Menu Close

6.4.2. 防止匿名访问并在 FTP 中上传

默认情况下,安装 vsftpd 软件包会为对目录具有只读权限的匿名用户创建 /var/ftp/ 目录和目录树。由于匿名用户可以访问数据,因此请勿在这些目录中存储敏感数据。

要提高系统的安全性,您可以将 FTP 服务器配置为允许匿名用户上传文件到特定目录,并阻止匿名用户读取数据。在以下步骤中,匿名用户可以上传文件到 root 用户拥有的目录中,但不能更改该文件。

流程

  • /var/ftp/pub/ 目录中创建只写目录:

    # mkdir /var/ftp/pub/upload
    # chmod 730 /var/ftp/pub/upload
    # ls -ld /var/ftp/pub/upload
    drwx-wx---. 2 root ftp 4096 Nov 14 22:57 /var/ftp/pub/upload
  • /etc/vsftpd/vsftpd.conf 文件中添加以下行:

    anon_upload_enable=YES
    anonymous_enable=YES
  • 可选:如果您的系统启用了 SELinux 并强制实施,请启用 SELinux 布尔值属性 allow_ftpd_anon_writeallow_ftpd_full_access
警告

允许匿名用户在目录中读取和写入,可能会导致服务器成为 stolen 软件的存储库。