linux ftp普通用户登录失败匿名用户可以登录

linux ftp普通用户登录失败匿名用户可以登录，很奇怪

一、说明
1、配置文件：
/etc/vsftpd/vsftpd.conf
2、默认匿名用户：
more /etc/passwd
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
二、举例
用系统匿名用户FTP登陆访问FTP目录，只赋予下载权限，FTP目录指定到/home/ftp
1、修改配置文件
# vi /etc/vsftpd/vsftpd.conf
local_enable=NO
connect_from_port_20=YES
listen=YES
listen_port=21
tcp_wrappers=YES
anonymous_enable=YES
ftp_username=ftp
no_anon_password=YES
anon_root=/home/ftp
anon_world_readable_only=YES
2、重启ftp服务
＃service vsftpd restart
3、如果出现421 Service not available, remote server has closed connection错误
vi /etc/hosts.allow
添加：
vsftpd:ALL
三、匿名用户相关设置说明
anonymous_enable=YES|NO
控制是否允许匿名用户登录，YES允许，NO不允许，默认值为YES。
ftp_username=
匿名用户所使用的系统用户名。默认下，此参数在配置文件中不出现，值为ftp。
no_anon_password=YES|NO
控制匿名用户登入时是否需要密码，YES不需要，NO需要。默认值为NO。

deny_email_enable=YES|NO
此参数默认值为NO。当值为YES时，拒绝使用banned_email_file参数指定文件中所列出的e-mail地址进行登录的匿名用户。即，当匿名用户使用banned_email_file文件中所列出的e-mail进行登录时，被拒绝。显然，这对于阻击某些Dos攻击有效。当此参数生效时，需追加banned_email_file参数
banned_email_file=/etc/vsftpd.banned_emails
指定包含被拒绝的e-mail地址的文件，默认文件为/etc/vsftpd.banned_emails。
anon_root=
设定匿名用户的根目录，即匿名用户登入后，被定位到此目录下。主配置文件中默认无此项，默认值为/var/ftp/。
anon_world_readable_only=YES|NO
控制是否只允许匿名用户下载可阅读文档。YES，只允许匿名用户下载可阅读的文件。NO，允许匿名用户浏览整个服务器的文件系统。默认值为YES。
anon_upload_enable=YES|NO
控制是否允许匿名用户上传文件，YES允许，NO不允许，默认是不设值，即为NO。除了这个参数外，匿名用户要能上传文件，还需要两个条件：一，write_enable参数为YES;二，在文件系统上，FTP匿名用户对某个目录有写权限。
anon_mkdir_write_enable=YES|NO
控制是否允许匿名用户创建新目录，YES允许，NO不允许，默认是不设值，即为NO。当然在文件系统上，FTP匿名用户必需对新目录的上层目录拥有写权限。
anon_other_write_enable=YES|NO
控制匿名用户是否拥有除了上传和新建目录之外的其他权限，如删除、更名等。YES拥有，NO不拥有，默认值为NO。
chown_uploads=YES|NO
是否修改匿名用户所上传文件的所有权。YES，匿名用户所上传的文件的所有权将改为另外一个不同的用户所有，用户由chown_username参数指定。此选项默认值为NO。
chown_username=whoever
指定拥有匿名用户上传文件所有权的用户。此参数与chown_uploads联用。不推荐使用root用户。

为了实现linux环境下的ftp服务器配置，绝大多数的linux发行套装中都选用的是washington university ftp(wu-ftpd)，这是一个性能优秀的服务器软件，由于它具有众多强大功能和超大的吞吐量，internet上的ftp服务器有60%以上采用了它。

