这个 ftp 软件： ftp.debian.org ftp.openbsd.org ftp.freebsd.org ftp.gnu.org ftp.gnome.org ftp

5、.kde.org ftp.kernel.org ftp.linux.org.uk ftp.gimp.org ftp-stud.fht-esslingen.de gd.tuwien.ac.at ftp.sunet.se ftp.engardelinux.org ftp.sunsite.org.uk ftp.isc.org 2安装 VOCs 设备安全操作规程 4 21 软件获得 本教程所有试验环境搭建都是基于 RAD HAT Linux Advance Server 3 操作系统（以下简称 RHAS3）。完全选择最新 Vsftpd 软件安装版本，我们可以到 Vsftpd 的官方网站下载到最新的版本

6、，据写书日期止，最新版本为 vsftpd-2.0.3 released 我们可以到官方网站下载页面 ftp:/vsftpd.beasts.org/users/cevans/下载。#ftp vsftpd.beasts.org Connected to vsftpd.beasts.org.220 sphinx.mythic- FTP server ready.500 AUTH GSSAPI:command not understood.500 AUTH KERBEROS_V4:command not understood.KERBEROS_V4 rejected as an authenticat

7、ion type Name(vsftpd.beasts.org:root):ftp 331 Guest login ok,type your name as password.Password:230-Welcome to Mythic Beasts Ltd.230-This system is for authorised users only.All access is logged.230 Guest login ok,access restrictions apply.Remote system type is UNIX.Using binary mode to transfer fi

8、les.ftp get/users/cevans/vsftpd-2.0.3.tar.gz/tmp/vsftpd-2.0.3.tar.gz ftp quit 221 Goodbye.22 软件安装 首先解压，使用 tar 命令：VOCs 设备安全操作规程 5#ls jd_sockV4 vsftpd-2.0.3.tar.gz#tar zxvf vsftpd-2.0.3.tar.gz 进入解压后目录，修改 builddefs.h 文件内容，此文件中的语句及解释分别为：#undef VSF_BUILD_TCPWRAPPERS /是否允许使用 TCPWRAPPERS#define VSF_BUILD_P

9、AM /是否允许使用 PAM 认证#undef VSF_BUILD_SSL /是否允许使用 SSL 其中如果允许加载上述功能模块的话就把前面的 undef 换成define。其中 TCPWRAPPERS 是一个作用在 inetd 下的防火墙软件，很多管理员都喜欢用的一个技术；PAM 认证让 Vsftpd 可以支持本地用户登陆服务器；SSL 可以建立一个加密的数据传输。因此我们把这三个功能都打上。但是，一定要注意，前面的“#”号不能去掉。关于这三个功能我们会在下面的内容中给大家具体介绍每个功能的配置。builddefs.h 文件修改完后，变成：#less builddefs.h#ifndef V

10、SF_BUILDDEFS_H#define VSF_BUILDDEFS_H#define VSF_BUILD_TCPWRAPPERS#define VSF_BUILD_PAM#define VSF_BUILD_SSL#endif/*VSF_BUILDDEFS_H*/安装之前检查一下是否原来默认安装了 Vsftpd，如果安装了我们删除它：#rpm-q vsftpd vsftpd-1.2.1-3#rpm-e vsftpd#rm-f/etc/xinetd.d/vsftpd#chkconfig vsftpd off VOCs 设备安全操作规程 6 在 RHAS3 上，要编译 Vsftpd 之前的先得修

11、改它的 Makefile 文件，我们这样做：#vi Makefile 把原里面的第六行为：CFLAGS =-O2-Wall-W Wshadow 改为：CFLAGS =-O2-Wall-W-Wshadow-I/usr/kerberos/include-L/usr/kerberos/lib#-pedantic-Werror Wconversion 保存这个文件。然后编译、安装：#make#make install 最后为了让 Vsftpd 支持本地用户登陆，我们要复制 PAM 认证文件：#cp RedHat/vsftpd.pam/etc/pam.d/vsftpd 这样就完成了 Vsftpd 的安装

