匿名ftp

FTP匿名登录1.首先把虚拟机和外面的机子能够互相通信
图1 2.验证是否安装了vsftp组件
图2
3.安装ftp客户端
图3
图4 4.启动VSFTP服务
图5
5.测试VSFTP
图6
6.备份vsftpd的主配置文件
cp/etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf.bak
图7
7.编辑vsftpd的主配置文件/etc/vsftpd/vsftpd.conf文件，修改相关配置参数
anonymous_enable=YES 是否允许匿名用户登陆
anon_upload_enable=YES 把#号去掉，启用这一条配置，允许上传
anon_mkdir_write_enable=YES #号去掉，启用配置，允许写入（新建文件夹）
图8
8.查看ftp文件夹
图9
图10 9.设置upload的权限为可读可写可执行
图11 10.放行防火墙，重新启动一下服务
图12 11.在windows中验证
图13
图14
12.实现上传下载功能
图15
图16。

一、创建匿名FTP服务器的方法1。

增加新用户ftp，设置其主目录对任何用户都无写权限;2。

新建立一个组anonymou,它只能被匿名ftp使用；3.在ftp用户的主目录下创建一个bin目录,它属于root用户，而且对任何用户都不能写；4。

在ftp用户主目录下创建一个etc目录，它属于root用户,而且对任何用户都不能写；5.在ftp用户主目录下创建一个public目录，它属于ftp用户，而且对任何用户都能写。

如果由于安全等原因,您不允许其他用户在您的计算机上具有存储能力，那么您可以将其权限设置成555；6.将ls程序放到已创建的bin目录下，并将其修改成111方式，即对任何用户只能执行；7。

在已创建的etc目录下，创建passwd和group两个文件，并将它们设置成444方式（只读)。

二、创建匿名FTP---—在Unix下用root登录，然后按下列步骤逐步建立FTP服务器.1.建立新组anonymou----＃mkgroupanonymou2.建立新用户ftp，且ftp用户属于anonymou组—--—#mkuserpgrp=‘nonymou'home=‘ /u/anonymou’ftp3。

在用户目录下建立相关的目录#cd/u/anonymou#mkdiretc#mkdirbin#mkdirpublic4。

将ls拷贝到/usr/anonymou/bin下,并设置其读写属性#cp/bin/ls./bin#chmod111。

/bin/ls5.创建/u/anonymou/etc/group文件————在该文件中增加一行:anonymou:！：201:6.创建/u/anonymou/etc/passwd文件--—-在该文件中增加一行:ftp:*:213：201：:/u/anonymou：/bin/ksh7。

修改/u/anonymou/etc/group文件和/u/anonymou/etc/passwd文件的属性#chmod444/u/anonymou/etc/passwd—--—＃chmod444/u/anonymou/etc/group8。

ftp匿名⽤户模式，本地⽤户模式，匿名⽤户模式ftp简介⽹络⽂件共享服务主流的主要有三种，分别是ftp、nfs、samba。

FTP是File Transfer Protocol（⽂件传输协议）的简称，⽤于internet上的控制⽂件的双向传输。

FTP也是⼀个应⽤程序，基于不同的操作系统有不同的FTP应⽤程序，⽽所有这些应⽤程序都遵守同⼀种协议以传输⽂件。

在FTP的使⽤当中，⽤户经常遇到两种概念：下载和上传下载(Download)上传(Upload)从远程主机拷贝⽂件⾄⾃⼰的计算机上将⽂件从⾃⼰的计算机上拷贝⾄远程主机上FTP协议占⽤两个端⼝号:21端⼝:命令控制，⽤于接收客户端执⾏的FTP命令。

20端⼝:数据传输，⽤于上传、下载⽂件数据。

ftp的⽤户主要有三种：虚拟⽤户：创建独⽴的FTP资料系统⽤户：可以登录系统的真实⽤户匿名⽤户：任何⼈⽆需验证既可登录ftp服务端ftp架构FTP⼯作于应⽤层，监听于tcp的21号端⼝，是⼀种C/S架构的应⽤程序。