安装与运行

以下我们以redhat linux为例。

1、安装

根据服务对象的不同，ftp服务可以分为两类：一类是系统ftp服务器，它只允许系统上的合法用户使用;另一类是匿名ftp服务器，它允许任何人登录到ftp服务器，和服务器连接后，在登录提示中输入anonymous，即可访问服务器。针对这两种服务，可以通过redhat的第一张光盘安装wu-ftpd的rpm包，只需以root身份进入系统并运行下面的命令即可：

rpm - ivh anonftp -x.x-x.i386.rpm

rpm - ivh wu-ftpd-x.x.x-x.i386.rpm

其中-x.x-x和-x.x.x-x是版本号。

2、启动

和apache一样，wu-ftpd也可以配置为自动启动：执行redhat附带的setup程序，在“system service”选项中选中wu-ftpd，按下[ok]按钮确定退出即可。

自动启动固然方便，但是，当我们更改了wu-ftpd配置文件，需要用到手工启动：

启动：/usr/sbin/ftprestart

关闭：/usr/sbin/ftpshut

ftp服务器的配置

为了确保ftp服务器安全，必须设置一些重要的配置文件，以更好地控制用户的访问权限。这些配置文件是：/etc/ftpusers、/etc/ftpconversions、/etc/ftp-groups、/etc/ftpphosts、/etc/ftpaccess。利用这些文件，能够非常精确地控制哪些人、在什么时间、从什么地点可以连接服务器，并且可以对他们连接后所做的工作进行检查跟踪。

/etc/ftpusers：该文件夹中包含的用户不能通过ftp登录服务器，有时将需要禁止的用户账号写入文件/etc/ftpuser中，这样就可以禁止一些用户使用ftp服务。

/etc/ftpconversions：用来配置压缩/解压缩程序。

/etc/ftpgroups：创建用户组，这个组中的成员预先定义可以访问ftp服务器。

/etc/ftpphosts：用来根据禁止或允许远程主机对特定账户的访问，例如：

allow czc 192.168.0.0/24

deny cdd 10.0.0.0/8

表示允许czc用户从192.168.0这个网段连线访问，拒绝cdd从10.这个网段连线访问。

/etc/ftpaccess：是非常重要的一个配置文件，用来控制存取权限，文件中的每一行定义一个属性，并对属性的值进行设置。下面对它的一些常用配置做一点介绍：

1、定义用户类别

格式：class [类名] [real/guest/anonymous][ip地址]

功能：这个指令的功能设定ftp服务器上用户的类别。并可对客户端的ip地址进行限制，允许特定或者全部的ip地址访问ftp服务器。

2、登录重试次数

在命令行中输入：loginfails 10，这表明如果10次还没有登录成功就切断连线。

3、密码检查

格式：passwd-check 〈strictness〉 warn

是对匿名用户的密码使用方式的检查，其中〈strictness〉是三个可能的字符串之一：none、trivial、rfc822。若选none，表示将不对口令做任何检查;若选trivial，表示对口令有一定的要求，它需要在口令中至少要有一个@符号;若选rfc822，则表示最严格，要求e-mail地址必须遵守rfc822报文标题标准(如：czc@domain.com )。

例如：passwd-check rfc822 warn，表明密码的要求很严格，当密码不符合规定时出现警告信息。

4、登录人数的限制

格式：limit [类别] [人数] [时间] [文件名]

设置指定类别在约定时间内可以登录ftp的人数。例如：limit remote any/etc/many.msg，说明类别remote类别在任何时间内登录人数不超过20个人，否则会显示many.msg警告信息。

合理运用这些配置，可以有效地保护好我们的服务器。

验证

安装、配置好ftp服务器后，就可以进行验证，用图形工具和命令行均可访问ftp服务器。在linux里最常用的命令为ftp，它提供了一个并不复杂的ftp服务器接口。与ftp服务器连接，只需要在命令提示符后输入：ftp servername，用主机名或希望连接的ftp服务器的ip地址代替servername，按照提示输入用户名和口令，然后用标准的linux上移或下移ftp服务器目录结构。另外，也可以采用图形化ftp程序，包括窗口式gftp，可以借助web浏览器去访问ftp服务器。

以上是在linux下进行ftp服务器配置的要点，希望对您有所帮助。