12、，下一节我们会讨论 Vsftpd 服务的简单配置。3配置服务 31 如何启动服务 VOCs 设备安全操作规程 7 默认情况我们的服务器是建立在 standalone 模式下的，所以配置文件只有一个。默认的配置文件是/etc/vsftpd/vsftpd.conf。启动服务的命令在/usr/local/sbin/vsftpd。最简单的启动服务的方法是：#/usr/local/sbin/vsftpd/etc/vsftpd/vsftpd.conf&但是现在还没有写配置文件，所以服务以后再启动。让我们编辑/etc/vsftpd/vsftpd.conf 文件，在里面加入：#less vsftpd.conf

13、 listen=yes anonymous_enable=yes 第一句让我们可以在 standalone 模式下工作，第二句允许匿名用户登陆服务器。这样我们再启动服务，服务就会启动成功，为了检测服务确实启动，我们需要：#netstat-an|grep 21 tcp 0 0 0.0.0.0:21 0.0.0.0:*LISTEN#telnet 127.0.0.1 21 Trying 127.0.0.1.Connected to as1(127.0.0.1).Escape character is.220(vsFTPd 2.0.3)登陆服务器：#ftp 127.0.0.1 Connected to

14、 127.0.0.1.220(vsFTPd 2.0.3)530 Please login with USER and PASS.530 Please login with USER and PASS.KERBEROS_V4 rejected as an authentication type Name(127.0.0.1:root):ftp 331 Please specify the password.VOCs 设备安全操作规程 8 Password:230 Login successful.Remote system type is UNIX.Using binary mode to tr

15、ansfer files.ftp 这样最简单的匿名服务器就搭建成功了。如果要停止服务，就必须：#killall vsftpd 32 制作服务启动脚本 这样来不断启动服务和停止服务可能比较麻烦，我们来做一个简单的脚本可以方便的启动和停止服务。#vi/etc/init.d/vsftpd 在里面加入：#!/bin/bash#vsftpd This shell script takes care of starting and stopping#standalone vsftpd.#chkconfig:-60 50#description:Vsftpd is a ftp daemon,which is

16、 the program#that answers incoming ftp service requests.#processname:vsftpd#config:/etc/vsftpd/vsftpd.conf#Source function library./etc/rc.d/init.d/functions#Source networking configuration.VOCs 设备安全操作规程 9./etc/sysconfig/network#Check that networking is up.$NETWORKING=no&exit 0 -x/usr/local/sbin/vsf

17、tpd|exit 0 RETVAL=0 prog=vsftpd start()#Start daemons.if -d/etc/vsftpd ;then for i in ls/etc/vsftpd/*.conf;do site=basename$i.conf echo-n$Starting$prog for$site:/usr/local/sbin/vsftpd$i&RETVAL=$?$RETVAL-eq 0&touch/var/lock/subsys/$prog success$prog$site echo done else RETVAL=1 fi return$RETVAL stop(

18、)#Stop daemons.echo-n$Shutting down$prog:killproc$prog RETVAL=$?echo VOCs 设备安全操作规程 10$RETVAL-eq 0&rm-f/var/lock/subsys/$prog return$RETVAL#See how we were called.case$1 in start)start ;stop)stop ;restart|reload)stop start RETVAL=$?;condrestart)if -f/var/lock/subsys/$prog;then stop start RETVAL=$?fi

19、;status)status$prog RETVAL=$?;*)echo$Usage:$0 start|stop|restart|condrestart|status exit 1 esac exit$RETVAL#chmod 755/etc/init.d/vsftpd VOCs 设备安全操作规程 11 这样我们就可以使用下面的方法来管理服务了：#service vsftpd start|stop|restart|condrestart|status#service vsftpd restart Shutting down vsftpd:OK Starting vsftpd for vsftp

