FTP权限详解

前言：

FTP是File Transfer Protocol（文件传输协议的简称），主要用来搭建FTP站点供用户上传、下载文件。作为网安爱好者最关心的依然是权限。而在网络上，关于FTP搭建的文章很多，但是关于非常详细的权限配置的文章却很少。大家自行收集信息搭建好FTP网站后，可直接阅读本文。本文从FTP最基础概念开始，引导大家熟悉且熟练于“权限”、“用户组”的操作，进而对windows的权限操作触类旁通。

注：本文以windows2012中IIS的FTP作为讲解示范。

大纲

0x01.FTP身份验证、FTP授权规则

0x02.虚拟路径的基本概念

0x03.用户隔离的基本概念

*0x04.详解：FTP “用户隔离” 与 “虚拟目录”

*0x05.学会新建专用于FTP的用户组

1

FTP身份验证、FTP授权规则

如上图，这是FTP的IIS页面。IIS是微软公司的Internet信息服务器，对当前网络应用成套推出了微软自己的产品。这也导致IIS中很多服务器，如FTP，其权限的概念与windows系统中的用户、用户组的概念甚是相关。请读者往下看，就会清楚很多东西。

FTP中的身份验证与授权规则，简单的说就是对ftp文件访问、写入权限最先进行的两层过滤。

一、身份验证：

身份验证：1.基本身份验证；2.匿名身份验证。

基本身份验证：用户登陆时必须写入ftp对应的账户密码来进行登陆。否则无法连接ftp服务器。

匿名身份验证：用户登陆FTP时无需以账户密码作为登陆凭据即可登陆。

当站长同时启用基本身份验证与匿名身份验证时，ftp会默认用户以匿名用户的身份登陆。也就是说，用户连接ftp不需要写入账户和密码。如果有需要切换成其他用户，可在文件资源管理器中右击空白处，选择“登录”，然后输入账户密码即可登陆。

如图：直接在“我的电脑”的url处输入ftp站点的网址，直接访问到ftp的内容。

如果要从匿名用户切换到其他用户，右击空白进行登录：

如图，输入账户密码即可：

二、授权规则

授权规则，主要是给站点、站点中不同文件夹赋予不同用户、用户组权限。

首先选择上图（站点文件夹树状图），双击进入其对应的“FTP授权规则”：

（下图（注意“dd”和“FTP授权规则”的高亮），欲对dd全站点进行授权规则的设置）

下图为进入“FTP授权规则”后：

在这里可设置哪些用户、用户组是否允许有“读取”或“写入”的权限（如下图）：

注意：之前已说过，“FTP身份验证”与“授权规则”是对用户读写文件操作的两层过滤，且这两层过滤是串联性的。

举一个值得大家思考、复现的例子：

你将“FTP身份验证”设置为启用匿名禁止基本验证，然后在授权规则那里，对全站设置为 仅允许某用户组（非匿名用户）读取 ，那么，就会导致没有任何用户可以登录此FTP站点。

笔者试验：登录时会要求你输入账户密码（因为权限中只允许某用户组读取，所以验证时会优先“授权规则”，要求用户登录账户密码作为验证）（虽然我启用匿名且禁止基本身份验证），但是，此时输入任何用户的账户密码都会被拒绝连接（因为“身份验证”禁止了“基本身份验证”）

希望大家好好理解“身份验证”与“授权规则”的串联性。

2

虚拟目录的基本概念

虚拟目录：从站点或站点下某文件夹新建一个虚拟路径，用户访问此虚拟路径时可访问到此虚拟路径指向的物理路径（物理路径可以是本地的任意盘符的任意文件夹（只要有权限，虚拟目录的存在可以让你访问ftp根目录以外的文件））。

比如，让用户仅仅通过FTP就可以修改Apache中的htdocs文件夹，非常方便于远程服务器修改网页。

示例：

关闭dd站点，新建FTP站点test1，物理路径：C:\ftp

如图：

IIS新建站点：

“我的电脑”中“C:\ftp”

接下来，我们在test1站点中添加一个虚拟目录：

右击test1站点，选择“添加虚拟目录”：

建立一个虚拟目录，名为“ttt”，物理路径指向apache的htdocs文件夹（里面存有一些php文件）：

最终站点下出现目录，如图：

如上图，虚拟目录已建成。

此时我们登陆ftp站点：

输入ftp://192.168.199.193：

输入ftp://192.168.199.193/ttt/：

但是，如果用户登陆时如果不知道虚拟路径的存在，同时站长又允许用户访问ttt目录。如上数第二图（同时也使下图）：

如何让用户在第一次登录时就可以直观地访问虚拟路径呢？

笔者介绍一个小技巧，这个小技巧看起来更像是快捷方式一般的存在。

站长在虚拟目录的上级目录中，新建一个与虚拟目录同名的文件夹：

重启一下ftp站点；

然后，用户远程登录ftp站点test1：

会看到名为“ttt”的文件夹。

进入ttt文件夹：

看到了虚拟路径所指向的物理路径。

是不是很像虚拟目录的快捷方式呢！？

上篇终。

*中篇：0x03.用户隔离的基本概念 *0x04.详解：FTP “用户隔离” 与 “虚拟目录”

（中篇是重点，很多朋友没搞清楚“用户隔离”是什么，如何用户隔离的细节，而且不知道不同模式对应的虚拟目录细节）

*下篇：*0x05.学会新建专用于FTP的用户组

（本篇讲述如何安全地创建windows的本地用户组必要的细节）

FTP服务器比较常用，而且其用法也很简单。学习、熟悉常见服务器的权限配置是网安人员必要的意识。

有建议、指正本文错误、弥补本文不足之处的同学，欢迎你们在下方留言！