其有多种客户端和服务端的应⽤程序，下⾯来简单介绍⼀下客户端⼯具服务端软件ftplftp,lftpgetwget,curlfilezillagftp（Linux GUI）商业软件（flashfxp,cuteftp）wu-ftpdproftpd（提供web接⼝的⼀种ftp服务端程序）pureftpvsftpd（Very Secure）ServU（windows平台的⼀种强⼤ftp服务端程序）ftp数据连接模式tp有2种数据连接模式：命令连接和数据连接命令连接：是指⽂件管理类命令，始终在线的持久性连接，直到⽤户退出登录为⽌数据连接：是指数据传输，按需创建及关闭的连接其中数据连接需要关注的有2点，⼀是数据传输格式，⼆是数据传输模式数据传输格式有以下两种：⽂件传输⼆进制传输数据传输模式也有2种：主动模式：由服务器端创建数据连接被动模式：由客户端创建数据连接两种数据传输模式的建⽴过程：传输模式建⽴过程主动模式命令连接：Client（1025）--> Server（21）客户端以⼀个随机端⼝（⼤于1023）来连服务器端的21号端⼝数据连接：Server（20/tcp） --> Client（1025+1）服务器端以⾃⼰的20号端⼝去连客户端创建命令连接时使⽤的随机端⼝+1的端⼝号被动模式命令连接：Client（1110） --> Server（21）客户端以⼀个随机端⼝来连成服务器端的21号端⼝数据连接：Client（1110+1） --> Server（随机端⼝）客户端以创建命令连接的端⼝+1的端⼝号去连服务器端通过命令连接告知⾃⼰的⼀个随机端⼝号来创建数据连接主动模式有个弊端，因为客户端的端⼝是随机的，客户端如果开了防⽕墙,则服务器端去连客户端创建数据连接时可能会被拒绝. vsftpd常见的配置参数：参数作⽤anonymous_enable=YES启⽤匿名⽤户登录anon_upload_enable=YES允许匿名⽤户上传anon_mkdir_write_enable=YES允许匿名⽤户创建⽬录，但是不能删除anon_other_write_enable=YES允许匿名⽤户创建和删除⽬录local_enable=YES启⽤本地⽤户登录write_enable=YES允许本地⽤户有写权限local_umask=022通过ftp上传⽂件的默认遮罩码chroot_local_user=YES禁锢所有的ftp本地⽤户于其家⽬录中chroot_list_enable=YES开启禁锢⽂件列表需要与chroot_list_file参数⼀起使⽤chroot_list_file=/etc/vsftpd/chroot_list指定禁锢列表⽂件路径在此⽂件⾥⾯的⽤户将被禁锢在其家⽬录中allow_writeable_chroot=YES允许被禁锢的⽤户家⽬录有写权限xferlog_enable=YES是否启⽤传输⽇志，记录ftp传输过程xferlog_std_format=YES传输⽇志是否使⽤标准格式xferlog_file=/var/log/xferlog指定传输⽇志存储的位置chown_uploads=YES是否启⽤改变上传⽂件属主的功能chown_username=whoever指定要将上传的⽂件的属主改为哪个⽤户此⽤户必须在系统中存在pam_service_name=vsftpd指定vsftpd使⽤/etc/pam.d下的哪个pam配置⽂件进⾏⽤户认证userlist_enable=YES是否启⽤控制⽤户登录的列表⽂件：默认为/etc/vsftpd/user_list⽂件userlist_deny=YES是否拒绝userlist指定的列表⽂件中存在的⽤户登录ftp max_clients=#最⼤并发连接数max_per_ip=#每个IP可同时发起的并发请求数anon_max_rate匿名⽤户的最⼤传输速率，单位是“字节/秒”local_max_rate本地⽤户的最⼤传输速率，单位是“字节/秒”dirmessage_enable=YES 启⽤某⽬录下的.message描述信息假定有⼀个⽬录为/upload，在其下创建⼀个⽂件名为.message，在⽂件内写⼊⼀些描述信息，则当⽤户切换⾄/upload⽬录下时会⾃动显⽰.message⽂件中的内容message_file设置访问⼀个⽬录时获得的⽬录信息⽂件的⽂件名,默认是.messageidle_session_timeout=600设置默认的断开不活跃session的时间data_connection_timeout=120设置数据传输超时时间ftpd_banner="Welcome to chenlf FTP service."定制欢迎信息，登录ftp时⾃动显⽰参数作⽤这⾥使⽤两台RHEL8系统的主机作为实验,提前关闭防⽕墙和selinux主机名称操作系统IPFTP服务端RHEL8192.168.248.134FTP客户端RHEL8192.168.248.156服务端安装vsftp[root@localhost ~]# yum -y install vsftpdvsftpd配置vsftpd配置/etc/pam.d/vsftpd #vsftpd⽤户认证配置⽂件/etc/vsftpd/ #配置⽂件⽬录/etc/vsftpd/vsftpd.conf #主配置⽂件#匿名⽤户（映射为ftp⽤户）的共享资源位置是/var/ftp#系统⽤户通过ftp访问的资源位置为⽤户的家⽬录#虚拟⽤户通过ftp访问的资源位置为给虚拟⽤户指定的映射成为的系统⽤户的家⽬录先备份vsftpd主配置⽂件[root@localhost ~]# cp /etc/vsftpd/vsftpd.conf{,.bak}过滤以#号开开头的⾏，将结果写⼊vsftpd.conf中[root@localhost ~]# grep -v "^#" /etc/vsftpd/vsftpd.conf.bak > /etc/vsftpd/vsftpd.conf[root@localhost ~]# cat /etc/vsftpd/vsftpd.confanonymous_enable=NO #是否允许匿名访问local_enable=YES #是否允许本地⽤户登录write_enable=YES #本地⽤户有写权限local_umask=022 #本地⽤户上传的umask值dirmessage_enable=YES #启⽤某⽬录下的.message描述信息，假定有⼀个⽬录为/upload，在其下创建⼀个⽂件名为.message，在⽂件内写⼊⼀些描述信息，则当⽤户切换⾄/upload⽬录下时会⾃动显⽰.message⽂件中的内容。

如果我们已经把vsFTPd服务器启动好了，但登录测试是会出现类似下面的提示；500 OOPS: vsftpd: refusing to run with writable anonymous root
这表示ftp用户的家目录的权限不对，应该改过才对；
[root@localhost ~]# more /etc/passwd |grep ftp
ftp:x:1000:1000:FTP User:/home/ftp:/sbin/nologin
我们发现ftp用户的家目录在/home/ftp，就是这个/home/ftp的权限不对所致，这个目录的权限是不能打开所有权限的；是您运行了chmod 777 /home/ftp所致；如果没有ftp用户这个家目录，当然您要自己建一个；
如下FTP用户的家目录是不能针对所有用户、用户组、其它用户组完全开放；
[root@localhost ~]# ls -ld /home/ftp
drwxrwxrwx 3 root root 4096 2005-03-23 /home/ftp
修正这个错误，应该用下面的办法；
[root@localhost ~]# chown root:root /home/ftp
[root@localhost ~]# chmod 755 /home/ftp。

Linux1 FTP服务器实现匿名用户访问虽然你可以同时开启本地用户与匿名用户，不过建议你的计算机还是依据需求，针对单一的身份进行设置。

下面我们将以允许匿名用户访问，且不开放本地用户为目的对vsftpd进行配置（一般来说，这种设置是给类似大专院校的FTP服务器使用的）。

下面列出一些希望实现的功能：●使用本地时间，而非GMT时间。

●提供欢迎信息，说明可提供下载的信息。

●仅开放anonymous登录，且不需要输入密码。

●数据连接过程只要超过60秒没有回应，就强制客户端断线。

●只要anonymous超过10分钟没有操作，则强制断线。

同样要实现上述功能，最主要的操作是修改vsFTPd.conf配置文件。

注意，如果你的vsFTPd.conf没有相关设置值，则需要自行补充，且在进行配置后，必须重新启动服务配置才能生效。

下面开始一步步按顺序进行设置：1．与本地用户相关的设置由于仅开放anonymous登录，所以首先需要在配置文件的第15行将“local_enable=YES”改为“local_enable=NO”将本地用户访问取消，如图8-23所示。