20、d:OK 4简单配置文件分组讲解 41 匿名和本地用户登陆 anonymous_enableyes/no /是否允许匿名用户登陆 local_enable=yes/no /是否允许本地用户登陆 pam_service_name=vsftpd /本地用户登陆认证的 pam 设置文件 还记得我们刚才把安装文件中的Redhat目录下的vsftpd.pam文件复制成了/etc/pam.d/vsftpd 文件。这个文件就是安装包里已经给我们写好的本地用户登陆的 pam 验证的配置文件。关于这个文件我们会在下面的章节里具体介绍配置。所以我们要知道，必须得有这个配置文件，而且还得在主配置文件里加上配置语句，

21、我们才能让本地用户登陆。我们把这几行设置加到配置文件中，然后先测试一下本地用户登陆：#ftp 127.0.0.1 Connected to 127.0.0.1.220(vsFTPd 2.0.3)530 Please login with USER and PASS.530 Please login with USER and PASS.VOCs 设备安全操作规程 12 KERBEROS_V4 rejected as an authentication type Name(127.0.0.1:root):andy 331 Please specify the password.Password:

22、230 Login successful.Remote system type is UNIX.Using binary mode to transfer files.ftp quit 221 Goodbye.本地用户已经可以登陆 ftp 服务了。但是他们都还只有浏览和下载的权限。如果想有更多权限还得继续配置，不过我们先来总结一下匿名和本地用户的一些相关细节：匿名用户 本地用户 登陆名 anonymous 或ftp 本地用户名/etc/passwd 登陆密码 Email 或者任意 本地用户密码/etc/shadow 映射本地用户 默认为ftp 用户 或者使用 ftp_username 指定 本

23、地用户本身 登陆目录 映射用户主目录 本地用户主目录 通过上面的表我们可以知道，如果想让匿名用户登陆，那么本地必须有一个 ftp 本地用户，然后设置他的主目录来让匿名用户可以登陆到系统上，为安全考虑，Vsftpd 是不允许匿名用户对自己的 ftp 跟目录拥有写权限，所以我们可以这样：#mkdir/var/ftp/#useradd-d/var/ftp/ftp#ftp 127.0.0.1 Connected to 127.0.0.1.220(vsFTPd 2.0.3)VOCs 设备安全操作规程 13 530 Please login with USER and PASS.530 Please lo

24、gin with USER and PASS.KERBEROS_V4 rejected as an authentication type Name(127.0.0.1:root):ftp 331 Please specify the password.Password:230 Login successful.Remote system type is UNIX.Using binary mode to transfer files.ftp 这样，就可以让匿名用户登陆了。如果想让本地用户拥有对服务器写的权限，那么加上此行：write_enable=yes/no /是否允许对付 ftp 服务器

25、使用下列命令：STOR,DELE,RNFR,RNTO,MKD,RMD,APPE，SITE，PUT 等一些对服务器有写操作的命令。那么我们的原配置文件变成了：listen=yes anonymous_enable=yes local_enable=yes pam_service_name=vsftpd write_enable=yes 我们来测试一下：#ftp 127.0.0.1 Connected to 127.0.0.1.220(vsFTPd 2.0.3)530 Please login with USER and PASS.530 Please login with USER and PA

26、SS.KERBEROS_V4 rejected as an authentication type Name(127.0.0.1:root):andy 331 Please specify the password.Password:VOCs 设备安全操作规程 14 230 Login successful.Remote system type is UNIX.Using binary mode to transfer files.ftp put putfile local:putfile remote:putfile 227 Entering Passive Mode(127,0,0,1,1

27、98,182)150 Ok to send data.226 File receive OK.ftp ls 227 Entering Passive Mode(127,0,0,1,72,3)150 Here comes the directory listing.-rw-1 500 500 0 May 08 16:35 putfile 226 Directory send OK.ftpquit 我们看到本地用户可以上传文件了，其实还是可以删除和改名的，试验就不做了，自己可以试试。但是匿名用户依然无法对服务器有写的操作。也就是说，现在的匿名用户只能下载和浏览。在我们的服务器上可以有很多的本地用户

