1、精選優質文檔-傾情為你奉上CENTRAL SOUTH UNIVERSITY 操作系統安全實驗報告學生姓名 班級學號 指導教師 設計時間 專心-專注-專業操作系統安全實驗一Windows系統安全設置實驗1、 實驗目的1、 了解Windows操作系統的安全性2、 熟悉Windows操作系統的安全設置3、 熟悉MBSA的使用2、 實驗要求1、 根據實驗中的安全設置要求，詳細觀察并記錄設置前后系統的變化，給出分析報告。2、 采用MBSA測試系統的安全性，并分析原因。3、 比較Windows系統的安全設置和Linux系統安全設置的異同。3、 實驗內容人 1、 配置本地安全設置，完成以下內容：（1） 賬戶

2、策略：包括密碼策略（最小密碼長度、密碼最長存留期、密碼最短存留期、強制密碼歷史等）和賬戶鎖定策略（鎖定閾值、鎖定時間、鎖定計數等）A賬戶鎖定策略：賬戶鎖定閾值：指用戶輸入幾次錯誤的密碼后將用戶賬戶鎖定，默認為0，代表不鎖定賬戶鎖定時間：指當用戶賬戶被鎖定后經過多長時間會自動解鎖，0表示只有管理員才能受控解鎖復位賬戶鎖定計數器：指用戶由于輸入密碼錯誤開始計數時，計數器保持的時間，當時間過后，計數器復位為0.B.密碼策略（2） 賬戶和口令的 安全設置：檢查和刪除不必要的賬戶（User用戶、Duplicate User用戶、測試用戶、共享用戶等）、禁用guest賬戶、禁止枚舉帳號、創建兩個管理員帳號

3、、創建陷阱用戶（用戶名為Administrator、權限設置為最低）、不讓系統顯示上次登錄的用戶名。A.創建用戶：控制面板-管理工具-計算機管理-本地用戶和組-用戶-創建用戶B.修改用戶權限：控制面板-用戶賬戶-管理其他賬戶-更改賬戶類型C.禁止枚舉賬號：禁止原因：枚舉賬號指某些具有黑客行為的蠕蟲病毒可以通過掃描WindowsXP系統的指定端口，然后通過共享會話猜測管理員系統密碼，因此需要禁止枚舉賬號方法：本地安全設置-“安全設置”-“本地策略”-“安全選項”-雙擊對匿名連接的額外限制-不允許枚舉SAM賬號和共享”D創建陷阱用戶：原因：本來用戶是權限是非管理員，讓黑客認為他是管理員，取名Adm

4、inistrator，是因為一般的管理員用戶默認名為Administrator方法：右擊 我的電腦 管理 本地用戶和組 用戶1、將右側“管理計算機（域）的內置賬戶”默認的是administrator,改名為其他名字，但不要以admin、root等命名。2、在右側空白處右擊 新用戶在彈出的對話框中用戶名：admin或administrator，密碼自設設置用戶權限：運行組策略編輯器程序，在編輯器窗口的左側窗口中逐級展開“計算機配置Windows設置安全設置本地策略用戶權限指派”分支。雙擊需要改變的用戶權限，單擊“添加用戶或組”按鈕，然后雙擊想指派給權限的用戶賬號，最后單擊“確定”按鈕退出。E禁止

5、來賓賬戶F不讓系統顯示上次登錄的用戶名：組策略計算機配置windows配置安全配置本地策略安全選項雙擊交互式登陸：不顯示上次的用戶名交互式登陸：不顯示上次的用戶名屬性單擊已選用確定（3） 設置審核策略：審核策略更改、審核賬戶登錄事件、審核賬戶管理、審核登錄事件、審核特權使用等方法：控制面板-管理工具-本地安全策略-本地策略審核策略（4） 設置IP安全策略作用：IP安全策略是起到IP地址的安全保護設置作用的，可以防止比爾ping自己的電腦，關閉一些危險的端口。（PING (Packet Internet Groper)，因特網包探索器，用于測試網絡連接量的程序）方法：管理工具本地安全策略右鍵ip