图8-23 取消本地用户访问2．与匿名用户相关的设置若仅开放匿名用户登录，且不需要输入密码即可登录，在出现数据连接过程中超过60秒没有回应及超过10分钟没有操作情况时，又强制其断线这些需求，则需要在配置文件中进行如图8-24所示设置。

图8-24 与匿名用户相关设置3．与计算机相关的设置在配置文件中，配置与计算机相关的设置值，如图8-25所示。

进行以上几步操作后，还需要按【ESC】键退出插入模式，接着按“：”并输入wq”按【回车】键保存配置。

图8-25 与计算机相关的设置4．建立欢迎信息在此需求中，将欢迎信息设置在/etc/vsFTPd/anon_welcome.txt 文件中，只需要在终端下输入“vi /etc/vsftpd/anon_welcome.txt ”命令，编辑这个文件（内容为this is anonymous!）。

匿名ftp的使用方法
匿名FTP的使用方法包括以下步骤：
1. 设置FTP服务器的匿名访问权限。

在配置文件中，将
anonymous_enable参数设置为YES，以开启匿名访问。

2. 设置匿名用户的根目录。

将anon_root参数设置为FTP服务器上的特定
文件夹，如/home/ftp，以确保匿名用户无法访问到FTP服务器的重要数据。

3. 设置匿名用户的权限。

默认情况下，匿名用户的权限是022，即只有读权限，无写权限。

可以根据实际需求调整匿名用户的权限，以达到更好的安全性和易用性。

4. 在FTP客户端使用匿名登录。

可以使用Windows系统自带的FTP客户
端软件，执行ftp 命令进行匿名登录，其中替换成实际的FTP服务器IP地
址或域名。

5. 开启匿名上传和下载功能。

在FTP服务器上，需要进行相应的设置以允
许匿名用户上传和下载文件。

通常，默认情况下是关闭匿名上传和下载功能的。

在使用匿名FTP时，还需要注意以下几点：
1. 匿名FTP通常只允许用户上传或下载文件，而无法进行其他操作，如创建目录、删除文件等。

2. 匿名FTP通常只允许用户访问特定的目录，其他目录可能无法访问或被隐藏。

3. 使用匿名FTP时，需要遵守相关的法律法规和规定，确保上传和下载的文件合法、合规。

4. 在使用匿名FTP时，应注意保护个人隐私和信息安全，避免个人信息泄露和滥用。

vsftpd架设匿名FTP,本地用户和虚拟用户mysql登录本文参考了vsftpd安装文档,vsftpd的EXAMPLE及网上众多网友的文章。

环境：匿名及本地用户：REDhat9+vsftpd1.1.3(或vftpd2.0.1)。

虚拟用户：vsftpd1.1.3+mysql3.23.54+pam_mysql0.5不适用于vsftpd2.0.1+mysql4+pam0.5。

[/b]请注意：不要直接copy我这里的配置文件，可以造成ftp启动不正常，所以还是多费点事，自己输入吧本文对本地用户、虚拟用户目录进行了限制，每个用户拥有自己独立的目录。

本文中所使用的参数具体意义请参数回贴。

配置不外就是修改vsftpc.conf，并指定用户目录，权限等。

对虚拟用户则用pam验证方式。

另：mkdir建立目录，chown更改权限。

vi编辑文件。

这些命令请参考man文档vsftpd类别：1、PORT FTP首先会建立控制频道，默认值是port 21，也就是跟port 21 建立联机，并透过此联机下达指令。

第二，由FTP server 端会建立数据传输频道，默认值为20，也就是跟port 20 建立联机，并透过port 20 作数据的传输。

2、PASVFTP首先会建立控制频道，默认值是port 21，也就是跟port 21 联机，并透过此联机下达指令。

第二，会由client 端做出数据传输的请求，包括数据传输port 的数字。

3、差别：PORT FTP 当中的数据传输port 是由FTP server 指定，而PASV FTP 的数据传输port 是由FTP client 决定。

通常我们使用PASV FTP，是在有防火墙的环境之下，透过client 与server 的沟通，决定数据传输的port。

vsftpd安装篇：1、rpm安装:代码:2、tar.gz的安装解压后查看README和INSTALL文档安装前的条件：进入vsftpd目录编辑 "builddefs.h"文件，里面定义了pam功能,tcp_wrappers功能，ssl功能，根据需要定义pam或tcpwrapper功能,以消ssl功能然后键入 "make" .将编译出相应的二进制文件，你可以用以下命令查看[chris@localhost vsftpd]$ ls -l vsftpd-rwxrwxr-x 1 root root 61748 Sep 27 00:26 vsftpda、增加“nobody”用户。

文件传输--Windows NT匿名FTP服务器的建立在NT服务器中设置FTP服务器的方法一般有两种：一种是用微软公司自己提供的Internet Information Server产品；另一种是用第三方的FTP服务器产品。

这里我们重点介绍一下在Internet Information Server中FTP的设置。

在NT Server上已经安装了Internet Information Server的情况下，设置FTP服务器主要有以下6方面。

1．配置会话活动可以配置允许同时连接的数量及连接时间。

因为用户在注销或中断连接之前一直处于登录状态，所以可以使用“服务”属性页中的“已连接的用户” 按钮，以跟踪当前连接的用户。

例如，查看当前连接该FTP 节点的用户可以按以下步骤：①在“Internet 服务管理器”中，双击FTP 服务以显示其属性页。

②单击“服务”选项卡。

③单击“当前会话”。

④如果要断开用户，请选定用户，然后单击“断开”。

要断开所有连接，请单击“全部断开”。

⑤单击“关闭”，然后单击“确定”。

2．配置FTP 登录如果将FTP 服务配置为可以匿名登录，客户可以用anonymous 登录。

通常，匿名FTP 用户可以使用电子邮件地址作为密码来登录。

注意Internet Explorer与其它Web 浏览器将自动登录到允许匿名登录的所有FTP 节点。

另外，FTP 客户还可以允许以Windows NT 用户名和密码登录，以便使用此计算机。

在Windows NT 文件系统(NTFS) 驱动器上，可以控制每个用户的访问权限和文件访问能力。

要以Web 浏览器使用该机制登录，请键入ftp://user:password@computername/ 或ftp://username@computername在“服务管理器”的“FTP 服务属性”中，选定“只允许匿名连接”复选框，防止用户使用用户名登录。