28、，那么我们知道这些本地用户应该都是可以登陆 ftp 服务器的。但是我们知道本来的 ftp服务是明文传输的，如果允许管理员登陆的话，这种机制显然不太好。又或者我们想让一些本地用户可以登陆，或者一些不能登陆我们的 ftp服务器，这样我们可以怎么设置呢？我们可以使用 Vsftpd 提供的 userlist 功能。它简单的意思是说让一个文件来保存一些用户名，格式是一个用户名一行。然后根据配置来决定文件中的本地用户和文件中没有列出的本地用户哪一部分可以登陆 ftp 服务器，这样就对本地用户的登陆起到了限制作用。关于这个功能配置文件一共有这么几行：userlist_enable=yes/no /是否启用

29、userlist 功能模块 userlist_deny=yes/no /是否拒绝 userlist 文件中用户登陆 ftp 服务 userlist_file=文件名 /指定的 userlist 文件名 取值 取值 userlist_enable yes yes VOCs 设备安全操作规程 15 userlist_deny yes no 意义 在userlist_file 指 定文件里的本地用户不能登陆 ftp 服务器，但是没列在文件里的本地用户可以登陆 ftp服务器。在userlist_file 指 定文件里的本地用户能登陆 ftp服务器，但是没列在文件里的本地用户不能登陆 ftp 服务器。我

30、们在配置文件中加入：userlist_enable=yes userlist_deny=yes userlist_file=/etc/vsftpd/vsftpd.userlist 创建两个本地用户 andy 和 nini。我们把 andy 用户名字写到/etc/vsftpd/vsftpd.userlist 文件中去。然后测试：#ftp 127.0.0.1 Connected to 127.0.0.1.220(vsFTPd 2.0.3)530 Please login with USER and PASS.530 Please login with USER and PASS.KERBEROS_

31、V4 rejected as an authentication type Name(127.0.0.1:root):andy 530 Permission denied.Login failed.ftp user nini 331 Please specify the password.Password:230 Login successful.ftpquit VOCs 设备安全操作规程 16 42 两类用户的共同设置 两类用户的共同设置先讲以下几行内容：write_enable=yes/no /是否允许全局可写 download_enable=yes/no /是否允许所有用户可以下载 di

32、rlist_enable=yes/no /是否允许所有用户可以浏览 write_enable 这个我们在上一节已经讲过，我们这次把配置文件换成这样：listen=yes anonymous_enable=yes local_enable=yes pam_service_name=vsftpd write_enable=yes download_enable=no 那么我么可以看到：#ftp 127.0.0.1 Connected to 127.0.0.1.220(vsFTPd 2.0.3)530 Please login with USER and PASS.530 Please login

33、with USER and PASS.KERBEROS_V4 rejected as an authentication type Name(127.0.0.1:root):andy 331 Please specify the password.Password:230 Login successful.Remote system type is UNIX.Using binary mode to transfer files.ftp ls 227 Entering Passive Mode(127,0,0,1,41,86)150 Here comes the directory listi

34、ng.-rw-r-r-1 0 0 0 May 08 06:22 andyfile VOCs 设备安全操作规程 17 226 Directory send OK.ftp get andyfile local:andyfile remote:andyfile 227 Entering Passive Mode(127,0,0,1,97,91)550 Permission denied.ftp mkdir aa 257/home/andy/aa created ftp quit 我们可以看到下载文件不可以了，但是我们可以上传和建立文件夹，也 就 是 说 全 局 写 的 操 作。这 个 就 是 因 为

35、 我 们 设 置 了download_enable 选项。我们在主配置文件里面再加入一行：dirlist_enable=no 我们再看一下试验结果：#ftp 127.0.0.1 Connected to 127.0.0.1.220(vsFTPd 2.0.3)530 Please login with USER and PASS.530 Please login with USER and PASS.KERBEROS_V4 rejected as an authentication type Name(127.0.0.1:root):andy 331 Please specify the pas

36、sword.Password:230 Login successful.Remote system type is UNIX.Using binary mode to transfer files.ftp ls 227 Entering Passive Mode(127,0,0,1,134,205)550 Permission denied.我们可以看到 ls 之后已经看不到结果了，但是如果给了他下载权限，还是可以下载的。基于这种结果我们实现如果用户不知道源文件名，那么他是无法下载我们 ftp 站点上的文件。接下来我们会再具体讨论匿名和本地用户单独的选项设置。VOCs 设备安全操作规程 18