6、安全策略創建IP安全策略單擊下一步3389過濾默認下一步確定后管理IP篩選器操作建立篩選器添加輸入3389篩選器1-單擊添加下一步任何ip地址下一步目的地址選我的Ip地址下一步選擇TCP的IP協議設置從任何端都到本機的某一端口下一步-管理篩選器操作添加下一步取名下一步阻止下一步完成篩選器建立接著建立IP安全規則雙擊建立的"3389過濾”添加下一步選擇是到下圖 選擇3389過濾器1阻止3389下一步完成安全規則建立IP安全策略右鍵3389過濾單擊之指派開始應用IP策略所以連接3389的TCP請求都被阻止建立允許管理員登陸的策略：打開上圖重復建立篩選器步驟建立3389篩選器2的

7、篩選器（其他設置與前面一樣，選擇源地址時變為“一個特定的IP地址“該地址是管理員工作站的IP）-重復建篩選器操作的步驟-建立名為3389的操作，在選擇動作時使用”許可“ （5） 其他設置：公鑰策略、軟件限制策略等公鑰策略：可以讓電腦自動向企業證書頒發機構提交證書申請并安裝辦法的證書，這樣有助于電腦獲得在組織內執行公鑰加密操作。軟件限制策略：簡單而言，就是設置哪些軟件可用哪些不可用，默認情況是關閉的。設置某軟件不可用：右鍵軟件限制策略建立新的策略單擊其他規則選新路徑規則單擊瀏覽選擇相應程序安全級別中選不允許單擊確定2、 Windows系統注冊表的配置（1） 找到用戶安全設置的鍵值、SA

8、M設置的鍵值（2） 修改注冊表：禁止建立空連接禁止管理共享、關閉139端口、防范SYN攻擊、減少syn-ack包的響應時間、預防DoS攻擊、防止ICMP重定向報文攻擊、不支持IGMP協議、禁止死網關監控技術、修改MAC地址等操作。A打開系統注冊表：開始運行鍵入regeditB.禁止建立空連接：空連接就是不用密碼和用戶名的IPC連接，在Windows 下，它是Net 命令來實現的方法1：開始運行鍵入regedit-找到如下主鍵HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA把RestrictAnonymous（DWORD）的鍵值改為:上述操作

9、執行完成后，用net share命令仍能看到ipc$ 共享，但只是不允許匿名空連接，可使用密碼連接。方法2：開始-設置-控制面板-管理工具-服務 ，在服務中停止掉 server的服務C.禁止管理共享：方法1：在計算機管理中直接停止共享 右擊我的電腦管理共享文件夾共享右擊需要停止的共享停止共享。 方法2： 編輯注冊表 使用前:方法停止系統默認共享，在系統重新啟動后，又恢復了共享，可以通過修改注冊表的方法，永久停止系統默認共享。 在注冊表中找到如下組鍵：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters，新

10、建DWORD類型的鍵，鍵名AutoShareServer，鍵值設為0。 但IPC$共享不受此影響，要想停止IPC$共享，可建立一個批處理文件stopipc.bat，內容包括net share ipc$ /delete一行，然后在啟動組中建立一個快捷方式。當以Administrator組中用戶登錄時，可停止IPC$共享，當以其它用戶登錄時，因不能執行NET命令，不能停止IPC$共享。D減少Syn-ack包的響應時間：HKLMSYSTEMCurrentControlSetServicesTcpipParametersTcpMaxConnectResponseRetransmissions定義了重發

11、SYN-ACK包的 次數。 增大NETBT的連接塊增加幅度和最大數器，NETBT使用139端口。 HKLMSYSTEMCurrentControlSetServicesNetBtParametersBacklogIncrement默認值為3，最大20，最小1。 HKLMSYSTEMCurrentControlSetServicesNetBtParametersMaxConnBackLog默認值為1000，最大可取40000 E防范SYN攻擊： 相關的值項在 HKLMSYSTEMCurrentControlSetService TcpipParameters下。 (1) DWORD：SynAtt

12、ackProtect：定義了是否允許SYN淹沒攻擊保護，值1表示允許起用Windows的SYN淹沒攻擊保護。 (2) DWORD：TcpMaxConnectResponseRetransmissions：定義了對 于連接請求回應包的重發次數。值為1，則SYN淹沒攻擊不會有效果，但是這樣會造成連接請求失敗幾率的增高。SYN淹沒攻擊保護只有在該值>=2時才會被啟用，默認值為3。 （上邊兩個值定義是否允許SYN淹沒攻擊保護，下面三個則定義了 激活SYN淹沒攻擊保護的條件，滿足其中之一，則系統自動激活 SYN淹沒攻擊保護。） F預防DoS攻擊： 在注冊表 HKLMSYSTEMCurrentCon