如果复选该复选框，匿名以外的其它帐号则不能登录。

实验1：配置一个匿名FTP服务器，要求用户仅能下载文件（在/var/ftp下建立一目录test，将服务器可供下载的信息全部放在此目录下）。

具体要求如下：∙提供欢迎信息“Hello!Welcome to my FTP server!”；∙仅开放anonymous（即匿名用户）的登入；∙文件传输的速率限制为30 Kbytes/second；∙数据连接的过程(不是命令通道！) 只要超过60 秒没有响应，就强制Client 断线！∙只要anonymous 超过十分钟没有动作，就予以断线；∙最大同时上线人数限制为50 人，且同一IP来源最大连接数量为5 人；操作过程如下：基础操作：1、查询是否安装rpm –qa|grep vsftpd2、若未安装，则用如下命令进行安装mount /dev/cdrom /mnt/cdromrpm –ivh /mnt/cdrom/turbo/RPMS/vsftpd*3、启动服务service vsftpd start或/etc/rc.d/init.d/vsftpd start重启服务service vsftpd restart或/etc/rc.d/init.d/vsftpd restart关闭服务service vsftpd stop或/etc/rc.d/init.d/vsftpd stop查看服务状态service vsftpd status或/etc/rc.d/init.d/vsftpd status实验步骤：软件安装后，根据以下提示开始配置：1、vi /etc/vsftpd/vsftpd.conf（代码如下：）（可参考辅助信息，见本页尾）anonymous_enable=YESanon_max_rate=30000data_connection_timeout=60idle_session_timeout=600max_clients=50max_per_ip=5local_enable=NOdirmessage_enable=YESxferlog_enable=YESconnect_from_port_20=YESxferlog_std_format=YESpam_service_name=vsftpdlisten=YEStcp_wrappers=YESftpd_banner=Hello!Welcome to my FTP server.This is my first test!2、mkdir /var/ftp/test （注意默认的服务目录/var/ftp/，当你以匿名用户的身份登录FTP服务器后，你将以ftp用户的身份执行操作，做实验时最好在该目录下建一些文件或目录）3、service vsftpd restart4、测试(1)字符界面下如何访问，请参考《ftp命令使用.doc》(2)在WindowsXP或Linux的Web浏览器中输入ftp://服务器的IP地址，进行访问。

配置FTP服务器匿名服务器的配置FTP是Internet中应用非常广泛的服务之一，是TCP/IP的一种具体应用，它工作在OSI的第七层，是一种面向连接的协议。

FTP在对外提供服务时需要维护两个连接：一个是控制连接，监听TCP21号端口，用来传输控制命令；另一个是数据连接，在主动传输方式下监听TCP20号端口，用来传输数据。

FTP有两种工作模式：主动模式(PORT)和被动模式(PASV)，而几乎所有的FTP客户端软件都支持这两种模式。

Linux下的FTP软件在很多种，最常见的有wu-ftpd、proftpd和vsftpd等，本文主要讲解vsftpd的管理与配置。

*一、VSFTPD的安装与启动#rpm-qa|grep vsftpd//查询系统是否已经安装了vsftpd软件包vsftpd-2.0.1-6系统默认情况下vsftpd的FTP服务是关闭的，此时需要手工打开：#service vsftpd{start|stop|restart}*二、配置FTP服务器vsftpd服务器的用户分为3类：匿名用户、本地用户、虚拟用户。

分别应用在不同的场合之中。

下面通过分别配置①匿名账号FTP服务器②本地账号FTP服务器③虚拟账号FTP服务器。

来了解它们的应用场合。

本文主要来介绍匿名服务器的的有关配置1.配置匿名账号FTP服务器示例如下：在主机(IP为192.168.10.10)上配置只允许匿名用户登录的FTP服务器，使匿名用户具有如下权限：①允许上传、下载文件(创建匿名用户使用的目录为/var/ftp/anonftp)②将上传文件的所有者改为tom③允许创建子目录，改变文件名称或删除文件④匿名用户最大传输速率设置为20kbit/s⑤禁止192.168.1.0/24网段上除192.168.1.1的主机访问该FTP配置过程如下1.编辑vsftpd的主配置文件/etc/vsftpd/vsftpd.conf文件，对文件中相关的指令进行修改、添加，内容如下：anonymous_enable=YES#允许匿名用户(ftp或anonymous)登录#local_enable=YES#这里我们不使用本地用户登录，所以把它注释掉write_enable=YES#允许本地用户的写权限，因为本地用户的登录已经被注释了，所以这是YES或NO都不会起作用anon_umask=077#匿名用户新增文件的umask值。

命令行和脚本设置安全用户帐户匿名FTP该方案不能用在带有受控的访问保护概要文件（CAPP）和评估保证级别4+（EAL4+）功能的系统中。

1. 通过输入以下命令验证.tcp.client 文件集已安装到您的系统上：lslpp -L | grep .tcp.client如果没有收到输出，则该文件集未安装。

2. 通过输入以下命令验证系统的/home 目录下是否至少有8 MB 的可用空间：df -k /home步骤4中的脚本需要/home 目录下至少有8 MB 可用空间来安装所需的文件和目录。

