如何来提高FTP服务器的安全性？

从两个方向去做:

一、禁止系统级别用户来登录FTP服务器。

为了提高FTP服务器的安全，系统管理员最好能够为员工设置单独的FTP帐号，而不要把系统级别的用户给普通用户来使用，这会带来很大的安全隐患。在VSFTP服务器中，可以通过配置文件vsftpdftpusers来管理登陆帐户。不过这个帐户是一个黑名单，列入这个帐户的人员将无法利用其帐户来登录FTP服务器。部署好VSFTP服务器后，我们可以利用vi命令来查看这个配置文件，发现其已经有了许多默认的帐户。其中，系统的超级用户root也在其中。可见出于安全的考虑，VSFTP服务器默认情况下就是禁止root帐户登陆FTP服务器的。如果系统管理员想让root等系统帐户登陆到FTP服务器，则知需要在这个配置文件中将root等相关的用户名删除即可。不过允许系统帐户登录FTP服务器，会对其安全造成负面的影响，为此我不建议系统管理员这么做。对于这个文件中相关的系统帐户管理员最好一个都不要改，保留这些帐号的设置。

如果出于其他的原因，需要把另外一些帐户也禁用掉，则可以把帐户名字加入到这个文件中即可。如在服务器上可能同时部署了FTP服务器与数据库服务器。那么为了安全起见，把数据库管理员的帐户列入到这个黑名单，是一个不错的做法。

二、加强对匿名用户的控制。

匿名用户是指那些在FTP服务器中没有定义相关的帐户，而FTP系统管理员为了便于管理，仍然需要他们进行登陆。但是他们毕竟没有取得服务器的授权，为了提高服务器的安全性，必须要对他们的权限进行限制。在VSFTP服务器上也有很多参数可以用来控制匿名用户的权限。系统管理员需要根据FTP服务器的安全级别，来做好相关的配置工作。需要说明的是，匿名用户的权限控制的越严格，FTP服务器的安全性越高，但是同时用户访问的便利性也会降低。故最终系统管理员还是需要在服务器安全性与便利性上取得一个均衡。

下面是我推荐的几个针对匿名用户的配置，大家若不清楚该如何配置的话，可以参考这些配置。这些配置兼顾了服务器的安全与用户的使用便利。

一是参数anon_world_readable_only。这个参数主要用来控制匿名用户是否可以从FTP服务器上下载可阅读的文件。如果FTP服务器部署在企业内部，主要供企业内部员工使用的话，则最好把这个参数设置为YES。然后把一些企业常用表格等等可以公开的文件放置在上面，让员工在匿名的情况下也可以下载这些文件。这即不会影响到FTP服务器的安全，而且也有利于其他员工操作的便利性上。

二是参数anon_upload_enable。这个参数表示匿名用户能否在匿名访问的情况下向FTP服务器上传文件。通常情况下，应该把这个参数设置为No。即在匿名访问时不允许用户上传文件。否则的话，随便哪个人都可以上传文件的话，那对方若上传一个病毒文件，那企业不是要遭殃了。故应该禁止匿名用户上传文件。但是这也有例外。如有些企业通过FTP协议来备份文件。此时如果企业网络的安全性有所保障的话，可以把这个参数设置为YES，即允许操作系统调用FTP命令往FTP服务器上备份文件。

谢谢，这是我的回答。

windows2003 FTP服务器分配账户权限：

第1步右键单击新建的 FTP 站点，点击“权限”

第2 步在安全选项中点击“添加”，然后在“选择用户或组”选项中点击“高级”，

然后点击“立即查找”，在“搜索结果”中选择建立的账户（如“boaer”