13、trolSetServicesTcpipPa rameters中更改以下值可以防御一定強度的DoS攻擊 SynAttackProtect REG_DWORD 2 EnablePMTUDiscovery REG_DWORD 0 NoNameReleaseOnDemand REG_DWORD 1 EnableDeadGWDetect REG_DWORD 0 KeepAliveTime REG_DWORD 300,000 PerformRouterDiscovery REG_DWORD 0 EnableICMPRedirects REG_DWORD 0 G防止ICMP重定向報文的攻擊： HKLMSY

14、STEMCurrentControlSetServicesTcpipParameters EnableICMPRedirects REG_DWORD 0x0(默認值為0x1)不支持ICMP協議IGMP(Internet Group Manage Protocol):Internet組管理協議,提供internet網際多點傳送的功能,即將一個ip包拷貝給多個host,windows系列采用了這個協議,因為此項技術尚不成熟,因此被一些人用來攻擊windows系統,尤其是對win98,因為對win95有oob攻擊.受到IGMP攻擊的癥狀是首先出現藍屏,然后網速變得極慢,有的甚至鼠標,鍵盤均不管用.非

15、得重起不H修改MAC地址：控制面板網絡和控制中心更改適配器設置選擇本地要修改MAC地址的網卡右鍵網卡選擇屬性配置高級網絡地址輸入新的MAC地址3、 文件及文件夾權限設置（1） 用戶組及用戶的權限：有哪些組？其權限是什么？有哪些用戶？有屬哪些組？設置其權限。（2） 新建一個文件夾并設置其訪問控制權限。系統的當前用戶為Adiministrator，因此選中該用戶，編輯其權限，將拒絕權限項全部打鉤后，點擊應用，在打開文件的時候顯示：4、 審核日志分析（1） 查找審核日志，顯示其詳細信息：應用程序日志、安全性日志、系 統日志。控制面板管理工具事件查看器windows日志安全雙擊事件詳細信息Proces

16、sID表示進程的身份驗證號是0xa60（2） 分析各種日志所描述的內容，分析警告、信息、錯誤等的意義。信息為普通系統信息，警告為暫時可不處理問題，錯誤為必須立即處理的問題5、 使用Microsoft 基準安全分析器MBSA 2.0對系統進行安全評估Microsoft 基準安全分析器 (MBSA) 可以檢查操作系統，還可以掃描計算機上的不安全配置。檢查 Windows 服務包和修補程序時，它將 Windows 組件（如 Internet 信息服務 (IIS) 和 COM+）也包括在內。MBSA 使用一個 XML 文件作為現有更新的清單。該 XML 文件包含在存檔 Mssecure.cab 中，由

17、 MBSA 在運行掃描時下載，也可以下載到本地計算機上，或通過網絡服務器使用。6、 信息安全綜合實驗系統中的實驗：（1）信息安全01. Windows用戶管理02. Windows策略管理03. Windows網絡與服務管理04. Web服務安全配置06. 遠程桌面安全配置22. 文件事件審計實驗23. 網絡事件審計實驗24. 應用程序審計實驗25. 主機監管實驗26.日志事件審計實驗27. 日志關聯審計實驗28. 審計跟蹤實驗29. FAT32數據恢復實驗30. NTFS數據恢復實驗36. Snapshot快照實驗37. 主機存活性判斷實驗38. 服務端口判斷實驗39. 操作系統判斷實驗40

18、. 操作系統漏洞掃描實驗（2）網絡攻防03. Windows Server IP安全配置07. Windows系統賬戶安全評估08. Windows系統賬戶安全評估（MBSA）10. 弱口令破解實驗11. 信息安全風險評估實驗12. 配置Windows系統安全評估日志配置213. 配置Windows系統安全評估IP協議安全配置14. 配置Windows系統安全評估Windows日志與審計操作系統安全實驗二Linux系統安全設置實驗一、實驗目的1、了解Linux操作系統的安全性2、熟悉Linux操作系統的安全設置3、建立Linux操作系統的基本安全框架二、實驗要求1、根據實驗中的安全設置要求，詳