37、43 本地用户权限管理 这一节讲一下本地用户的简单管理，首先讲到的是 chroot()主题，大家来看一下：ftp user nini 331 Please specify the password.Password:230 Login successful.ftp pwd 257/home/nini ftp 上面已经看到 nini 用户登陆到了服务器。我们知道每个用户在服务器上的跟目录应该和我们的服务器是同一个跟。所以本地用户登陆到ftp服务器上的时候敲入pwd命令(查看自己在服务器上的路径)的时候看到了/home/nini。那么我们说其实这样是非常不安全的，本地用户登陆到服务器后可以轻松的把

38、服务器上/etc/passwd 文件下载下来。我们应该禁止此功能，那么就是说要把本地用户的跟目录改变一下。改变成他们自己的主目录，这样他们就不能全局浏览了。这就用到了chroot()功能，它会改变原来的跟目录。但是我们看到如果在服务器上的所有的本地用户都把他们的跟目录改变了，这样好像是 Vsftpd 开发这个功能又没有什么意义了。所以我们可能这么想，能否像刚才的userlist功能一样，可以允许一部分用户 chroot()，另一部分还默认原来的配置，这样也是可以的。那么就还得使用一个文件帮我们保存一部分用户名，然后再分开设置每组用户。那么这样就用到下面的几个配置行：chroot_list_en

39、able=yes/no /是否启用 chroot_list 文件 chroot_local_user=yes/no /是否限制本地用户登陆后的跟目录为自己的主目录。chroot_list_file=文件名 /设置 chrootlist 文件名 取值 取值 取值 取值 chroot_list_enayes yes no no VOCs 设备安全操作规程 19 ble=chroot_local_user=yes no yes no 意义 列 在文件中的用户登陆后跟目录为全局跟目录，文件以外的用户根目录为自己主目录。列 在文件中的用户登陆后跟目录为自己主目录，文件以外的用户根目录为全局跟目录。全 部

40、用户登陆后跟目录都是自己主目录。全 部用户登陆后跟目录都是全局跟目录。我们在配置文件中添加第一种情况的设置：chroot_list_enable=yes chroot_local_user=yes chroot_list_file=/etc/vsftpd/vsftpd.chroot_list 然后在/etc/vsftpd/vsftpd.chroot_list 文件中添加 andy 用户，查看效果：#ftp 127.0.0.1 Connected to 127.0.0.1.220(vsFTPd 2.0.3)530 Please login with USER and PASS.530 Pleas

41、e login with USER and PASS.KERBEROS_V4 rejected as an authentication type Name(127.0.0.1:root):andy 331 Please specify the password.Password:230 Login successful.Remote system type is UNIX.Using binary mode to transfer files.ftp pwd 257/home/andy VOCs 设备安全操作规程 20 ftp quit rootas1 vsftpd#ftp 127.0.0.

42、1 Connected to 127.0.0.1.220(vsFTPd 2.0.3)530 Please login with USER and PASS.530 Please login with USER and PASS.KERBEROS_V4 rejected as an authentication type Name(127.0.0.1:root):nini 331 Please specify the password.Password:230 Login successful.Remote system type is UNIX.Using binary mode to tra

43、nsfer files.ftp pwd 257/ftpquit 我们已经看到效果了，这样就可以对本地用户控制到位了。其他的本地用户配置行：local_root=路径 /本地用户登陆服务器直接登陆的目录 local_umask=umask 值 /本地用户上传档案权限的 umask值 local_max_rate=数字 /本地用户传输速率单位为 bps chmod_enable=yes/no /是否允许本地用户可以执行SITE和 CHMOD 命令来改变 ftp 服务上档案的权限 当我们想每个本地用户登陆后都直接登陆到自己的主目录下的一个目录，假设为 public_html 目录。那么就可以用 lo

