用户账户控制命令行和脚本设置安全用户账户匿名FTP
ftp用户及权限的设置命令
1、环境:ftp为vsftp。被限制用户名为test。被限制路径为/home/test
2、建用户:在root用户下:
useradd -d /home/test test //增加用户test,并制定test用户的主目录为/home/test
4、限制用户只能访问/home/test,不能访问其他路径
修改/etc/vsftpd/vsftpd.conf如下:
chroot_list_enable=YES //限制访问自身目录
# (default follows)
chroot_list_file=/etc/vsftpd/vsftpd.chroot_list
passwd test //为来自est设置密码 3、更改用户相应的权限设置:
usermod -s /sbin/nologin test //限定用户test不能telnet,只能ftp
usermod -s /sbin/bash test //用户test恢复正常
usermod -d /test test //更改用户test的主目录为/test
编辑 vsftpd.chroot_list文件,将受限制的用户添加进去,每个用户名一行
改完配置文件,不要忘记重启vsFTPd服务器
[root@linuxsir001 root]# /etc/init.d/vsftpd restart
5、如果需要允许用户修改密码,但是又没有telnet登录系统的权限:
usermod -s /usr/bin/passwd test //用户telnet后将直接进入改密界面
FTP服务器配置与管理
FTP服务器配置与管理第一步是安装FTP服务器软件。
在市面上有很多不同的FTP服务器软件可供选择,比如FileZilla Server、ProFTPD和Microsoft FTPServer等。
选择适合自己需求的软件,并按照它的安装指南进行安装。
安装完成后,接下来是进行服务器的配置。
配置内容包括但不限于以下几个方面:1.端口设置:FTP服务器默认使用的是端口号21、可以选择保持这一默认设置,也可以根据需要选择其他端口号。
2.用户账户管理:配置FTP用户账户,可以通过创建用户名和密码来限制用户的访问权限。
可以根据需要设置多个账户,并为每个账户设置不同的权限,以保证服务器的安全性。
3.目录权限设置:为FTP用户设置访问的根目录和子目录的读写权限。
可以根据需要设置不同的目录权限,以便不同用户访问不同的文件和文件夹。
4.匿名访问设置:FTP服务器还可以支持匿名访问,即允许用户无需输入用户名和密码,直接访问服务器。
可以根据需要启用或禁用匿名访问,并设定匿名用户的权限。
5.传输模式设置:FTP服务器支持主动、被动和混合三种传输模式。
可以根据网络环境和安全需求选择合适的传输模式。
6.网络防火墙设置:为了保证FTP服务器的安全性,需要设置防火墙以限制外部访问。
可以通过添加入站和出站规则来控制FTP服务器的访问权限。
在服务器运行过程中,可能会遇到一些问题,如网络连接异常、用户访问权限不足等。
为了管理FTP服务器,可以采用以下几种途径:1.监控日志文件:FTP服务器会记录用户的登录和访问情况。
可以通过查看服务器的日志文件来了解用户的活动情况,并及时发现异常事件。
2.定期备份文件:定期备份服务器上的文件,以防止数据丢失。
可以使用备份软件或脚本,自动将服务器上的文件复制到其他存储设备上。
3.更新和升级软件:定期检查FTP服务器软件的更新和升级版本。
新版本通常会修复一些已知的漏洞和安全问题,以提高服务器的稳定性和安全性。
ftp匿名用户模式,本地用户模式,匿名用户模式
ftp匿名⽤户模式,本地⽤户模式,匿名⽤户模式ftp简介⽹络⽂件共享服务主流的主要有三种,分别是ftp、nfs、samba。
FTP是File Transfer Protocol(⽂件传输协议)的简称,⽤于internet上的控制⽂件的双向传输。
FTP也是⼀个应⽤程序,基于不同的操作系统有不同的FTP应⽤程序,⽽所有这些应⽤程序都遵守同⼀种协议以传输⽂件。
