vsftpd匿名用户不能上传文件和删除

转载自：http://www.360doc.com/content/11/0304/10/1997902_97984819.shtml，仅供学习

 

vsftpd匿名用户不能上传文件和删除

vsftpd匿名用户不能上传文件

在vsftp中启用了
anon_upload_enable=YES
anon_mkdir_write_enable=YES
选项后用匿名帐号登录系统发现无权上传文件和创建文件夹.

解决方法:
mkdir /var/ftp/upload
chmod 755 /var/ftp/upload
chown ftp:ftp /var/ftp/upload
此时匿名用户就可以上传文件创建文件夹到upload了 
注: 
/var/ftp/pub文件夹是用来存放下载文件的.这个文件夹和/var/ftp文件夹的权限是755,所有者是root不能够修改.否则用户将不能进入该目录

 

  其他属性按实际需要修改（我没有修改，使用了默认值）

       在启动服务之前还需要做一个修改：

# setsebool -P ftp_home_dir 1

有的版本说是ftpd_disable_trans，但我用getsebool -a 命令没有找到那一项，也就没法设置，只有这一项比较像。实际也证明就是这个，不改上传不了文件。       

＝＝＝＝＝＝＝＝＝＝＝

一般至此，便实现vsftpd匿名用户的上传下载了。如果还不行，就是下面的问题。

selinux的配置
SELinux(Security-Enhanced Linux) 是美国国家安全局（NAS）对于强制访问控制的实现，是 Linux上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系，在这种访问控制体系的限制下，进程只能访问那些在他的任务中所需要文件。SELinux 默认安装在 Fedora 和 Red Hat Enterprise Linux 上，也可以作为其他发行版上容易安装的包得到。
最简单的办法，关闭selinux
方法1：修改/etc/selinux/config文件中的SELINUX=”" 为 disabled ，然后重启。
方法2：用命令setenforce 0，无需重启。（setenforce的格式：setenforce [ Enforcing | Permissive | 1 | 0 ]）
方法3：在lilo或者grub的启动参数中增加：selinux=0,也可以关闭selinux。
使用 getenforce 查看当前selinux是否正在运行。

不关闭selinux，就要设置selinux的ftp权限。
1、使用getsebool -a | grep ftp查看ftp相关设置状态，我们要将allow_ftpd_anon_write设为on。
2、使用setsebool -P 进行设置。例：setsebool -P allow_ftpd_anon_write=on。
或使用togglesebool进行bool值取反，例如togglesebool　allow_ftpd_anon_write。
3、修改selinux安全上下文，先介绍两个命令：
命令1、ls -Z　　ps -Z　　id -Z　　# 分别可以看到文件,进程和用户的SELinux属性
命令2、#chcon 改变SELinux安全上下文
chcon -u [user] 对象
-r [role]
-t [type]
-R 递归
–reference 源文件 目标文件 # 复制安全上下文
使用方法：
步骤1、ls -Zd /var/ftp/upload/ 通常会看到：
drwxr-xr-x ftp root system_u:object_r:public_content_t /var/ftp/upload/
步骤2、chcon -R -t public_content_rw_t /var/ftp/upload/
步骤3、ls -Zd /var/ftp/upload/ 如果看到如下信息就OK了：
drwxr-xr-x ftp root system_u:object_r:public_content_rw_t /var/ftp/upload/

最后还是重启下selinux和vsftpd吧，不重启其实也没关系。重新登录到ftp上，应该就能解决问题了。

另，selinux的图形界面 可由system-config-selinux命令进入。

anonymous_enable=YES|NO   
* 控制是否允许匿名用户登录，YES允许，NO不允许，默认值为YES。 
ftp_username=   
* 匿名用户所使用的系统用户名。默认下，此参数在配置文件中不出现，值为ftp。 
no_anon_password=YES|NO   
* 控制匿名用户登入时是否需要密码，YES不需要，NO需要。默认值为NO。 
deny_email_enable=YES|NO   
* 此参数默认值为NO。当值为YES时，拒绝使用banned_email_file参数指定文件中所列出的e-mail地址进行登录的匿名用户。即，当匿名用户使用banned_email_file文件中所列出的e-mail进行登录时，被拒绝。显然，这对于阻击某些Dos攻击有效。当此参数生效时，需追加banned_email_file参数 
banned_email_file=/etc/vsftpd.banned_emails   
* 指定包含被拒绝的e-mail地址的文件，默认文件为/etc/vsftpd.banned_emails。 
anon_root=   
* 设定匿名用户的根目录，即匿名用户登入后，被定位到此目录下。主配置文件中默认无此项，默认值为/var/ftp/。 
anon_world_readable_only=YES|NO   
* 控制是否只允许匿名用户下载可阅读文档。YES，只允许匿名用户下载可阅读的文件。NO，允许匿名用户浏览整个服务器的文件系统。默认值为YES。 
anon_upload_enable=YES|NO   
* 控制是否允许匿名用户上传文件，YES允许，NO不允许，默认是不设值，即为NO。除了这个参数外，匿名用户要能上传文件，还需要两个条件：一，write_enable参数为YES;二，在文件系统上，FTP匿名用户对某个目录有写权限。 
anon_mkdir_write_enable=YES|NO   
* 控制是否允许匿名用户创建新目录，YES允许，NO不允许，默认是不设值，即为NO。当然在文件系统上，FTP匿名用户必需对新目录的上层目录拥有写权限。 
anon_other_write_enable=YES|NO   
* 控制匿名用户是否拥有除了上传和新建目录之外的其他权限，如删除、更名等。YES拥有，NO不拥有，默认值为NO。 
chown_uploads=YES|NO   
* 是否修改匿名用户所上传文件的所有权。YES，匿名用户所上传的文件的所有权将改为另外一个不同的用户所有，用户由chown_username参数指定。此选项默认值为NO。 
chown_username=whoever   
* 指定拥有匿名用户上传文件所有权的用户。此参数与chown_uploads联用。不推荐使用root用户。