ftp 匿名访问设置
 
为了让ftp可以匿名访问，需要设置/etc/vsftp.conf 的 anonymous_enable=YES。
 
当然仅仅是这样，还是不可以的，会出现错误：
 
vsftpd: refusing to run with writable root inside chroot()
 
这是因为，为了避免一个安全漏洞，从 vsftpd 2.3.5 开始，chroot 目录必须不可写。使用命令：
 
　　# chmod a-w /home/ftp
 
分类: linux

 
文章目录
 
1.FTP(文件传输协议)概述
2.FTP工作模式
2.1 主动模式port
2.2 被动模式pasv
  
3.FTP传输模式
3.1 ASCⅢ传输模式
3.2 二进制传输模式
  
4.匿名访问的FTP服务
4.1 准备匿名FTP访问的目录
4.2 开放匿名用户配置并启动服务
4.3 开放pam认证并查看
4.4 创建文件并测试
 

 
1.FTP(文件传输协议)概述
 
FTP（File Transfer Protocol）即文件传输协议，是一种基于TCP的协议，采用客户/服务器模式。
通过FTP协议，用户可以在FTP服务器中进行文件的上传或下载等操作。虽然现在通过HTTP协议下载的站点有很多，但是由于FTP协议可以很好地控制用户数量和宽带的分配，快速方便地上传、下载文件，因此FTP已成为网络中文件上传和下载的首选服务器。
同时，它也是一个应用程序，用户可以通过它把自己的计算机与世界各地所有运行FTP协议的服务器相连，访问服务器上的大量程序和信息。FTP服务的功能是实现完整文件的异地传输。
 
2.FTP工作模式
 
分为两种模式：主动模式port、被动模式pasv
 
2.1 主动模式port
 
在主动模式下，FTP客户端首先与FTP服务器的TP21端口建立连接，通过这个通道发送命令，客户端需要接收数据的时候在这个通道上发送Pot命令。
Port命令包含了客户端用什么端口接收数据。在传送数据的时候，服务器端通过其TCP20端口连接到客户端的指定端口发送数据。FTP服务器必须与客户端建立一个新的连接用来传送数据。
 
2.2 被动模式pasv
 
在被动模式下，建立控制通道时与主动模式类似，但建立连接后发送的不是Port命令，而是Pasv命令。
FTP服务器收到Pas命令后，随机打开一个高端端口(端口号大于1024)并且通知客户端在这个端口上传送数据的请求，客户端连接FTP服务器上的这个端口，然后FTP服务器将通过这个端口传送数据。在这种情况下，FTP服务器不再需要与客户端建立一个新的连接。
 
3.FTP传输模式
 
3.1 ASCⅢ传输模式
 
假定正在传输的文件包含简单的ASCI码文本，当文件传输时FTP通常会自动地调整文件的内容，以便将文件存储为另外一台计算机上的ASCI码文本文件。
 
3.2 二进制传输模式
 
在二进制传输中，保存的是文件的二进制位序，以便源文件与目标文件逐位一一对应，从而保证二进制文件的正确传输。
如果在ASCI方式下传输二进制文件，则系统会自动将二进制数据转译为ASCI信息。这样不仅会使传输速度变慢，还会损坏数据，从而使文件变得无法使用。所以一般在使用FTP传输文件时，通常建议使用二进制传输模式。
 
4.匿名访问的FTP服务
 
访问匿名服务FTP服务器时，不需要密码验证，任何人都可以使用，非常方便。当需要提供公开访问的文件下载资源，或者让用户上传一些不需要保密的数据资料时，可以选择搭建匿名FTP服务。
 
4.1 准备匿名FTP访问的目录
 
FTP匿名用户对应的系统用户为ftp，其宿主目录/var/ftp/，也就是匿名访问vsftp服务时所在的FTP根目录。基于安全性的考虑，FTP根目录的权限不允许匿名用户或其他用户有写入权限，故需要创建有一个用于下载的测试文件（为了后续测试），例如：
 
[root@server1 ~]# tar zxvf /var/ftp/vsftpconf.tar.gz /etc/vsftpd/
 
/var/ftp/目录下默认设置了一个pub的子文件夹，可以在匿名访问FTP时供上传文件使用。
 
4.2 开放匿名用户配置并启动服务
 
[root@server1 ~]# vi /etc/vsftpd/vsftpd.conf    //编辑配置文件
anon_umask=022                  //设置匿名账户的权限为755            
anon_other_write_enable=YES      //允许匿名账户其它写权限
local_enable=NO                  //允许本地账户登录
local_umask=022                 //本地账户的权限为755 
anon_upload_enable=YES          //允许匿名账户上传
anon_mkdir_write_enable=YES     //允许匿名账户新建文件或目录
listen=YES                      //监听IPv4地址的请求
listen_ipv6=NO                  //监听IPv地址的请求
 
[root@server1 ~]# systemctl start vsftpd        //服务启动                         
[root@server1 ~]# grep -v "#" /etc/vsftpd/vsftpd.conf | grep -v "^$"   
 