44、cal_root 来实现。而且这个也结合了 www 服务的 apache 软件中设置的 userdir 模块了。用户上传文件的权限是有默认值的，本地用户上传文件的默认权限为600，目录为 700，如果想改变此默认设置，就得使用 local_umask 选项，我们可以有这个两个公式：默认建立文件的权限umask 值0666 默认建立目录的权限umask 值0777 也就是说我们把 local_umask=0022 加入到配置文件中去，那么本VOCs 设备安全操作规程 21 地用户再上传文件的默认权限就是 0644 了，默认建立目录的权限就是0755 了。我想这个功能还是非常有用的。关于速率的设置

45、，Vsftpd 的功能就不算太强大了。它只能限制本地与服务器之间的传输速率，包括了上传和下载。我们直接在local_max_rate 行后写如数字就可以限制速率了。这里的试验就不一一来做了，读者可以自己做一些相关试验取证一下。如果本地用户过多，我们还想让每个本地用户拥有自己的配置权限，或者想配置个别用户的权限。这样就得为每个本地用户配置一个配置文件。那么多配置文件虽然不能是同一个文件名，但是必须是在同一个目录下，所以我们可以设置本地用户单独配置文件所在目录的配置行：user_config_dir=目录 /用户单独配置文件所在目录 我们现在配置文件已经变成了这样了：listen=yes anon

46、ymous_enable=yes local_enable=yes pam_service_name=vsftpd write_enable=yes userlist_enable=yes userlist_deny=yes userlist_file=/etc/vsftpd/vsftpd.userlist chroot_list_enable=yes chroot_local_user=yes chroot_list_file=/etc/vsftpd/vsftpd.chroot_list download_enable=yes local_max_rate=20000 user_config

47、_dir=/etc/vsftpd/vsftpd_user_dir 我们设置了一个目录/etc/vsftpd/vsftpd_user_dir 作为所有用户的配置文件所在的目录。接下来我们必须在这个目录里面建立以不同用户名为名的配置文件，来做为每个用户的单独配置文件。#mkdir/etc/vsftpd/vsftpd_user_dir#cd/etc/vsftpd/vsftpd_user_dir/VOCs 设备安全操作规程 22#cat andy local_max_rate=50000 local_root=html !这样我们看一下，andy 再登陆服务器就可以得到 50kbps 的传输速率，而且

48、他会直接登陆到他主目录下的 html 目录。但是其他的用户依然得到是 20kbps 的传输速率。我们也可以在多建立每个用户配置文件，这样达到更好、更灵活的配置本地用户登陆 ftp 服务的权限。44 匿名用户的管理 本地用户的管理中我们看到使本地用户受限的语句不多。我们可以想一下，本地用户进入自己主目录本身就应该有一些比较大的权限，所以我们没有分的很细。但是匿名用户涉及到一个公开、公共的问题，所以限制匿名用户的权限语句就比较多了，我们先来看这一组：anon_upload_enable=yes/no /是否允许匿名用户上传 anon_mkdir_write_enable=yes/no /是否允许匿

49、名用户建立文件夹 anon_other_write_enable=yes/no /是否允许匿名用户可以建立文件夹 anon_world_readable_only=yes/no /是否允许匿名用户可以使用除了建立文件夹和上传以外其他的 ftp 写操作命令。例如：delete、rename 等等 我们把配置文件改成这样：listen=yes anonymous_enable=yes local_enable=yes pam_service_name=vsftpd write_enable=yes anon_upload_enable=yes anon_mkdir_write_enable=yes

50、 VOCs 设备安全操作规程 23 anon_other_write_enable=yes 这里我们想开启匿名用户一切的写的权限，但是我们想一下在这里我们只是在 ftp 服务里给予了匿名用户写的权限，但是在文件权限考虑上还得实现。那么匿名用户登陆之后是直接映射到本地的 ftp 用户，我们就得让匿名用户登陆的 ftp 目录对本地的 ftp 用户拥有一个写的权限。那么匿名用户的跟目录是/var/ftp/目录，那么我们是不是可以这样就可以了呢？#chmod 777/var/ftp/试验结果是我们可能是连登陆服务都登陆不了了，我们看：#chmod 777/var/ftp/#ftp 127.0.0.1