在FTP的使⽤当中,⽤户经常遇到两种概念:下载和上传下载(Download)上传(Upload)从远程主机拷贝⽂件⾄⾃⼰的计算机上将⽂件从⾃⼰的计算机上拷贝⾄远程主机上FTP协议占⽤两个端⼝号:21端⼝:命令控制,⽤于接收客户端执⾏的FTP命令。
20端⼝:数据传输,⽤于上传、下载⽂件数据。
ftp的⽤户主要有三种:虚拟⽤户:创建独⽴的FTP资料系统⽤户:可以登录系统的真实⽤户匿名⽤户:任何⼈⽆需验证既可登录ftp服务端ftp架构FTP⼯作于应⽤层,监听于tcp的21号端⼝,是⼀种C/S架构的应⽤程序。
其有多种客户端和服务端的应⽤程序,下⾯来简单介绍⼀下客户端⼯具服务端软件ftplftp,lftpgetwget,curlfilezillagftp(Linux GUI)商业软件(flashfxp,cuteftp)wu-ftpdproftpd(提供web接⼝的⼀种ftp服务端程序)pureftpvsftpd(Very Secure)ServU(windows平台的⼀种强⼤ftp服务端程序)ftp数据连接模式tp有2种数据连接模式:命令连接和数据连接命令连接:是指⽂件管理类命令,始终在线的持久性连接,直到⽤户退出登录为⽌数据连接:是指数据传输,按需创建及关闭的连接其中数据连接需要关注的有2点,⼀是数据传输格式,⼆是数据传输模式数据传输格式有以下两种:⽂件传输⼆进制传输数据传输模式也有2种:主动模式:由服务器端创建数据连接被动模式:由客户端创建数据连接两种数据传输模式的建⽴过程:传输模式建⽴过程主动模式命令连接:Client(1025)--> Server(21)客户端以⼀个随机端⼝(⼤于1023)来连服务器端的21号端⼝数据连接:Server(20/tcp) --> Client(1025+1)服务器端以⾃⼰的20号端⼝去连客户端创建命令连接时使⽤的随机端⼝+1的端⼝号被动模式命令连接:Client(1110) --> Server(21)客户端以⼀个随机端⼝来连成服务器端的21号端⼝数据连接:Client(1110+1) --> Server(随机端⼝)客户端以创建命令连接的端⼝+1的端⼝号去连服务器端通过命令连接告知⾃⼰的⼀个随机端⼝号来创建数据连接主动模式有个弊端,因为客户端的端⼝是随机的,客户端如果开了防⽕墙,则服务器端去连客户端创建数据连接时可能会被拒绝. vsftpd常见的配置参数:参数作⽤anonymous_enable=YES启⽤匿名⽤户登录anon_upload_enable=YES允许匿名⽤户上传anon_mkdir_write_enable=YES允许匿名⽤户创建⽬录,但是不能删除anon_other_write_enable=YES允许匿名⽤户创建和删除⽬录local_enable=YES启⽤本地⽤户登录write_enable=YES允许本地⽤户有写权限local_umask=022通过ftp上传⽂件的默认遮罩码chroot_local_user=YES禁锢所有的ftp本地⽤户于其家⽬录中chroot_list_enable=YES开启禁锢⽂件列表需要与chroot_list_file参数⼀起使⽤chroot_list_file=/etc/vsftpd/chroot_list指定禁锢列表⽂件路径在此⽂件⾥⾯的⽤户将被禁锢在其家⽬录中allow_writeable_chroot=YES允许被禁锢的⽤户家⽬录有写权限xferlog_enable=YES是否启⽤传输⽇志,记录ftp传输过程xferlog_std_format=YES传输⽇志是否使⽤标准格式xferlog_file=/var/log/xferlog指定传输⽇志存储的位置chown_uploads=YES是否启⽤改变上传⽂件属主的功能chown_username=whoever指定要将上传的⽂件的属主改为哪个⽤户此⽤户必须在系统中存在pam_service_name=vsftpd指定vsftpd使⽤/etc/pam.d下的哪个pam配置⽂件进⾏⽤户认证userlist_enable=YES是否启⽤控制⽤户登录的列表⽂件:默认为/etc/vsftpd/user_list⽂件userlist_deny=YES是否拒绝userlist指定的列表⽂件中存在的⽤户登录ftp