检索确认配置：
 
 
4.3 开放pam认证并查看
 
[root@server1 ~]# pam_service_name=vsftpd     //开启pam认证
[root@server1 ~]# userlist_enable=YES         //开启用户列表
[root@server1 ~]# cd /etc/pam.d/
[root@server1 pam.d]# ls -lh
[root@server1 pam.d]# vi vsftpd
 
 
4.4 创建文件并测试
 
[root@server1 pam.d]# cd /var/ftp/pub    
[root@server1 pub]# echo "hello" > aq.txt       	'//创建文件aq.txt ,内容是"hello"'
[root@server1 pub]# echo "nice" > bq.txt			'//创建文件bq.txt ,内容是"nice"'
[root@server1 pub]# chmod -R 755 /var/ftp/pub   	'//设置文件或目录的权限'
[root@server1 pub]# chown -R ftp.ftp /var/ftp/pub 	'//设置文件或目录的归属'
[root@server1 pub]# ls -lh
 
选择客户机，并关闭防火墙：
 
[root@client1 ~]# systemctl status firewalld
[root@client1 ~]# setenforce 0
 
安装FTP服务并登录服务器地址：
 
 
[root@client1 ~]# ftp 20.0.0.100    '//进入ftp服务器地址'
Name (20.0.0.100:root): ftp
230 Login successful.            '//登录成功'
ftp> ls -lh                     
ftp> cd pub 
ftp> ls -lh
ftp> mkdir am                    '//创建目录 am'
ftp> put anaconda-ks.cfg         '//上传文件'
ftp> ls -lh                      '//查看'
 
最后可以在ftp服务器上进行查看；也可以在Window里进行访问ftp服务器，即
 在文件搜索栏输入地址ftp://20.0.0.100/pub/

目录
 
一. 漏洞描述
 
二. 漏洞验证
 
三. 修复
 

一. 漏洞描述
 
       FTP，文件传输协议，是TCP/IP协议组中的协议之一属于传输层协议，由C/S(客户端/服务端)组成，默认情况下FTP协议使用TCP端口中的 20和21这两个端口。在开发网站的时候，通常利用FTP协议把网页或程序传到Web服务器上。此外，由于FTP传输效率非常高，在网络上传输大的文件时，一般也采用该协议。
 
       目标开启了匿名FTP服务，即允许任意用户通过FTP来访问开放的目录和文件。恶意攻击者可以通过匿名FTP来访问开放的文件或目录来收集信息进行下一步的攻击。
 
用户分类
 
1、Real用户
 
2、Administrator
 
3、匿名用户(anonymous)
 
二. 漏洞验证
 
1. 检测到了目标开启了ftp服务
 
2. 尝试进行匿名登录或者弱口令登录，若登录成功则漏洞存在。这里输入用户名anonymous，无需输入密码，登录成功
 
 
三. 修复
 
1） 禁用匿名登陆账号；
 2） 启用密码复杂度策略，密码改为由大小写字母、数字以及特殊字符组合，且密码长度不低于8位；
 3） 通过系统防火墙、网络ACL策略或配置文件等途径部署访问控制策略，只允许授权用户访问FTP服务端口

