vsftpd 怎么设置允许匿名访问?

vsftpd服务程序中匿名开放是一种最不安全的验证模式，任何人都可以无需密码验证就登陆到FTP服务端主机，这种模式一般只用来保存不重要的公开文件，尤其是在生产环境中更要注意不放敏感文件，当然也非常推荐用咱们第八章中学习的防火墙管理工具（例如Tcp_wrappers）将vsftpd服务程序的允许访问主机范围设置为企业内网，这样还算能够保证基本的安全性。

vsftpd服务程序默认已经开启了匿名访问模式，咱们需要做的就是进一步允许匿名用户的上传、下载文件的权限，以及让匿名用户能够创建、删除、更名文件的权限，这些权限对于匿名用户来讲非常的危险，咱们只是为了练习Linux系统中vsftpd服务程序的配置能力，十分不推荐在生产环境中使用，匿名用户的权限参数及介绍：

参数    作用  

anonymous_enable=YES    允许匿名访问模式。  

anon_umask=022    匿名用户上传文件的umask值。  

anon_upload_enable=YES    允许匿名用户上传文件  

anon_mkdir_write_enable=YES    允许匿名用户创建目录  

anon_other_write_enable=YES    允许匿名用户修改目录名或删除目录  

[root@linuxprobe ~]# vim /etc/vsftpd/vsftpd.conf

anonymous_enable=YES

anon_umask=022

anon_upload_enable=YES

anon_mkdir_write_enable=YES

anon_other_write_enable=YES

local_enable=YES

write_enable=YES

local_umask=022

dirmessage_enable=YES

xferlog_enable=YES

connect_from_port_20=YES

xferlog_std_format=YES

listen=NO

listen_ipv6=YES

pam_service_name=vsftpd

userlist_enable=YES

tcp_wrappers=YES

确认参数填写正确后保存并退出vsftpd服务程序的主配置文件，还需要重启vsftpd服务程序来让新的配置服务参数生效，并且同学们在生产环境中或者红帽RHCSA、RHCE、RHCA认证考试中也请记得一定要把配置过的服务程序加入到开机启动项中，以保证下次服务器重启后依然能够为用户正常提供ftp文件传输服务：

[root@linuxprobe ~]# systemctl restart vsftpd

[root@linuxprobe ~]# systemctl enable vsftpd

ln -s '/usr/lib/systemd/system/vsftpd.service' '/etc/systemd/system/multi-user.target.wants/vsftpd.service

这样咱们就可以在客户端上面使用ftp命令连接到远程的FTP服务器上面了，FTP服务的匿名开放模式的帐号统一为anonymous，密码为空。匿名模式登陆到FTP服务器后默认所在位置为/var/ftp目录，咱们可以切换至里面的pub目录中，然后尝试创建一个新的目录文件来检验是否已经有了写入权限：

[root@linuxprobe ~]# ftp 192.168.10.10

Connected to 192.168.10.10 (192.168.10.10).

220 (vsFTPd 3.0.2)

Name (192.168.10.10:root): anonymous

331 Please specify the password.

Password:此处敲击回车即可

230 Login successful.

Remote system type is UNIX.

Using binary mode to transfer files.

ftp> cd pub

250 Directory successfully changed.

ftp> mkdir files

550 Permission denied.

刚刚咱们已经把iptables防火墙策略清空，而且也在vsftpd服务程序的主配置文件中添加了允许匿名用户创建目录和写入文件的权限，那么为什么还会被拒绝呢？建议同学们先不要往下面看，思考后用自己的方法尝试解决下这个问题，长期这样您的Linux系统排错能力就一定会练出来的。

回想起前面 *** 作的细节，咱们FTP服务的匿名开放模式是默认登陆到了/var/ftp目录中，查看下这个目录的权限后才发现原来只有root管理员用户才有写入权限的，怪不得会提示写入出错呢，咱们只需要把目录的所有者身份改成系统帐户ftp即可，这样就应该可以了吧~

[root@linuxprobe ~]# ls -ld /var/ftp/pub

drwxr-xr-x. 3 root root 16 Jul 13 14:38 /var/ftp/pub

[root@linuxprobe ~]# chown -Rf ftp /var/ftp/pub

[root@linuxprobe ~]# ls -ld /var/ftp/pub

drwxr-xr-x. 3 ftp root 16 Jul 13 14:38 /var/ftp/pub

[root@linuxprobe ~]# ftp 192.168.10.10

Connected to 192.168.10.10 (192.168.10.10).