max_clients=#最⼤并发连接数max_per_ip=#每个IP可同时发起的并发请求数anon_max_rate匿名⽤户的最⼤传输速率,单位是“字节/秒”local_max_rate本地⽤户的最⼤传输速率,单位是“字节/秒”dirmessage_enable=YES 启⽤某⽬录下的.message描述信息假定有⼀个⽬录为/upload,在其下创建⼀个⽂件名为.message,在⽂件内写⼊⼀些描述信息,则当⽤户切换⾄/upload⽬录下时会⾃动显⽰.message⽂件中的内容message_file设置访问⼀个⽬录时获得的⽬录信息⽂件的⽂件名,默认是.messageidle_session_timeout=600设置默认的断开不活跃session的时间data_connection_timeout=120设置数据传输超时时间ftpd_banner="Welcome to chenlf FTP service."定制欢迎信息,登录ftp时⾃动显⽰参数作⽤这⾥使⽤两台RHEL8系统的主机作为实验,提前关闭防⽕墙和selinux主机名称操作系统IPFTP服务端RHEL8192.168.248.134FTP客户端RHEL8192.168.248.156服务端安装vsftp[root@localhost ~]# yum -y install vsftpdvsftpd配置vsftpd配置/etc/pam.d/vsftpd #vsftpd⽤户认证配置⽂件/etc/vsftpd/ #配置⽂件⽬录/etc/vsftpd/vsftpd.conf #主配置⽂件#匿名⽤户(映射为ftp⽤户)的共享资源位置是/var/ftp#系统⽤户通过ftp访问的资源位置为⽤户的家⽬录#虚拟⽤户通过ftp访问的资源位置为给虚拟⽤户指定的映射成为的系统⽤户的家⽬录先备份vsftpd主配置⽂件[root@localhost ~]# cp /etc/vsftpd/vsftpd.conf{,.bak}过滤以#号开开头的⾏,将结果写⼊vsftpd.conf中[root@localhost ~]# grep -v "^#" /etc/vsftpd/vsftpd.conf.bak > /etc/vsftpd/vsftpd.conf[root@localhost ~]# cat /etc/vsftpd/vsftpd.confanonymous_enable=NO #是否允许匿名访问local_enable=YES #是否允许本地⽤户登录write_enable=YES #本地⽤户有写权限local_umask=022 #本地⽤户上传的umask值dirmessage_enable=YES #启⽤某⽬录下的.message描述信息,假定有⼀个⽬录为/upload,在其下创建⼀个⽂件名为.message,在⽂件内写⼊⼀些描述信息,则当⽤户切换⾄/upload⽬录下时会⾃动显⽰.message⽂件中的内容。
FTP用户权限的限制配置方法
FTP用户权限的限制配置方法这篇是关于ftp的文档,其作用是在ftp中创建用户时,对其权限进行限定。
使创建的用户只能在指定文件夹下上传文件和下载文件,这样可以加强ftp的安全性。
具体操作步骤如下:<1> 创建用于ftp的帐户:#mkdir /home/ftp #创建ftp根目录#useradd -d /home/ftp -s /sbin/nologin ftpuser #创建用户(注意家目录和非登陆) #passwd ftpuser #设置用户密码#chown -R ftpuser /home/ftp#chmod 755 -R /home/ftp #改变ftp根目录属主和权限#echo "ftpuser" >> /etc/vsftpd/user_list #把ftpuser加入到允许访问的队伍#chgrp ftpuser /home/ftp---------------------------------------------------------------------------------------<2> 在/etc/vsftpd/vsftpd.conf文件夹下,对FTP的权限进行修改和限制。
