FTP权限详解

前言:

FTP是File Transfer Protocol(文件传输协议的简称),主要用来搭建FTP站点供用户上传、下载文件。作为网安爱好者最关心的依然是权限。而在网络上,关于FTP搭建的文章很多,但是关于非常详细的权限配置的文章却很少。大家自行收集信息搭建好FTP网站后,可直接阅读本文。本文从FTP最基础概念开始,引导大家熟悉且熟练于“权限”、“用户组”的操作,进而对windows的权限操作触类旁通。

注:本文以windows2012中IIS的FTP作为讲解示范。

大纲

0x01.FTP身份验证、FTP授权规则

0x02.虚拟路径的基本概念

0x03.用户隔离的基本概念

*0x04.详解:FTP “用户隔离” 与 “虚拟目录”

*0x05.学会新建专用于FTP的用户组

1

FTP身份验证、FTP授权规则

如上图,这是FTP的IIS页面。IIS是微软公司的Internet信息服务器,对当前网络应用成套推出了微软自己的产品。这也导致IIS中很多服务器,如FTP,其权限的概念与windows系统中的用户、用户组的概念甚是相关。请读者往下看,就会清楚很多东西。

FTP中的身份验证与授权规则,简单的说就是对ftp文件访问、写入权限最先进行的两层过滤。

一、身份验证:

身份验证:1.基本身份验证;2.匿名身份验证。

基本身份验证:用户登陆时必须写入ftp对应的账户密码来进行登陆。否则无法连接ftp服务器。

匿名身份验证:用户登陆FTP时无需以账户密码作为登陆凭据即可登陆。

当站长同时启用基本身份验证与匿名身份验证时,ftp会默认用户以匿名用户的身份登陆。也就是说,用户连接ftp不需要写入账户和密码。如果有需要切换成其他用户,可在文件资源管理器中右击空白处,选择“登录”,然后输入账户密码即可登陆。

如图:直接在“我的电脑”的url处输入ftp站点的网址,直接访问到ftp的内容。

如果要从匿名用户切换到其他用户,右击空白进行登录:

如图,输入账户密码即可:

二、授权规则

授权规则,主要是给站点、站点中不同文件夹赋予不同用户、用户组权限。

首先选择上图(站点文件夹树状图),双击进入其对应的“FTP授权规则”:

(下图(注意“dd”和“FTP授权规则”的高亮),欲对dd全站点进行授权规则的设置)

下图为进入“FTP授权规则”后:

在这里可设置哪些用户、用户组是否允许有“读取”或“写入”的权限(如下图):

注意:之前已说过,“FTP身份验证”与“授权规则”是对用户读写文件操作的两层过滤,且这两层过滤是串联性的。

举一个值得大家思考、复现的例子:

你将“FTP身份验证”设置为启用匿名禁止基本验证,然后在授权规则那里,对全站设置为 仅允许某用户组(非匿名用户)读取 ,那么,就会导致没有任何用户可以登录此FTP站点。

笔者试验:登录时会要求你输入账户密码(因为权限中只允许某用户组读取,所以验证时会优先“授权规则”,要求用户登录账户密码作为验证)(虽然我启用匿名且禁止基本身份验证),但是,此时输入任何用户的账户密码都会被拒绝连接(因为“身份验证”禁止了“基本身份验证”)

希望大家好好理解“身份验证”与“授权规则”的串联性。

2

虚拟目录的基本概念

虚拟目录:从站点或站点下某文件夹新建一个虚拟路径,用户访问此虚拟路径时可访问到此虚拟路径指向的物理路径(物理路径可以是本地的任意盘符的任意文件夹(只要有权限,虚拟目录的存在可以让你访问ftp根目录以外的文件))。

比如,让用户仅仅通过FTP就可以修改Apache中的htdocs文件夹,非常方便于远程服务器修改网页。

示例:

关闭dd站点,新建FTP站点test1,物理路径:C:\ftp

如图:

IIS新建站点:

“我的电脑”中“C:\ftp”

接下来,我们在test1站点中添加一个虚拟目录:

右击test1站点,选择“添加虚拟目录”:

建立一个虚拟目录,名为“ttt”,物理路径指向apache的htdocs文件夹(里面存有一些php文件):

最终站点下出现目录,如图:

如上图,虚拟目录已建成。

此时我们登陆ftp站点:

输入ftp://192.168.199.193:

输入ftp://192.168.199.193/ttt/:

但是,如果用户登陆时如果不知道虚拟路径的存在,同时站长又允许用户访问ttt目录。如上数第二图(同时也使下图):

如何让用户在第一次登录时就可以直观地访问虚拟路径呢?

笔者介绍一个小技巧,这个小技巧看起来更像是快捷方式一般的存在。

站长在虚拟目录的上级目录中,新建一个与虚拟目录同名的文件夹:

重启一下ftp站点;

然后,用户远程登录ftp站点test1:

会看到名为“ttt”的文件夹。

进入ttt文件夹:

看到了虚拟路径所指向的物理路径。

是不是很像虚拟目录的快捷方式呢!?

上篇终。

*中篇:0x03.用户隔离的基本概念 *0x04.详解:FTP “用户隔离” 与 “虚拟目录”

(中篇是重点,很多朋友没搞清楚“用户隔离”是什么,如何用户隔离的细节,而且不知道不同模式对应的虚拟目录细节)

*下篇:*0x05.学会新建专用于FTP的用户组

(本篇讲述如何安全地创建windows的本地用户组必要的细节)

FTP服务器比较常用,而且其用法也很简单。学习、熟悉常见服务器的权限配置是网安人员必要的意识。

有建议、指正本文错误、弥补本文不足之处的同学,欢迎你们在下方留言!

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180723G0JCXY00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券