220 (vsFTPd 3.0.2)

Name (192.168.10.10:root): anonymous

331 Please specify the password.

Password:此处敲击回车即可

230 Login successful.

Remote system type is UNIX.

Using binary mode to transfer files.

ftp> cd pub

250 Directory successfully changed.

ftp> mkdir files

550 Create directory operation failed.

又报错了!!此时再次使用ftp命令登入到FTP服务器主机后依然会提示写入 *** 作失败，但细心的同学一定发现报错信息已经产生了变化，在刚刚没有写入权限的时候提示说权限拒绝（Permission denied.）所以咱们怀疑是权限的问题，但现在是提示创建目录的 *** 作失败（Create directory operation failed.）那么咱们同学应该也能马上意识到是SELinux服务在限制这个 *** 作了吧，查看下所有与ftp相关的SELinux域策略有那些吧：

[root@linuxprobe ~]# getsebool -a | grep ftp

ftp_home_dir --> off

ftpd_anon_write --> off

ftpd_connect_all_unreserved --> off

ftpd_connect_db --> off

ftpd_full_access --> off

ftpd_use_cifs --> off

ftpd_use_fusefs --> off

ftpd_use_nfs --> off

ftpd_use_passive_mode --> off

httpd_can_connect_ftp --> off

httpd_enable_ftp_server --> off

sftpd_anon_write --> off

sftpd_enable_homedirs --> off

sftpd_full_access --> off

sftpd_write_ssh_home --> off

tftp_anon_write --> off

tftp_home_dir --> off

根据策略的名称和经验可以猜测出是哪一条规则策略，咱们在设置的时候请记得使用-P参数来让配置过的策略永久生效，保证在服务器重启后依然能够顺利写入文件，咱们可以分别尝试下创建目录文件、对文件进行改名以及删除目录文件等等 *** 作。最后，恭喜同学们完成了这个实验课程，建议您在进行一次实验课程前还原虚拟机到最初始的状态，以免多个配置参数之间产生冲突。

[root@linuxprobe ~]# setsebool -P ftpd_full_access=on

[root@linuxprobe ~]# ftp 192.168.10.10

Connected to 192.168.10.10 (192.168.10.10).

220 (vsFTPd 3.0.2)

Name (192.168.10.10:root): anonymous

331 Please specify the password.

Password:此处敲击回车即可

230 Login successful.

Remote system type is UNIX.

Using binary mode to transfer files.

ftp> cd pub

250 Directory successfully changed.

ftp> mkdir files

257 "/pub/files" created

ftp> rename files database

350 Ready for RNTO.

250 Rename successful.

ftp> rmdir database

250 Remove directory operation successful.

ftp> exit

221 Goodbye.

看了还不会的话 就回去看下原文吧《Linux就该这么学》第11章节~

第一步:下载vsftpd的RPM包

你可以从下面两个地方获得最新的vsftpd的RPM包 Redhat's rpm collection 或者 rpmfind.net.为了你的方便, 你也可以使用wget从本站下载vsftpd的rpm包到你的本地电脑.

复制代码代码如下:

wget http://www.vsftpdrocks.org/vsftpd-1.1.3-8.i386.rpm

一但有了vsftpd的RPM包,你就可以安装它

rpm -Uvh vsftpd-1.1.3-8.i386.rpm

就这样. Vsftpd现在正式安装.

第二步:启动并在"standalone"模式下进行测试

复制代码代码如下:

vi /etc/vsftpd/vsftpd.conf

添加下面一行, 或者查看文件确定存在下面一行:

复制代码代码如下:

listen=YES

保存并退出.

现在来启动vsftpd...

复制代码代码如下:

/usr/sbin/vsftpd &

现在来用ftp命令至你的服务器. 你可以看到如下面这下样的成功登陆后的会话信息:

复制代码代码如下:

[root@somehost]ftp localhost

Connected to localhost.localdomain.

220 (vsFTPd 1.2.1)

Name (localhost:admin): bobsmith (很明显,你必须使用在你的服务器上的有效用户)

331 Please specify the password.

Password:

230 Login successful.

Remote system type is UNIX.