具体操作如下:#vi /etc/vsftpd/vsftpd.confanonymous_enable=NO #禁止匿名访问local_enable=YES #允许本地帐户访问write_enable=YES #允许写入(上传)local_umask=022dirmessage_enable=YES #允许弹出目录信息xferlog_enable=YESconnect_from_port_20=YESuserlist_enable=YESuserlist_deny=NOuserlist_file=/etc/vsftpd/user_list #只有写入vsftpd/user_list内的帐户允许访问use_localtime=YES #使用本地时间pam_service_name=vsftpd #认证文件名(默认为此值)listen=YES #开启侦听tcp_wrappers=YES #开启tcp访问控制项chroot_local_user=YESchroot_list_enable=YESchroot_list_file=/etc/vsftpd/chroot_list #只有写入vsftpd.chroot_list的帐户不被chroot# vsftpd.chroot_list需要手动建立---------------------------------------------------------------------------------------1、以上配置修改好后,那么用户ftpuser将只能访问/home/ftp下面的东西,可以下载和上传,并能进入子文件夹下,却不能向上访问。
操作系统安全:FTP安全配置
FTP安全配置
7、删除默认用户,添加新用户
单击“高级”按钮,进入此文件夹的“高级安全设置”,删除默认用户后,我们添加ftp2用户。 权限根据自己的实际情况进行分配
FTP安全配置
8、给新创建的用户设置权限
按情况来给所创建的用户权限
FTP安全配置
2、创建ftp账户
多用户隔离下面设置用户隔离的ftp,并对其ftp进行权限设置。我们先创建一个ftp账户。 这么做的目的是降低我们的ftp用户的权限来保障安全。
FTP安全配置
2、创建ftp账户
右键单击 “我的电脑”,选择“管理”,展开“本地用户和组”,选择“用户”。可以打开用户 帐户管理。右键单击“账户”,选择“新用户”,我们创建一个新的ftp账户,这里注意,不要设置弱 口令,最好设置包含大小写字母+特殊符号+数字,并且不低于10位数最好。
FTP安全配置
3、删除Users
创建好用户后,我们右键单击ftp2用户,选择“属性”,切换到“隶属于”选项,我们这里 把Users删除
FTP安全配置
4、选择用户
点击添加,在弹出来的对话框中选择“高级”,在点击右边的立即查找,在出现的用户组中 选择IIS_WPG组,点击确定。
FTP安全配置
5、创建ftp文件夹
FTP安全配置
FTP安全配置
1、设置不允许匿名访问
在FTP服务器搭建完成后设置不允许匿名访问在开始菜单->所有程序->管理工具中,选择 Internet 信息服务(IIS)管理器(图1),打开 Inter许匿名访问
接下来展开找到我们已经建立好的ftp站点,右键“ftp站点”(我这里是默认ftp站点), 选择 “属性”,切换到“安全账户”,这里会看到“允许匿名连接”是选中状态,我们把“允 许匿名连接” 的复选框去掉
匿名ftp
drwxr-xr-x 7 root bin 512 Apr 5 15:17 ./
drwxr-xr-x 25 root bin 512 Jul 13 11:30 ../
这里制作的/etc/passwd拷贝应包含root和ftp的条目,这两者的口令域均包括了一个星号( *)。同时,这里还可包括那些负责维护匿名 FTP文件的所有用户的条目。这虽然不是必需的,但在列举目录内容时可使用户根据拥有者名(而不是根据 UID)来显示文件权限。在这些条目中,你同样应该用星号替换加密后的口令。
drwxr-xr-x 2 root bin 512 Aug 28 15:43 bin/
drwxr-xr-x 2 root bin 512 Jun 22 16:23 etc/