第3 步点击“确定/确定”后，在安全选项中，选择刚才添加的用户（如“boaer”）,然后在下面的选项中，选择“写入”权限，最后点击“确定”即可。

登录FTP 站点，站点创建完成后用FTP 软件连接测试创建是否成功。

通过 iis 中的ftp 建立多用户名多目录站点主要注意的几个问题：

（1）先建立账户，账户名将来是要和文件夹名字相对应的，建议做到简单易懂好记录，另密码要设置复杂一些，最好8 位以上，且符合复杂性要求。

（2）注意建立文件夹时的目录结构三层 1 层可以自己起名字 2 层必须是localuser 3 层 文件夹名字必须和建立的账户名一样

（3）在ftp 站点点击右键，选择权限，然后添加第二步建立好的账户，并给予写权限。

（4）以上方法建立ftp 站点是只需要建立一个即可。

一般由三个原因造成：

1、防火墙未关闭。

2、设置有误，FTP被动模式没有禁止。

3、FTP服务器设置了权限限制。

解决方法如下：

1、在开始菜单中，打开”控制面板“。

2、点击”系统和安全“。

3、点击”Winsows 防火墙“。

4、单击左侧的”启用或关闭Windows防火墙“。

5、在”家庭或工作网络位置设置“和”公用网络位置设置“两项里选择关闭防火墙，单击”确定“即可。

上传时提示：将文件复制到ftp服务器出错，请检查是否有权限将文件放到该服务器上。此问题的原因：设置错误造成的。

解决的方法和操作步骤如下：

1、首先，直接在开始栏的搜索框中输入“

 Internet”，然后选择[Internet信息服务(IIS)管理器]选项，然后单击以进入服务器管理器，如下图所示，然后进入下一步。

2、其次，完成上述步骤后，在左侧连接框中的[网站]选项中选择创建的FTP服务器，如下图所示，然后进入下一步。

3、接着，完成上述步骤后，单击右侧的[高级设置]选项，进入“FTP高级设置”对话框，如下图所示，然后进入下一步。

4、然后，完成上述步骤后，在“高级设置”对话框中找到[允许 UTF-8]选项，单击下拉列，然后选择[False]选项，如下图所示，然后进入下一步。

5、最后，完成上述步骤后，必须重新启动FTP服务器才能生效。单击右侧菜单栏中的[重新启动]选项，如下图所示。这样，重新启动之后，问题就解决了。

首先你要弄清楚vsftpd的验证方式有三种

匿名访问:任何人无需验证口令即可登入FTP服务端。

本地用户:使用FTP服务器中的用户、密码信息。

虚拟用户:创建独立的FTP帐号资料。

一般像你这种对权限控制比较严格的话，要用虚拟用户模式，下面是方法

第1步:建立虚拟FTP用户数据库文件。

切换至vsftpd程序目录：cd /etc/vsftpd/

创建用于生成FTP用户数据库的原始帐号和密码文件：vim vuserlist

//单数行为帐号，双数行为密码。

userA

passwdA

userB

passwdB

admin

passwdadmin

使用db_load命令用HASH算法生成FTP用户数据库文件vuserdb：

db_load -T -t hash -f vuserlist vuserdb

FTP用户数据库内容很敏感，所以权限给小一些：chmod 600 vuserdb

删除原始的帐号和密码文件：rm -f vuserlist

第2步:创建FTP根目录及虚拟用户映射的系统用户。

创建用户virtual并设置为不允许登陆系统并定义该用户的家目录：

useradd -d /var/ftproot -s /sbin/nologin virtual

为保证其他用户可以访问，给予rwxr-xr-x权限：chmod -Rf 755 /var/ftproot/

第3步:建立支持虚拟用户的PAM认证文件：

vim /etc/pamd/vsftpdvu

//参数db用于指向刚刚生成的vuserdb文件，但不要写后缀。

auth required pam_userdbso db=/etc/vsftpd/vuser

account required pam_userdbso db=/etc/vsftpd/vuser

第4步:在vsftpdconf文件中添加支持配置。

vim /etc/vsftpd/vsftpdconf

anonymous_enable=NO 禁止匿名开放模式。

local_enable=YES 允许本地用户模式。

guest_enable=YES 开启虚拟用户模式。

guest_username=virtual 指定虚拟用户帐号。

pam_service_name=vsftpdvu 指定pam文件。

allow_writeable_chroot=YES 允许禁锢的FTP根目录可写而不拒绝用户登入请求。

第5步:为虚拟用户设置不同的权限

现在不论是userA还是userB帐户，他们的权限都是相同的——默认不能上传、创建、修改文件

指定用户独立的权限配置文件存放的目录：

vim /etc/vsftpd/vsftpdconf

user_config_dir=/etc/vsftpd/vusers_dir

创建用户独立的权限配置文件存放的目录：

mkdir /etc/vsftpd/vusers_dir/

切换进入到该目录中：cd /etc/vsftpd/vusers_dir/

创建userA的配置文件：

vim userA

anon_upload_enable=YES

anon_mkdir_write_enable=NO

anon_other_write_enable=NO

anon_download_enable=NO

创建userB的配置文件：

vim userB

anon_upload_enable=NO

anon_mkdir_write_enable=NO

anon_other_write_enable=NO

anon_download_enable=YES

创建admin的配置文件

vim admin

anon_upload_enable=YES

anon_mkdir_write_enable=YES

anon_other_write_enable=YES

anon_download_enable=YES

第6步:重启vsftpd服务，验证实验效果。

systemctl restart vsftpd

如果出现操作被拒绝，考虑selinux的因素

首先在你的服务器上创建用户

打开管理工具 -> 计算机管理

打开后

点击本地用户和组

点击用户，右键新建用户

输入用户名密码，点击创建。

再次用户已经创建完毕了。

然后打开ftp站点

点击FTP身份验证

禁用匿名身份验证

再点击FTP授权规则

双击规则， 选择指定的角色或用户组

设置权限。

完成。

Windows Server 2008服务器配置FTP站点的方法：

首先，安装FTP服务

打开服务器管理器，点击角色，添加角色，如果安装过iis，角色摘要里面会有个Web服务器(IIS),点击后面的添加角色，滚动条拉到最后勾选FTP服务器，根据步骤安装。

添加FTP站点

打开IIS管理器，依次操作， IIS列表右键站点目录，添加FTP站点，填写名称和路径，下一步填写绑定IP和SSL设置，继续选择授权访问的用户，点击完成，至此创建站点完成。

创建FTP账户

开始-运行-cmd-lusrmgrmsc,出现本地用户和组窗口，新用户添加新用户。

配置权限

在IIS左边选择刚添加的站点，点击编辑权限，选择安全-编辑-添加，添加上一步所创建的ftp账户，赋予完全控制权限，点击确定即可配置完毕。

最后还需要在防火墙中开启相应的连接许可，进入“控制面板》系统和安全》Windows 防火墙》允许的程序”，在“允许另一个程序”中添加“C:\Windows\System32\svchostexe”这个程序。 勾选允许防火墙通过的网络。

Windows下除了系统自带的ftp服务器外，还可以使用诸如Serv-U、WinFtp Server Ftp、FileZilla Server等第三方软件来搭建ftp服务器；ftp服务器搭建好后，就可以使用如FlashFXP、Core FTP、8uFTP等常用的工具进行上传下载操作了。