3. 使用root 权限，更改为/usr/samples/tcpip 目录。

例如：cd /usr/samples/tcpip4. 要设置帐户，请运行以下脚本：./anon.ftp5. 当提示确定要修改/home/ftp？时，输入yes。

输出类似于以下显示：Added user anonymous.Made /home/ftp/bin directory.Made /home/ftp/etc directory.Made /home/ftp/pub directory.Made /home/ftp/lib directory.Made /home/ftp/dev/null entry.Made /home/ftp/usr/lpp/msg/en_US directory.6. 更改到/home/ftp 目录。

例如：cd /home/ftp7. 通过输入以下命令创建home 子目录：mkdir home8. 通过输入以下命令将/home/ftp/home 目录的许可权更改为drwxr-xr-x：chmod 755 home9. 通过输入以下命令更改到/home/ftp/etc 目录：cd /home/ftp/etc10. 通过输入以下命令创建objrepos 子目录：mkdir objrepos11. 通过输入以下命令将/home/ftp/etc/objrepos 目录的许可权更改为drwxrwxr-x：chmod 775 objrepos12. 通过输入以下命令将/home/ftp/etc/objrepos 目录的所有者和组更改为root 用户和system 组：chown root:system objrepos13. 通过输入以下命令创建security 子目录：mkdir security14. 通过输入以下命令将/home/ftp/etc/security 目录的许可权更改为drwxr-x---：chmod 750 security15. 通过输入以下命令将/home/ftp/etc/security 目录的所有者和组更改为root 用户和security 组：chown root:security security16. 通过输入以下命令更改为/home/ftp/etc/security 目录：cd security17. 通过输入以下SMIT 快速路径来添加用户：smit mkuser在本例中，我们要添加一个名为test 的用户。

组织：中国互动出版网（/）RFC文档中文翻译计划（/compters/emook/aboutemook.htm）E-mail：ouyang@译者：胡伟（duthuwei huwml@）译文发布时间：2001-4-8版权：本中文翻译文档版权归中国互动出版网所有。