drwxr-xr-x 10 root bin 512 Jan 14 10:54 pub/
5. 现在必须复制口令文件和组文件的一个“假”备份,并把它放在~ftp/etc(FTP匿名登录后根下的目录)目录。虽然进行权限检查时并不需要使用这些文件,但如果希望用 ls命令列举目录内容时能够显示拥有者信息和组信息,那么这些文件将是必需的。应切记不要把系统的实际口令和组文件拷贝到这儿,否则非法入侵者可能由此而访问到你系统的口令信息。
如果看到上面的提示信息,就意味着配置好了inetd,匿名FTP应该算完全就绪了。
8. 直接ftp yourhost试一试,用ftp用户登录,应该是不需要什么口令就可以的了。
对于这里复制的/etc/group文件,其中只能包括在 FTP档案中出现的组的条目。 比如,上面提到的 bin组就应该包括在这儿。对于各组所对应的条目,应当删除组的成员信息,并确保在加密的口令宇段显示的是一个星号( *)
FTP服务器的安全性设置
FTP服务器的安全性设置FTP服务器的安全性设置1、简介Transfer Protocol)是一种用于在网络中传输文件的协议。
FTP服务器的安全性设置是保护服务器和传输数据的重要措施。
本文档将详细介绍FTP服务器的安全性设置,包括以下章节:2、物理安全2.1、服务器位置:将FTP服务器放置在安全的物理位置,如受限的机房或锁定的服务器机柜。
2.2、限制访问:只允许授权人员进入服务器房间,并确保监控和记录物理访问。
3、网络安全3.1、防火墙设置:通过配置防火墙限制FTP服务器的访问。
只允许特定IP地质或IP地质范围访问FTP服务器。
3.2、网络监控:安装网络流量监控软件,实时监测FTP服务器的网络活动,及时发现异常行为。
3.3、加密传输:使用SSL/TLS协议对FTP服务器进行加密传输以保护数据的机密性。
3.4、禁用匿名访问:禁止未经身份验证的用户访问FTP服务器,仅允许注册用户进行登录。
4、认证与授权4.1、强密码策略:制定合适的密码策略,要求用户使用复杂的密码,并定期更改密码。
4.2、双因素认证:推荐使用双因素认证方式,如使用令牌、短信验证码等。
4.3、账户锁定:设定账户登录尝试失败次数并锁定账户一段时间,以防止暴力。
4.4、用户权限管理:根据用户角色和职责,授权不同的文件和目录访问权限。
5、日志与监测5.1、访问日志:启用FTP服务器的访问日志,记录用户的登录、操作和文件传输等活动。
5.2、安全事件监测:使用入侵检测系统(IDS)或入侵防御系统(IPS)实时监测FTP服务器的安全事件。
5.3、定期审计:定期审计FTP服务器的安全设置和日志,发现潜在安全风险并进行修复。
6、更新与备份6.1、系统更新:及时安装FTP服务器的安全更新和补丁,以修复已知漏洞。
6.2、数据备份:定期备份FTP服务器上的数据,确保在数据丢失或损坏时能够恢复重要文件。
7、附件本文档涉及以下附件:- FTP服务器的配置文件示例(示例文件路径:)8、法律名词及注释- SSL(Secure Socket Layer):一种加密传输协议,用于确保数据在客户端和服务器之间的安全传输。
Win7系统下搭建匿名FTP
Win7系统下搭建匿名FTP
1、到控制面板---程序---打开或关闭windows功能,列表内找到Internet信息服务(展开)---选中FTP的三个项
2、到控制面板---系统和安全---管理工具---Internet 信息服务(IIS)管理器---右键点你计算机名称那里,选择添加FTP站点
3、FTP站点名称输入:"localhost"---选择你的FTP目录物理路径,点下一步---Ip地址选“自己的IP”,端口可以自己设,勾上“自动FTP站点”,SSL选“允许”
点下一步---身份验证选“匿名”,允许访问选“匿名用户”,权限勾“读取”或“写入”,点完成。
4、到控制面板---系统和安全---允许程序通过防火墙---钩上FTP及后面两个框框。
现在在WIN7系统下通过自带的IIS搭建的匿名FIP就已成功,我们可以通过输入FTP的地址来进行数据的上传与下载。
格式:ftp://IP地址在“计算机”浏览器里面输入
如:ftp://192.168.4.102。