19、細觀察并記錄設置前后系統的變化，給出分析報告。2、使用RPM對系統的軟件進行管理，驗證系統內軟件的完整性，并分析結果。3、比較Windows系統的安全設置和Linux系統安全設置的異同。三、實驗內容cd /home 進入 '/ home' 目錄' cd . 返回上一級目錄 cd ./. 返回上兩級目錄 cd 進入個人的主目錄 cd user1 進入個人的主目錄 cd - 返回上次所在的目錄 pwd 顯示工作路徑 ls 查看目錄中的文件 ls -F 查看目錄中的文件 ls -l 顯示文件和目錄的詳細資料 ls -a 顯示隱藏文件 ls *0-9* 顯示包含數字的文件名和目

20、錄名 tree 顯示文件和目錄由根目錄開始的樹形結構(1) lstree 顯示文件和目錄由根目錄開始的樹形結構(2) mkdir dir1 創建一個叫做 'dir1' 的目錄' mkdir dir1 dir2 同時創建兩個目錄 mkdir -p /tmp/dir1/dir2 創建一個目錄樹 rm -f file1 刪除一個叫做 'file1' 的文件' rmdir dir1 刪除一個叫做 'dir1' 的目錄' rm -rf dir1 刪除一個叫做 'dir1' 的目錄并同時刪除其內容 rm -rf dir

21、1 dir2 同時刪除兩個目錄及它們的內容 mv dir1 new_dir 重命名/移動 一個目錄 cp file1 file2 復制一個文件 cp dir/* . 復制一個目錄下的所有文件到當前工作目錄 cp -a /tmp/dir1 . 復制一個目錄到當前工作目錄 cp -a dir1 dir2 復制一個目錄1、賬戶和口令安全(1)查看和添加賬戶在終端下輸入命令：useradd *，建立一個新賬戶；Sudo 授權：sudo -i表示以root身份登錄，進程的實際用戶ID和有效用戶ID都變成了root，主目錄也切換為root的主目錄。想從root用戶切回user用戶只需執行命令：su use

22、r cat /etc/shadaw, 查看系統中的賬戶列表；查看文件內容 cat file1 從第一個字節開始正向查看文件的內容 tac file1 從最后一行開始反向查看一個文件的內容 more file1 查看一個長文件的內容 less file1 類似于 more' 命令，但是它允許在文件中和正向操作一樣的反向操作 head -2 file1 查看一個文件的前兩行 tail -2 file1 查看一個文件的最后兩行 tail -f /var/log/messages 實時查看被添加到一個文件中的內容(2) 添加和更改密碼：passwd命令(3) 查看Linux系統中是否有用于檢測

23、密碼安全的黑客技術語字典及密碼檢測模塊：locate pam_cracklib.so dict|grep crack2、 賬戶安全設置（1） 強制用戶首次登陸時修改口令，強制每90天更改一次口令，并提前10天提示：change命令（2） 賬戶的禁用與恢復：passwd命令，鎖定除root之外的不必要的超級用戶把root用戶密碼設為空了，Linux中都不允許使用空密碼（3） 建立用戶組，設置用戶：groupadd命令、groupmod命令、gpasswd命令groupmod命令更改用戶組信息命令，-n選項用于修改用戶組組名，-g選項用于修改用戶組的GIDgroupadd命令groupmod命令g

24、passwd命令（4） 設置密碼規則：/etc/login.defs文件編輯修改，設置用戶的密碼最長使用天數、最小密碼長度等PASS_MAX_DAYS 90 #密碼最長過期天數PASS_MIN_DAYS 80 #密碼最小過期天數PASS_MIN_LEN 10 #密碼最小長度PASS_WARN_AGE 7 #密碼過期警告天數（5） 為賬戶和組相關系統文件加上不可更改屬性，防止非授權用戶獲取權限：chattr命令、文件的特殊屬性 - 使用 "+" 設置權限，使用 "-" 用于取消 chattr +a file1 只允許以追加方式讀寫文件 chattr +c