Using binary mode to transfer files.

ftp>ls

150 Here comes the directory listing.

-rw-r--r-- 1 1001 1001 25372 Jan 17 18:50 somefile.tar.gz

drwx------ 2 1001 1001 512 Jan 16 19:16 index.htm

226 Directory send OK.

ftp>quit

221 Goodbye.

[root@somehost]

如果你准备就绪的话,就可以看到类似于上面的返回信息 ! 如果你想让你的FTP服务器运行在 inetd或xinetd上, 那么你就需要继续进行下面的测试. 我个人推荐将FTP服务器运行在 inetd或xinetd上.

第三步:为inetd/xinetd *** 作进行配置

要在inetd或xinetd配置vsftpd,要进行下面的 *** 作:

首先,来编辑/etc/vsftpd.conf,并告诉它vsftpd没有运行在"standalone"模式:

复制代码代码如下:

vi /etc/vsftpd/vsftpd.conf

确认下行的存在并将其设置为 "NO":

复制代码代码如下:

listen=NO

如果你在运行inetd,进行下面的 *** 作:

复制代码代码如下:

vi /etc/inetd.conf

如果文件有包含任何“ftp"行的存在, 请注释或删除掉它们，并添加入下面一行:

复制代码代码如下:

ftp stream tcp nowait root /usr/local/sbin/vsftpd vsftpd

保存并退出.

现在重启inetd:

复制代码代码如下:

/etc/rc.d/init.d/inetd restart

如果你的xinetd正在运行，进行下面的 *** 作:

Redhat用户:

复制代码代码如下:

vi /etc/xinetd.d/vsftpd

# default: off

# description: The vsftpd FTP server serves FTP connections. It uses \

# normal, unencrypted usernames and passwords for authentication.

service ftp

{

disable = no

socket_type = stream

wait = no

user = root

server = /usr/sbin/vsftpd

nice = 10

}

保存并退出.

现在停止并重启xinetd...

复制代码代码如下:

/etc/rc.d/init.d/xinetd restart

现在来测试inetd/xinetd ftp服务器:

复制代码代码如下:

[root@somehost]ftp localhost

Connected to localhost.localdomain.

220 (vsFTPd 1.2.1)

Name (localhost:admin): bobsmith (很明显,你必须使用在你的服务器上的有效用户)

331 Please specify the password.

Password:

230 Login successful.

Remote system type is UNIX.

Using binary mode to transfer files.

ftp>ls

150 Here comes the directory listing.

-rw-r--r-- 1 1001 1001 25372 Jan 17 18:50 somefile.tar.gz

drwx------ 2 1001 1001 512 Jan 16 19:16 index.htm

226 Directory send OK.

ftp>quit

221 Goodbye.

[root@somehost]

如果你准备就绪的话,就可以看到类似于上面的返回信息 ! 恭喜,你的FTP服务器已经正常运行! 在接下来的步骤, 我们将调整vsftpd的配置让其拥有最好的性能.

第四步:vsftpd主配置文件

vsftpd主要配置应该是在:/etc/vsftpd.conf. 这个文件将决定如何对你的vsftpd FTP服务器进行 *** 作. 你必须在vsftpd.conf中查找是否包含下面的配置选项。我虽然不能讲诉所有的选面，但是列表中列出来了vsftpd配置的重要部分 :

anonymous_enable=NO/YES

这个开关用于开启FTP的匿名访问. 如果将该选项打开，那么请按照第三步的方法进行匿名匿名服务的配置. 如果你不清楚什么是匿名FTP服务，最好把该选项选项设置为“ON”

local_enable=NO/YES

启用或禁用这个选项,可以使本地系统用户FTP至你的服务器. 典型的FTP服务器会将其设置为"YES". 我认为只有一种可以选"NO",

write_enable=NO/YES

启用或禁用FTP的写入功能.你必须将其设置为"YES" .

local_umask=022 (或者根据你的需要设置)

vsftpd默认的umask为:077. 它决定目录和文件被创建时得到的初始权限

xferlog_enable=YES

这个选项是启用或禁用服务器的上传&下载日志记录.

ftpd_banner=Welcome to blah FTP service

没有任何形式来界定该选项, 但它可以为你的FTP服务器定制一个更加友好的问候.

