proftpd安全加固：禁用匿名登录

其实，proftpd默认是禁止匿名登录的。今天我们反其道，研究一下如何开启匿名登录。清楚了怎么破防，才能更好得防。

查看/etc/proftpd.conf 配置文件：

# A basic anonymous configuration, with an upload directory
# Enable this with PROFTPD_OPTIONS=-DANONYMOUS_FTP in /etc/sysconfig/proftpd

Include /etc/proftpd/anonftp.conf


# Include other custom configuration files
Include /etc/proftpd/conf.d/*.conf

这么一段配置其实是一个KEY，proftpd已经定义了相对安全的匿名登录配置，都在/etc/proftpd/anonftp.conf文件中。我们只需要修改proftpd的/etc/sysconfig/proftpd环境变量文件中，增加配置PROFTPD_OPTIONS=-DANONYMOUS_FTP即可。

查看/etc/sysconfig/proftpd环境变量文件：

# Set PROFTPD_OPTIONS to add command-line options for proftpd.
# See proftpd(8) for a comprehensive list of what can be used.
#
# The following "Defines" can be used with the default configuration file:
# -DANONYMOUS_FTP       : Enable anonymous FTP
# -DDYNAMIC_BAN_LISTS   : Enable dynamic ban lists (mod_ban)
# -DQOS                 : Enable QoS bits on server traffic (mod_qos)
# -DTLS                 : Enable TLS (mod_tls)
#
# For example, for anonymous FTP and dynamic ban list support:
# PROFTPD_OPTIONS="-DANONYMOUS_FTP -DDYNAMIC_BAN_LISTS"
#PROFTPD_OPTIONS=""
PROFTPD_OPTIONS="-DANONYMOUS_FTP"

如上，已注释掉默认值#PROFTPD_OPTIONS=""，并新增了开启匿名登录的参数PROFTPD_OPTIONS="-DANONYMOUS_FTP"。

但是，此时你重启proftpd会发现仍然无法匿名登录。

这是因为proftpd的认证模块会验证用户的shell是否允许登录，在/etc/proftpd/anonftp.conf文件中通过UserAlias            anonymous ftp指令，将ftp用户重命名为anonymous。而ftp用户的shell是：/usr/sbin/nologin。我们通过usermod -s /bin/bash ftp ,然后再次匿名登录就会成功了。

综上，通过上面研究实验，如果要成功匿名登录，如下配置是关键点：
1、UserAlias             anonymous user1
2、用户user1的shell不能为/usr/sbin/nologin、/bin/fasle等
 

那么我们只要确保如上两点没有生效，那么就可以起到禁用匿名登录的目的。