25、file1 允許這個文件能被內核自動壓縮/解壓 chattr +d file1 在進行文件系統備份時，dump程序將忽略這個文件 chattr +i file1 設置成不可變的文件，不能被刪除、修改、重命名或者鏈接 chattr +s file1 允許一個文件被安全地刪除 chattr +S file1 一旦應用程序對這個文件執行了寫操作，使系統立刻把修改的結果寫到磁盤 chattr +u file1 若文件被刪除，系統會允許你在以后恢復這個被刪除的文件 lsattr 顯示特殊的屬性（6） 刪除用戶和用戶組：userdel命令、groupdel命令刪除用戶組刪除用戶（7） 限制su命令提權：/

26、etc/pam.d/su文件，在頭部添加命令：auth required /lib/security/pam_wheel.so group=wheel這樣，只有wheel組的用戶可以su到root用戶（8） 將用戶加入到某個組：usermod命令 （9） 確認shadow中的空口令帳號：awk命令（10） /中間有一個！表示密碼為空3、 文件系統管理安全（1） 查看某個文件的權限：ls l（2） 設置文件屬主及屬組等的權限：chmod命令（3） 切換用戶，檢查用戶對文件的權限：su命令（4） 修改文件的屬主和屬組：chown命令chmod ugo+rwx directory1 設置目錄的所有人

27、(u)、群組(g)以及其他人(o)以讀（r ）、寫(w)和執行(x)的權限 chmod go-rwx directory1 刪除群組(g)與其他人(o)對目錄的讀寫執行權限 chown user1 file1 改變一個文件的所有人屬性 chown -R user1 directory1 改變一個目錄的所有人屬性并同時改變改目錄下所有文件的屬性 chgrp group1 file1 改變文件的群組 chown user1:group1 file1 改變一個文件的所有人和群組屬性 find / -perm -u+s 羅列一個系統中所有使用了SUID控制的文件 chmod u+s /bin/file

28、1 設置一個二進制文件的 SUID 位 - 運行該文件的用戶也被賦予和所有者同樣的權限 chmod u-s /bin/file1 禁用一個二進制文件的 SUID位 chmod g+s /home/public 設置一個目錄的SGID 位 - 類似SUID ，不過這是針對目錄的 chmod g-s /home/public 禁用一個目錄的 SGID 位 chmod o+t /home/public 設置一個文件的 STIKY 位 - 只允許合法所有人刪除文件 chmod o-t /home/public 禁用一個目錄的 STIKY 位（5） 文件的打包備份和壓縮、和解壓：tar命令、gzip命令

29、、gunzip命令tar -cvf archive.tar file1 創建一個非壓縮的 tarball tar -cvf archive.tar file1 file2 dir1 創建一個包含了 'file1', 'file2' 以及 'dir1'的檔案文件 tar -tf archive.tar 顯示一個包中的內容 tar -xvf archive.tar 釋放一個包 tar -xvf archive.tar -C /tmp 將壓縮包釋放到 /tmp目錄下 tar -cvfj archive.tar.bz2 dir1 創建一個bzip2格式的

30、壓縮包 tar -xvfj archive.tar.bz2 解壓一個bzip2格式的壓縮包 tar -cvfz archive.tar.gz dir1 創建一個gzip格式的壓縮包 tar -xvfz archive.tar.gz 解壓一個gzip格式的壓縮包gzip file1 壓縮一個叫做 'file1'的文件 gzip -9 file1 最大程度壓縮gunzip file1.gz 解壓一個叫做 'file1.gz'的文件備份 dump -0aj -f /tmp/home0.bak /home 制作一個 '/home' 目錄的完整備份 dum

31、p -1aj -f /tmp/home0.bak /home 制作一個 '/home' 目錄的交互式備份 restore -if /tmp/home0.bak 還原一個交互式備份（6） 設置應用于目錄的SGID權限位：文件權限用 12 個二進制位表示，如果該位的值是 1，表示有相應的權限： 11 10 9 8 7 6 5 4 3 2 1 0 S G T r w x r w x r w x 第 11 位為 SUID 位，第 10 位為 SGID 位，第 9 位為 sticky 位，第 8-0 位對應于上面的三組 rwx 位。 上面的-rwsr-xr-x的值為： 1 0 0 1 1

32、 1 1 0 1 1 0 1-rw-r-Sr-的值為： 0 1 0 1 1 0 1 0 0 1 0 0chmod g+s filename 設置SGID位 chmod g-s filename 去掉SGID設置SUID作用：讓本來沒有相應權限的用戶運行這個程序時，可以訪問他沒有權限訪問的資源。4、 信息安全綜合實驗系統實驗（1）信息安全07. Linux文件系統08. Linux用戶管理09. Linux日志管理10. Linux網絡與服務管理20. Linux惡意腳本實驗31. ext2數據恢復實驗33. IP SAN網絡存儲實驗34. NAS網絡存儲實驗35. NFS數據實驗（2）網絡攻防

