vsftpd 配置

　　控制匿名用户登入时是否需要密码，YES不需要，NO需要。默认值为NO。
　　
　　deny_email_enable=YES|NO
　　此参数默认值为NO。当值为YES时，拒绝使用banned_email_file参数指定文件中所列出的e-mail地址进行登录的匿名用户。即，当匿名用户使用banned_email_file文件中所列出的e-mail进行登录时，被拒绝。显然，这对于阻击某些Dos攻击有效。当此参数生效时，需追加banned_email_file参数
　　banned_email_file=/etc/vsftpd.banned_emails
　　指定包含被拒绝的e-mail地址的文件，默认文件为/etc/vsftpd.banned_emails。
　　anon_root=
　　设定匿名用户的根目录，即匿名用户登入后，被定位到此目录下。主配置文件中默认无此项，默认值为/var/ftp/。
　　anon_world_readable_only=YES|NO
　　控制是否只允许匿名用户下载可阅读文档。YES，只允许匿名用户下载可阅读的文件。NO，允许匿名用户浏览整个服务器的文件系统。默认值为YES。
　　anon_upload_enable=YES|NO
　　控制是否允许匿名用户上传文件，YES允许，NO不允许，默认是不设值，即为NO。除了这个参数外，匿名用户要能上传文件，还需要两个条件：一，write_enable参数为YES;二，在文件系统上，FTP匿名用户对某个目录有写权限。
　　anon_mkdir_write_enable=YES|NO
　　控制是否允许匿名用户创建新目录，YES允许，NO不允许，默认是不设值，即为NO。当然在文件系统上，FTP匿名用户必需对新目录的上层目录拥有写权限。
　　anon_other_write_enable=YES|NO
　　控制匿名用户是否拥有除了上传和新建目录之外的其他权限，如删除、更名等。YES拥有，NO不拥有，默认值为NO。
　　chown_uploads=YES|NO
　　是否修改匿名用户所上传文件的所有权。YES，匿名用户所上传的文件的所有权将改为另外一个不同的用户所有，用户由chown_username参数指定。此选项默认值为NO。
　　chown_username=whoever
　　指定拥有匿名用户上传文件所有权的用户。此参数与chown_uploads联用。不推荐使用root用户。
5.3.2、本地用户
　　在使用FTP服务的用户中，除了匿名用户外，还有一类在FTP服务器所属主机上拥有账号的用户。VSFTPD中称此类用户为本地用户（local users），等同于其他FTP服务器中的real用户。
　　local_enable=YES|NO
　　控制vsftpd所在的系统的用户是否可以登录vsftpd。默认值为YES。
　　local_root=
　　定义所有本地用户的根目录。当本地用户登入时，将被更换到此目录下。默认值为无。
　　user_config_dir=
　　定义用户个人配置文件所在的目录。用户的个人配置文件为该目录下的同名文件。个人配置文件的格式与vsftpd.conf格式相同。例如定义user_config_dir=/etc/vsftpd/userconf，并且主机上有用户xiaowang,lisi，那我们可以在user_config_dir的目录新增名为xiaowang、lisi的两个文件。当用户lisi 登入时，VSFTPD则会读取user_config_dir下lisi这个文件中的设定值，应用于用户lisi。默认值为无。
5.3.3、虚拟用户
　　guest_enable=YES|NO
　　若是启动这项功能，所有的非匿名登入者都视为guest。默认值为关闭。
　　guest_username=
　　定义VSFTPD的guest用户在系统中的用户名。默认值为ftp。
5.4、安全措施
5.4.1、用户登录控制
　　pam_service_name=vsftpd
　　指出VSFTPD进行PAM认证时所使用的PAM配置文件名，默认值是vsftpd，默认PAM配置文件是/etc/pam.d/vsftpd。
　　/etc/vsftpd.ftpusers
　　VSFTPD禁止列在此文件中的用户登录FTP服务器。这个机制是在/etc/pam.d/vsftpd中默认设置的。
　　userlist_enable=YES|NO
　　此选项被激活后，VSFTPD将读取userlist_file参数所指定的文件中的用户列表。当列表中的用户登录FTP服务器时，该用户在提示输入密码之前就被禁止了。即该用户名输入后，VSFTPD查到该用户名在列表，VSFTPD就直接禁止掉该用户，不会再进行询问密码等后续步聚。默认值为NO。
　　userlist_file=/etc/vsftpd.user_list
　　指出userlist_enable选项生效后，被读取的包含用户列表的文件。默认值是/etc/vsftpd.user_list。
　　userlist_deny=YES|NO
　　决定禁止还是只允许由userlist_file指定文件中的用户登录FTP服务器。此选项在userlist_enable 选项启动后才生效。YES，默认值，禁止文件中的用户登录，同时也不向这些用户发出输入口令的提示。NO，只允许在文件中的用户登录FTP服务器。
　　
　　tcp_wrappers=YES|NO
　　在VSFTPD中使用TCP_Wrappers远程访问控制机制，默认值为YES。
5.4.2、目录访问控制
　　chroot_list_enable=YES|NO
　　锁定某些用户在自家目录中。即当这些用户登录后，不可以转到系统的其他目录，只能在自家目录(及其子目录)下。具体的用户在chroot_list_file参数所指定的文件中列出。默认值为NO。
　　chroot_list_file=/etc/vsftpd/chroot_list
　　指出被锁定在自家目录中的用户的列表文件。文件格式为一行一用户。通常该文件是/etc/vsftpd/chroot_list。此选项默认不设置。
　　chroot_local_users=YES|NO
　　将本地用户锁定在自家目录中。当此项被激活时，chroot_list_enable和chroot_local_users参数的作用将发生变化，chroot_list_file所指定文件中的用户将不被锁定在自家目录。本参数被激活后，可能带来安全上的冲突，特别是当用户拥有上传、shell访问等权限时。因此，只有在确实了解的情况下，才可以打开此参数。默认值为NO。
　　passwd_chroot_enable
　　当此选项激活时，与chroot_local_user选项配合，chroot()容器的位置可以在每个用户的基础上指定。每个用户的容器来源于/etc/passwd中每个用户的自家目录字段。默认值为NO。
5.4.3、文件操作控制
　　hide_ids=YES|NO
　　是否隐藏文件的所有者和组信息。YES，当用户使用"ls -al"之类的指令时，在目录列表中所有文件的拥有者和组信息都显示为ftp。默认值为NO。
　　ls_recurse_enable=YES|NO
　　YES，允许使用"ls -R" 指令。这个选项有一个小的安全风险，因为在一个大型FTP站点的根目录下使用"ls -R"会消耗大量系统资源。默认值为NO。

最新评论