chroot_list_enable=NO/YES

chroot_list_file=/etc/vsftpd.chroot_list

这是一个对于开启了"chroot"选项相当重要的功能. 当 "chroot_list_enable" 设置为"YES"时, vsftpd会寻找在 "chroot_list_file"指定的下一行位置. 被列出在"/etc/vsftpd.chroot_list" 文件中的任何用户,会自动的"chrooted"至他们的主目录. 这将禁止用户进入除了他或她们用户主目录之外的任何位置. 非常适用于共享的FTP环境或者安全与保密性一般的层面.

userlist_enable=NO/YES

userlist_deny=NO/YES

"userlist_enable"选项是用于控制下面两个文件中其中的一个: vsftpd.ftpusers和 vsftpd.user_list.如果这个选项设置为 "YES", 这两个文件将列出用户名单将允许访问FTP服务. 不管怎样,当额外加上"userlist_deny=YES"时,这两个文件将列出用户名单将不允许访问FTP服务.这个选项是一个非常有用的彻底拒绝通过ftp获取关键系统用户的功能.比如"root"或"apche"或"www"这样的用户. 对于你的FTP服务器的安全是一个非常好的用途.

第五步: vsftpd.ftpusers, vsftpd.user_list 配置文件

这两个文件直接与/etc/vsftpd.conf配置文件中的""userlist_enable" 和"userlist_deny"选项关联.当"userlist_enable"选项设置为 "YES"时, 这两个文件列表中的用户将允许访问FTP服务器. 不管怎样, 当额外加上"userlist_deny=YES"选项时,这两个文件列表中的用户将不允许访问FTP服务器. 当"userlist_deny"选项被使用时,决定一个有户是否被FTP服务拒绝,主要取决于它存在于上述两个文件中的其中的哪一个.

如果一个用户同时存在于"vsftpd.user_list"与"userlist_deny",当用户试图连接FTP服务器时,它们在开始请求FTP连接时 得不到密码提示并会被拒绝.

如果一个用户同时存在于"vsftpd.user_list"与"userlist_deny", 用户必须登陆后更改这一密码提示.

就个人而言, 我更喜欢使用 "vsftpd.user_list"来建立用户列表(root, apache, www, nobody等等.) 如果有谁从未见到密码提示,那么他应该进行FTP的初始化连接.

第六步: vsftpd.chroot_list 配置文件

"vsfrtpd.chroot_list", 当启用"chroot_list_enable"选项时, 为FTP建立的用户列表文件,不管是谁,都必须被 "chrooted"至主FTP目录. 那些用户不能改变路径到其它用户目录.在保密性较强的公共FTP环境中,这是一个非常不错的功能.

在任何时间你都可以改变你的配置文件, 并确认后重启vsftpd!

anon_upload_enable

anon_mkdir_write_enable

anon_world_readable_only=NO 放开匿名用户对整个服务器的浏览权限。

⑴　修改vsftpd 的主配置文件/etc/vsftpd.conf

# vi /etc/vsftpd.conf

⑵　将如下两行前的#删除

#anon_upload_enable=YES 允许匿名用户上传

#anon_mkdir_write_enable=YES 开启匿名用户的写和创建目录的权限

若要以上两项设置生效，同时还要求：

write_enable=YES

⑶　匿名用户对文件系统的上传目录具有写权限，添加如下的配置语句

anon_world_readable_only=NO

上面的配置语句用于放开匿名用户的浏览权限

修改后存盘退出vi

⑷　创建匿名上传目录

# mkdir 　/var/ftp/incoming

⑸　修改上传目录的权限

# chmod 　o+w 　/var/ftp/incoming/

⑹　重新启动vsftpd

# service vsftpd restart

⑴　匿名用户对/var/ftp/incoming 目录而言是其他用户，所以必须为此目录添加对其他用户的可写权限才可上传，即此目录权限的数字表示是707。

⑵　只有设置anon_world_readable_only=NO 后，才能开放匿名用户的读权限，即：浏览此服务器中全部的内容。

⑶　若想匿名用户能够进行续传文件还应使用anon_other_write_enable=YES配置，并随时对FTP站点进行维护，即：将incoming目录中有用的文件移向pub目录。

---