33、16. Linux用戶管理實驗23. 綜合掃描實驗操作系統安全實驗三SELinux實驗一、實驗目的1、了解Linux操作系統的安全性2、熟悉SELinux安全模塊的配置和使用3、熟悉SELinux框架的基本內容二、實驗要求1、根據實驗中的安全設置要求，詳細觀察并記錄設置前后系統的變化，給出分析報告。2、熟悉Flask安全體系框架和SELinux安全體系結構的組成。3、比較Flask安全體系框架和權能體系結構。三、實驗內容1、安裝與啟動SELinux安全模塊Selinux簡介：Selinxux的特點：對訪問的控制徹底化，對所有的文件、目錄、端口的訪問都是基于策略設定的，可由管理員時行設定。對于用

34、戶只賦予最小權限。用戶被劃分成了一些role(角色)，即使是root用戶，如果不具有sysadm_r角色的話，也不是執行相關的管理。哪些role可以執行哪些domain（域）,也是可以修改的。當啟動selinux的時候，所有文件與對象都有安全上下文。進程的安全上下文是域，安全上下文由用戶:角色:類型表示。 ubuntu 10環境下：sudo apt-get install selinux2、查看當前SELinux目前的設置，理解設置影響哪方面的安全？查看selinux加載的內核模塊：semodule lSELinux當前運行狀態：getenforce設置運行狀態： sudo setenforc

35、e Enforcing | Permissive | 1 | 0SELinux的工作模式一共有三種 enforcing、permissive和disabled enforcing強制模式：只要是違反策略的行動都會被禁止，并作為內核信息記錄permissive允許模式：違反策略的行動不會被禁止，但是會提示警告信息disabled禁用模式：禁用SELinux，與不帶SELinux系統是一樣的，通常情況下我們在不怎么了解SELinux時，將模式設置成disabled，這樣在訪問一些網絡應用時就不會出問題了查看拒絕信息：getsebool -a、getsebool allow_execheap查看允許

36、的服務：/var/log/messages、/usr/bin/audit2allow查看用戶安全上下文：id1 檢查帳號的安全上下文root:system_r:unconfined_t:SystemLow-SystemHigh可以查看selinux錯誤日志：sealert -a /var/log/audit/audit.log3、修改SELinux設置，理解設置影響哪方面的安全？ 修改安全上下文：chcon Rchcon -R -tsamba_share_t /tmp/abc注：安全上下文的簡單理解說明，受到selinux保護的進程只能訪問標識為自己只夠訪問的安全上下文的文件與目錄。例如：上面

37、解釋為使用smb進程能夠訪問/tmp/abc目錄而設定的安全上下文。修改策略：setsebool Psetsebool命令setsebool P allow_ftpd_anon_write=1-P 是永久性設置，否則重啟之后又恢復預設值。示例：rootredhatfiles# setsebool -P allow_ftpd_anon_write=1rootredhatfiles# getsebool allow_ftpd_anon_writeallow_ftpd_anon_write-> on說明：如果僅僅是安全上下文中設置了vsftpd進程對某一個目錄的訪問，配置文件中也允許可寫，但是

38、selinux中策略中不允許可寫，仍然不可寫。所以基于selinux保護的服務中，安全性要高于很多。其他修改設置方面，如http、ftp、nfs等。nfsselinux對nfs的限制好像不是很嚴格，默認狀態下，不對nfs的安全上下文進行標記，而且在默認狀態的策略下，nfs的目標策略允許nfs_export_all_ronfs_export_all_ronfs_export_all_rw值為0所以說默認是允許訪問的。但是如果共享的是/home/abc的話，需要打開相關策略對home的訪問。setsebool -Puse_nfs_home_dirs boolean 1getsebooluse_nfs_home_dirsftp如果ftp為匿名用戶共享目錄的話，應修改安全上下文。chcon -R -t public_content_t /var/ftpchcon -R -t public_content_rw_t /var/ftp/incoming策略的設置setsebool -P allow_ftpd_anon_write