匿名用户首先要配置的就是配置文件中的“anonymous_enable=YES”这一项，默认情况下是允许匿名访问，在Windows系统用命令行去匿名访问FTP，也还是要输入用户名和密码的，匿名用户提供了专门的两个匿名账号来供使用“anonymous和ftp”无需输入密码，登陆成功后，使用ls命令列表显示，get下载，put上传。
在系统中也有与匿名用户“ftp”相对应的用户，这样对于匿名用户有什么权限，就是设置ftp用户的权限，
如果客户端访问不成功，可能是由于服务端的防火墙和selinux没关导致的；匿名用户在访问FTP服务时只能访问FTP主目录/var/ftp，不能切换到别的目录访问；如果想访问别的目录，那就要用户对于目录有权限。
设置匿名用户上传，vsftpd服务默认是允许匿名用户访问并提供下载的功能，但考虑安全性，匿名用户无法上传，要想让匿名用户可以上传文件，就必须对vsftpd的配置文件和共享目录的系统权限进行设置，当然，在实际中，是不建议给匿名用户太多权限的：
在配置文件/etc/vsftpd/vsftpd.conf中，“#anon_upload_enable=YES（允许匿名用户上传，默认是不行的，被注释掉）”和“#anon_mkdir_write_enable=YES（允许匿名用户创建目录，默认是不行）”这两项与匿名用户上传的权限设置相关。
然后修改默认访问的目录的系统权限，FTP默认目录/var/ftp目录是不允许修改权限的，目录下还有个pub子目录，可以修改这个目录的权限来允许匿名用户上传。
修改完权限匿名用户能上传和创建目录后，但如果想删除里面的文件的话，还需要在配置文件中添加一个设置项“anon_other_write_enable=YES”表示允许匿名用户删除文件
配置本地用户访问FTP：
在Windows客户端，当匿名访问和本地访问同时开启，访问是默认使用匿名访问的，如果像切换用户，就右键点击登录输入用户名和密码。
要使用系统用户登录访问FTP，就要将配置文件中“local_enable=YES”开启，使用系统用户访问，默认是访问的用户的家目录，而不是/var/ftp目录，因为系统用户访问的是自己的家目录，所以默认是可以上传文件的。
如果希望系统用户在访问FTP时，访问的是FTP主目录/var/ftp，而不是家目录，可以在配置文件/etc/vsftpd/vsftpd.conf再新添加一行“local_root=/var/ftp”来指定访问的目录，也可以自己随意指定。
这样在修改了访问的主目录后，默认就是没有权限进行上传的，在配置文件中时允许上传，但在系统层面，还是不允许客户端对主目录进行上传，我们还是可以通过修改主目录下的子目录的权限或新建别的子目录的权限来让客户端进行上传。
禁锢用户于指定的目录，默认情况下，当系统用户去访问FT[服务时，虽然访问的是自己的家目录或指定的目录，但是都可以通过cd命令切换到服务端的其他用户具有访问权限的目录，这样就会存在安全隐患，所以就需要将系统用户禁锢在指定的目录中，禁止随意切换目录。
禁锢这个操作需要用到“chroot_local_user=YES”设置项，这个设置项位于vsftpd配置文件的101行，默认是被注释状态，启用该项并重启保存配置后，就可以将用户禁锢在自身家目录或指定的FTP主目录中，当客户端再次登录访问FTP后，就只能在他自己的家目录或指定的FTP主目录中访问。
要注意的是，在vsftpd.conf配置文件中启用了“chroot_local_user=YES”配置项后，当启用了禁锢的设置项，同时用户还对自己访问的主目录有写入权限，例如，如果系统用户对所访问的FTP主目录具有写入权限，则会拒绝用户登录，如果是访问的是家目录，默认拥有写入权限，禁锢在家目录中，就会导致拒绝登录
如果想要既能用户对主目录有写入权限，又能禁锢在主目录中，就需要在配置文件中再添加一个新的设置项“allow_writeable_chroot=YES”重新加载配置文件就可以是实现正常访问了。
 
如果我们只想来禁锢指定的用户，还可以永固配置chroot_list列表来禁锢部分指定的用户，在配置文件的102和104行有两个和chroot_list相关的设置项“chroot_list_enable=YES”表示启用chroot_list的功能；“chroot_list_file=/etc/vsftpd/chroot_list”表示指定列表文件，将这个两个配置项启用之后，只需要将需要禁锢的用户添加到列表文件中即可，同时在配置文件中我们还需要将“chroot_local_user”这项注释掉。
 
从安全上来看，一般建议启用将所有用户禁锢的设置项。
 
配置用户访问列表访问FTP服务：
默认设置情况下，FTP服务器中的所有系统用户都可以进行访问FTP服务，如果想只有指定的用户能访问，就可以设置访问用户列表，来限制是否能访问FTP服务
 
Vsftpd服务默认提供了两个访问用户列表的文件：/etc/vsftpd/ftpuser，/etc/vsftpd/user_list，两个文件中均包含有一份FTP用户的列表名单：
 
·/etc/vsftpd/ftpuser：这个文件是属于黑名单，里面包含的用户账号都将被禁止访问FTP服务，无论是否这个用户在另一个/etc/vsftpd/user_list文件中出现，一般是将“root”“bin”“daemon”等特殊用户放在这个文件中，禁止访问FTP。
 
·/etc/vsftpd/user_list：这个文件可以用作白名单，也可以用作黑名单，就是意味着这个文件里包含的用户既有可能被禁止登录，也有可能被允许登录，当然，我们一般是拿来做白名单，具体如何使用，需要修改配置文件/etc/vsftpd/vsftpd.conf中的“userlist_enable=YES”设置项，表示是否启用user_list这个文件，启用后，添加设置项“userlist_deny=YES”表示文件将作为黑名单使用；添加“userlist_deny=NO”表示将文件作为白名单使用，通常情况下都是作为白名单使用。
 
注意的是，当启用了用户列表后，即使将“anonymous_enable”设置项设为“YES”，也没法使用匿名用户访问FTP，匿名访问就被禁用了。
 
一般来说，使用本地系统用户登录访问FTP服务的话，相对应的shell是可以登陆系统的用户，这样的话就意味着有安全隐患，按理来说，应该是不能登陆系统的本地用户也可以访问FTP服务，/etc/shells这个文件中就包含了所支持的shell类型，所以将“/sbin/nologin”这个shell添加到这个文件中，就可以实现不能登陆系统的用户可以访问FTP服务。
能够访问FTP服务器的条件：·必须是存在于/etc/passwd文件中的用户；用户必须设置密码
 
/etc/vsftpd/vsftpd.conf中的“local_umask”设置项，用文件（666）或系统最高权（777）限减去umask值表示在系统中当前用户创建目录或文件的默认权限，所以这个设置项代表系统用户来上传或创建文件或目录的权限是什么