可以用于非商业用途自由转载，但必须保留本文档的翻译及版权信息。

Network Working Group P. DeutschRequest for Comments: 1635 A. EmtageFYI: 24 Bunyip Category: Informational A. MarineNASA NAICMay 1994RFC1635 怎样使用匿名FTP(RFC1635 How to Use Anonymous FTP)本备忘录状态This memo provides information for the Internet community. It doesnot specify an Internet standard of any kind. Distribution of thismemo is unlimited.摘要本文档向Internet新手们介绍了使用文件传输协议(FTP)的相关信息.文中解释了什么是FTP,什么是匿名FTP,以及什么是匿名FTP档案站点.给出了一个匿名FTP登陆过程的范例.还介绍了为了方便存储与传输而采用的常用的文件打包方法.鸣谢本文档是IETF的互联网FTP档案工作组(IAFA)的工作结果.特别感谢Mark Baushke (Cisco), John Curran (BBN),Aydin Edguer (CWRU),Rafal Maszkowski (Onsala Space Observatory), Marsha Perrott (PREPnet),Bob Peterson (Texas Instruments), Nathan Torkington (Victoria University of Wellington), StephenTihor (NYU),感谢他们的宝贵意见和贡献.目录什么是FTP? (2)什么是匿名FTP? (3)你需要知道什么信息? (3)一个FTP过程范例 (4)不同之处 (6)友好的服务器 (6)其他FTP命令 (6)文件的打包和命名 (7)COMPRESS和TAR (11)值得注意的礼节性问题 (11)参考文献 (12)作者地址 (12)什么是FTP?FTP代表的意思是"文件传输协议"[1],一种用在Internet上的协议,属于TCP/IP协议族的一种.文件传输协议使得文件能够从Internet上的一台计算机(或服务器)传送至另一台.现在已经有很多基于FTP 协议开发的应用程序.一个FTP程序的使用者必须登陆到双方主机,以便在它们之间传输文件.对于一个在不止一台主机上存有文件的用户来说,使用FTP在主机间程序传送文件是经常的事情.当然,他必须在每台主机上都有一个帐号和密码来进行登陆.Internet使用者们可以通过各种各样的方式,从档案站点获得数量巨大的信息,并从中受益匪浅.而他们登陆这些档案站点,大都使用了一个公用的帐号,这就是所谓的"匿名FTP".什么是一个档案站点?档案站点是一台存储了大量信息的服务器,非常类似于传统意义上的图书馆.存储在这些互联网服务器上的信息可以被用户传输到他们本地的机器上.用户们通常用软件来实现这种信息的识别和传输.这样的软件和程序就是对文件传输协议(FTP)在应用方面的实现.什么是匿名FTP?匿名FTP是档案站点允许外界对其档案信息进行一般性访问的一种实现方式.这些站点设定一个特殊的帐号,叫做"anonymous".这个"anonymous"用户可以对档案站点进行有限制的访问,既操作权限受限制.实际上,这些仅有的被允许的操作,包括用FTP登陆进站.列出有限的几个目录中的内容,以及下载文件.有些站点还限制用户能看到的目录内容.请注意,"anonymous"用户通常不会被允许向档案站点上传文件,只允许下载.通常,这个特殊的匿名用户帐号可以接受任何字串作为其密码,但是,目前普遍采用的是用"guest"或者一个电子邮件(e-mail)地址作为匿名用户的密码.现在,某些档案站点还明确要求使用电子邮件地址作为匿名用户密码,而不接受"guest"这样的密码.提供电子邮件地址,有助于让站点的拥有者了解到是哪些人在使用他们的服务.你需要知道什么信息?要想得到一个文件,用户需要知道它在哪一台服务器上,还要知道它所在的路径.路径能够指出文件所在的目录(多数情况下是子目录),以及文件的名字.通常,关于可获取的文件的讨论,并不会特定指出"这个文件可以通过匿名FTP获得,它位于X站点的Y路径下".尽管如此,如果一个文件被公共地宣布存在于的pub/good-stuff目录,你将很有可能通过匿名FTP得到它.你还需要知道你的机器使用的字符类型设置是什么,例如ASCII,EBCDIC,或者其它类型.这有助于让你了解你的机器是否支持传输二进制文件,或者实现二进制传输是否需要其他关键字.例如,TENEX就是需要的.一般来说,你可以假设ASCII方式传输文本文件时不会出现问题.尽管如此,现在越来越多的信息被以各种各样的压缩格式存储起来(我们将在本文的后面部分讨论这个问题),了解你自己机器的字符特性是很重要的.一个FTP过程范例如果想在一台UNIX或者VMS主机上使用ftp,你应该敲入"ftp"和目标主机的主机名或者IP地址.例如,如果你想访问NASA网络应用和信息中心的档案服务器,你可以在UNIX提示符下输入下面命令其中的一条:ftp 或者ftp 128.102.128.6注意,第一个命令中使用的是完整的域名,第二个命令中使用的是同一台主机的IP地址.下面是一个完整的例子,它演示的过程是连接到这台主机,并获取文件STD 9,RFC 959,"文件传输协议(FTP)"[1]以下几点应该注意:1. 档案站点的FTP程序给出的每一个应答的前面都有一个数字.这些数字叫做应答代码,他们在RFC 959文档中有定义.同时,还应该注意,某些FTP客户端程序(例如,MVS系统)可能不显示应答代码或者远程主机传回的文本应答信息.他们可能传回自己特定的信息,或者隐藏某些对你来说不重要的信息.为了达到本文的介绍目的,我们将讨论更为流行的UNIX FTP交互界面.2. 你键入的密码永远不会显示在你的屏幕上.3. 你可以"浏览"站上存放的档案,但大多数情况下,用户们已经知道自己想的到的文件的存放路径.在我们现在举的这个例子中,RFC 959文档存放在这台主机的files/rfc/rfc959.txt路径.首先,我们进入'files/rfc/'目录(cd files/rfc),然后得到我们想要的特定文件.如果你不知道自己需要文件的文件名,你很可能应该把一个叫做README或者类似名称(OOREADME.1ST,AAREAD.ME, INDEX, 等等)的文件先下载过来.% ftp Connected to .220 FTP server (Wed May 4 12:15:15 PDT 1994) ready.Name (:amarine): anonymous331 Guest login ok, send your complete e-mail address as password.Password:230-----------------------------------------------------------------230-Welcome to the NASA Network Applications and Info Center Archive230-230- Access to NAIC's online services is also available through:230-230- Gopher - (port 70)230- World-Wide-Web - /naic/naic-home.html230-230- If you experience any problems please send email to230-230- naic@230-230- or call +1 (800) 858-9947230-----------------------------------------------------------------230-230-Please read the file README230- it was last modified on Fri Dec 10 13:06:33 1993 - 165 days ago230 Guest login ok, access restrictions apply.ftp> cd files/rfc250-Please read the file README.rfc250- it was last modified on Fri Jul 30 16:47:29 1993 - 298 days ago250 CWD command successful.ftp> get rfc959.txt200 PORT command successful.150 Opening ASCII mode data connection for rfc959.txt (147316 bytes).226 Transfer complete.local: rfc959.txt remote: rfc959.txt151249 bytes received in 0.9 seconds (1.6e+02 Kbytes/s)ftp> quit221 Goodbye.%不同之处上面这个例子使用了UNIX操作系统的FTP程序,其他操作系统也有自己的FTP程序.使用不同的FTP程序,你操作时输入的命令可能会不同.但一般情况下,你使用各种FTP程序时都会执行下列步骤:- 登陆进入你的本地主机,启动FTP程序.- 开启与远程服务器的连接(可以使用主机名,也可以用IP地址)- 一旦与远程主机建立连接,以用户名"anonymouse"登陆.- 用"guest",或者按照站点的要求提供登陆密码.- 执行你所需的FTP命令,例如更改目录以获取想要的文件.- 结束时,退出FTP程序,这会关闭你与档案站点的连接.友好的服务器最近,很多站点采用了一种新的FTP方式,它允许在用户列出目录内容时,同时显示相关的介绍文字,以帮助和指导用户站点上的其他服务就采用了这种方式进行列表.如果这种方式导致你的FTP程序显示混乱,你可以登陆时在密码的前面加上一个连字符("-"),这样做就可以禁止服务器对你采用交互模式.其他FTP命令我们已经介绍了一些常用的FTP命令,还有其他的一些命令.例如,当你登陆进一台远程服务器之后:- 不带任何参数启动FTP程序,然后输入"help",可以让FTP程序显示出可用命令的列表.- 输入"dir"或者"ls",可以查看你进入目录的内容.- 使用"get"命令时,在远程文件名的后面加上本地文件名,这样可以更改下载文件的名字.当远程文件名超出了你本地系统对文件名的限制时(例如,远程文件名太长),你需要这样做.一个用"get"命令更改文件名的例子:"get really-long-named-file.txt short.txt".- 如果需要传输二进制文件(如,可执行文件,或者其他数据文件,等等),应该首先设置二进制模式.输入"binary"即可.通常,FTP程序假定文件只使用每个字节中的7位,这正是ASCII编码文件的标准格式.二进制模式可以保证你传输文件时使用全部八个字节而不会发生错误.如果你无法确定一个文件是什么格式的,你可能需要使用另一种模式(二进制或者ASCII)把它再传一次,如果你的第一次猜测是错误的.文件的扩展名可能会给你一个判断的依据.本文后面会对文件扩展名进行介绍.因为某些机器使用与众不同的格式存放文本文件,所以在你不确定一个文件文件的格式时,你就只好碰运气了.一个不错的猜测方法是,如果你认为它很可能是文本文件,就先试ASCII模式,否则就试二进制模式,最后再试ASCII模式.- 用"mget"命令,你可以一次传输多个文件.你需要用远程主机能够辨别的匹配形式文件名,使之依次将每个文件传回.如果你的本地FTP程序无法将远程文件名转换成本地的合法文件名,或者你需要的文件中,一部分要用ASCII模式传输,而另一部分必须用二进制模式传输,你将不能使用这项FTP命令.在你操作系统自带的FTP文档中,有对FTP命令的所有细节和可选项的介绍.你也可以在FTP命令提示符下输入"help"来获得所有FTP命令和选项的列表.UNIX系统下的FTP文档可以从FTP的在线手册中得到.如果你的UNIX系统安装了这些手册,你可以在UNIX提示符下输入下面的命令:% man ftp文件的打包和命名一些广泛使用的约定,使得FTP档案站点对信息的存储和传输变得更加有效.通常用三种方式"转换"FTP档案站点存储的信息."压缩"(削减文件的大小)存储的信息,能获取更多的存储空间,并且减少网络实际传输的数据量."打包"把几个文件并入一个更大的文件中,这样便于维护其内部的目录结构,这样还能让用户只需一次传输一个大文件,而不是多次传输许多(有时是上百个)小文件.另外,为了便于传输,二进制文件常常被转化成ASCII格式.这个过程在本文中被成为"格式转化".通常,基于RFC 822的电子邮件和USENET协议不允许传输"二进制"(8位)数据.因此,二进制格式的文件在传输前,必须转化为可打印的7位ASCII文件.在许多操作系统中,有各种命名传统.这可以帮助远程用户根据文件名来判断该文件的格式,从而不需要先把文件下载过去.下面,我们列出Internet上比较普遍的对压缩,打包和格式转换文件的命名传统.下面列出的信息并不是详尽无遗漏的,网络上有很多与这些文件格式相关的应用程序和软件.1) compress/uncompress以".Z"结束的文件名一般意味着该文件被标准的UNIX Lempel-Ziv"压缩"程序处理过.与之相对应的有一类"解压缩"程序,它们可以将压缩文件恢复为它们原始的状态."压缩"程序不提供"打包"机制.无论它们原来是什么格式,压缩后的文件一般都是二进制格式.2) atob/btoa进行从ASCII到二进制的格式转换(atob).反之,是从二进制到ASCII的格式转换(btoa).如此转换过的文件经常以".atob"结尾.不提供打包或压缩机制.3) atox/xtoa此标准用于转换二进制格式为可传输的ASCII格式.由于与其他类似的转换机制相比,它更能节省存储空间,被使用的优先级也相对较高,尽管它并不属于压缩机制的一种.对与从一种格式到另一种格式之间的转换,它更为有效.这种格式的文件通常有".atox"的后缀文件名.4) uuencode/uudecode从二进制到ASCII的转换("uuencode")和相反的转换("uudecode")是一种标准转换方式.它最初使用于UUCP("Unix to Unix CoPy")电子邮件/USENET系统.没有使用压缩和打包机制.命名传统通常给这样的文件加上".uu"后缀文件名.5) tar/untar最初,它是一个基于UNIX的工具,用与把多个文件或目录打成一个包,或者从一个包文件中解出打包之前的文件和目录(tar 是"Tape ARchive"的缩写).它的标准格式不提供压缩机制.无论打包之前的状态如何,打包之后生成的文件常常是二进制格式.命名传统通常给一个"tar文件"的文件名中加上".tar"或者"-tar".6) zip/unzip通常用于IBM PC环境,这类应用程序通常提供打包和压缩机制.生成的文件常常是二进制格式."zip"应用程序生成的文件通常是以".zip"为扩展名.7) arc/unarc通常用于IBM PC环境,这类应用程序通常提供打包和压缩机制,生成的文件常常是二进制格式.以这种格式存储的文件经常以".arc"作为扩展文件名.8) binhex用于Apple MacIntosh环境,转为binhex的过程提供和btoa一样的打包机制.命名传统对此类文件规定的扩展名是".hqx".9) shar是Bourse shell下的一种文档类型,可以是文本或二进制格式,是一个单独的文件,比原文件大.一旦运行,将生成它包含的原文件.因为这种格式有被用于不正当途径的危险,因此多数用户使用一个特殊的叫做unshar的工具来解开这种文件.命名传统对此类文件规定的扩展名是".shar".10) VMS_SHARE是DCL的一种文档类型,可以是文本或二进制格式,是一个单独的文件,比原文件大.一旦运行,将生成它包含的原文件.因为这种格式有被用于不正当途径的危险,运行这种格式的文件之前必须对其仔细检查.命名传统对此类文件规定的扩展名是".shar".11) 多卷shar/vms_share文件有时候,档案文件被分割成多个小的分卷文件,以便于在具有相同的目录结构的档案服务器之间传输.为了达到这样的目的,文件名的后面经常跟上数字标识(例如, xyz.01 xyz.02 xyz.03 ...或者.01-05).得到所有的分卷文件之后,你可以把他们在自己的机器上合成一个shar文件或者vms_share文件,然后用上面提到的方法解开还原为原来的文件.12) zoozoo将压缩/解压缩,打包/解包功能集成于一个应用程序之中.许多不同的操作系统下都有支持zoo格式文件的应用程序,这些操作系统包括Unix, MS-DOS, Macintosh, OS/2, AtariST, 和V AX VMS.命名传统把zoo程序建立的文件的扩展名规定为".zoo".Zoo是一种广为流传的文件格式,原因在于它的应用程序在许多操作系统下都是免费的(包括可执行文件和源代码).13) gzip/gunzip免费软件项目计划GNU采纳了不同的zip压缩机理,以替代压缩和解压缩命令.生成的文件是二进制格式."gzip"程序生成的压缩文件扩展名是".z"或者".gz".gunzip程序也能识别".tgz"和".taz"扩展名的文件,将它们当作".tag.z"或".tag.Z"的缩写.同样,gzip程序能够识别并解压缩由gzip,zip,compress和pack 命令压缩的文件.GNU项目计划最近开始分发和使用gzip/gunzip应用程序.就在近期,他们把默认的文件后缀.z改为.gz,这样做一是为了防止人们把.z和.Z混淆,二是为了消除某些对大小写敏感的操作系统(例如MS-DOS)可能会引起的问题.gzip软件是免费分发传播的,而且它已经被移植到大多数的UNIX操作系统下,例如:Amiga,Atari,MSDOS,OS2和VMS操作系统.在某些时候,为了生成存储的档案文件,要经过一系列上面介绍的处理过程.考虑到文件要经过不止一次的处理,因此,为了反映出所经历的各种过程,最终生成的文件名,是以原文件名为基础,在后面依次加上各种步骤所特有的文件名后缀.例如,有一个过程是先把原文件用"tar"打包,然后"压缩"打包后的文件.如果开始的文件名是"foobar",最后生成的文件名就是"foobar.tar.Z".由于这是一个二进制文件,为了便于被常用的电子邮件或USENET程序传输,它还应该被转换为可打印的ASCII格式,例如用"uuencode"实现这个转换,因此最后生成的文件名将是"foobar.tar.Z.uu."有些操作系统无法处理包含多个点(".")的文件名,可以采用连字符("-"),下划线("_")来代替,或者在目录里的"read me"文件里有对具体解决办法的详细介绍.Compress和Tar下面是一个使用"compress/uncompress"和"tar/untar"程序的例子.假定"补丁"是一个对已有应用程序进行修补和升级的程序.你在一个FTP档案站点找到诸如"patch.tar.Z"的文件.现在你可以知道,".Z"说明这个文件是用UNIX的"compress"命令压缩的,".tar"说明它被UNIX的"tar"命令处理过.首先,用匿名FTP把这个文件传到你自己的主机上.要解开这个程序包,你首先应该运行下面的命令对其解压缩:uncompress patch.tar.Z这会把这个文件的压缩解开,并将其重命名为"patch.tar".你可以执行"tar"命令再把里面每个文件释放出来.在这个例子中,对patch.tar这个文件,你可以运行如下命令:%tar xvf patch.tar被打包的文件将从文件"patch.tar"(加"f"参数的作用)释放出来(加"x"参数的作用).由于还使用了"v"参数(交互模式),文件被释放时会显示其文件名.这个释放过程结束后,原来组成这个"patch"程序的目录和文件就完整地存在于你现在的工作目录中了.值得注意的礼节性问题不是每个支持FTP的站点都允许匿名传输.试图从没有公开FTP服务的站点获得文件的做法是不正确的.我们应该记住,那些FTP站点的管理员们是本着增进交流的目的开放FTP服务的.他们管理维护站点所付出的努力和时间很少得到补偿.有些问题用户如果能够自己解决,最好不要要再去给管理增添麻烦.大多数的档案站点都能很好地发挥它们功能.但用户们应该理解,有时候为了照顾到站点高级用户们的使用方便,FTP站可能会把普通用户的访问时间限制在访问的非高峰时段(一般是站点本地时间的19:00到6:00).对于远在大洋彼岸的站点,注意到这一点是很重要的.因为连往这样站点的速度通常相对较慢.另外,有些匿名FTP站点限制了同一时刻的连接数目.如果你在尝试连接这样的站点时,得到了"在线用户过多"的错误信息,你应该等待一端时间后再做登陆尝试,,最好不要立即重新连接.为了防止重复存储,你应该与你的团体成员共享使用那些你从匿名FTP站点的到的有用软件.一旦你发现某个软件确实很有用处,你可以请求你的本地网络管理员,让这个软件在本地共享.这样可以避免每个人都在自己的用户目录里安装同样的软件包,从而节省了存储空间.如果你在一个档案站点发现一个有趣的程序,你可以把这个发现告诉其他的人.你不应该把它复制到你自己管理的档案站点上,除非你愿意保持对它进行同步更新.参考文献[1] Postel, J., and J. Reynolds, "File Transfer Protocol (FTP)", STD9, RFC 959, USC/InformationSciences Institute, October 1985.安全方面的考虑本文的讨论没有涉及安全方面的问题.作者地址Peter DeutschBunyip Information Systems266 Blvd. NeptuneDorval, Quebec, H9S 2L4CanadaPhone: (514) 398-3709EMail: peterd@Alan EmtageBunyip Information Systems266 Blvd. NeptuneDorval, Quebec, H9S 2L4 CanadaPhone: (514) 398-3709EMail: bajan@April N. MarineNASA NAICM/S 204-14Ames Research CenterMoffett Field, CA 94035-1000Phone: (415) 604-0762EMail: amarine@。

在网络上，匿名FTP是一个很常用的服务，常用于软件下载网站，软件交流网站等，为了提高匿名FTP服务开放的过程中的安全性，我们就这一问题进行一些讨论。

以下的设定方式是由过去许多网站累积的经验与建议组成。

我们认为可以让有个别需求的网站拥有不同设定的选择。

设定匿名FTPA.FTP daemon网站必须确定目前使用的是最新版本的FTP daemon。

B设定匿名FTP的目录匿名ftp的根目录(~ftp)和其子目录的拥有者不能为ftp帐号，或与ftp相同群组的帐号。

这是一般常见的设定问题。

假如这些目录被ftp或与ftp相同群组的帐号所拥有，又没有做好防止写入的保护，入侵者便可能在其中增加文件或修改其它文件。

现在许多网站都拥有root帐号，如果让匿名FTP的根目录与子目录的拥有者是root，所属族群(group)为system?，如此只有root有写入的权力，这能帮助你维持FTP服务的安全???以下是一个匿名ftp目录的设定范例：drwxr-xr-x 7 root system 512 Mar 1 15:17 ./drwxr-xr-x 25 root system 512 Jan 4 11:30 ../drwxr-xr-x 2 root system 512 Dec 20 15:43 bin/drwxr-xr-x 2 root system 512 Mar 12 16:23 etc/drwxr-xr-x 10 root system 512 Jun 5 10:54 pub/所有的文件和链接库，特别是那些被FTP daemon使用和那些在~ftp/bin 与~ftp/etc 中的文件，应该像上面范例中的目录做相同的保护。

这些文件和链接库除了不应该被ftp帐号或与ftp相同群组的帐号所拥有之外，也必须防止写入。

C.我们强烈建议网站不要使用系统中/etc/passwd 做为~ftp/etc 目录中的密码文件或将系统中/etc/group 做为~ftp/etc目录中的群组文件。