您现在的位置：&>&&>&&>&
育龙网&WWW.CHINA-B.C0M&& 日&&来源：互联网
核心提示：
人来疯技术文档之vsftp配置大全 人来疯 adminxu 人来疯MSN： 版权：未经许可不得转载，转载本文章请与人来疯坛主adminxu联系！ 联系
人来疯技术文档之vsftp配置大全 人来疯 adminxu 人来疯
MSN： 版权：未经许可不得转载，转载本文章请与人来疯坛主adminxu联系！ 联系方法：使用msn 环境： RedHat AS4 说明： 如果不做说明，一般安装命令均使用ROOT权限，用 # 表示 特别说明：无 以下文章介绍Liunx 环境下vsftpd的三种实现方法 ，目前已经到2.0.3版本。假设我们已经将vsftpd-2.0.3.tar.gz文件下载到服务器的/home/xuchen目录 代码:# cd /home/xuchen # tar xzvf vsftpd-2.0.3.tar.gz //解压缩程序 # cd vsftpd-2.0.3三、三种方式的实现1、匿名用户形式实现 # vi builddefs.h ““““编辑builddefs.h 文件，文件内容如下： #ifndef VSF_BUILDDEFS_H #define VSF_BUILDDEFS_H #undef VSF_BUILD_TCPWRAPPERS #define VSF_BUILD_PAM #undef VSF_BUILD_SSL #endif / VSF_BUILDDEFS_H / 将以上undef的都改为define，支持tcp_wrappers，支持PAM认证方式，支持SSL # make //直接在vsftpd-2.0.3里用make编译 # ls -l vsftpd -rwxr-xr-x 1 root root 86088 Jun 6 12:29 vsftpd //可执行程序已被编译成功 创建必要的帐号，目录： # useradd nobody //可能你的系统已经存在此帐号，那就不用建立 # mkdir /usr/share/empty //可能你的系统已经存在此目录，那就不用建立 # mkdir /var/ftp //可能你的系统已经存在此目录，那就不用建立 # useradd -d /var/ftp ftp //可能你的系统已经存在此帐号，那就不用建立 # chown root:root /var/ftp # chmod og-w /var/ftp 请记住，如果你不想让用户在本地登陆，那么你需要把他的登陆SHELL设置成/sbin/nologin，比如以上的nobody和ftp我就设置成/sbin/nologin 安装vsftp配置文件，可执行程序，man等: # install -m 755 vsftpd /usr/local/sbin/vsftpd-ano # install -m 644 vsftpd.8 /usr/share/man/man8 # install -m 644 vsftpd.conf.5 /usr/share/man/man5 # install -m 644 vsftpd.conf /etc/vsftpd-ano.conf 这样就安装完成了，那么我们开始进行简单的配置 # vi /etc/vsftpd-ano.conf ，将如下三行加入文件 listen=YES listen_port=21 tcp_wrappers=YES anon_root=/var/ftp //设置匿名用户本地目录，和ftp用户目录必须相同 listen=YES的意思是使用standalone启动vsftpd，而不是super daemon控制它
# /usr/local/sbin/vsftpd-ano /etc/vsftpd-ano.conf
//以后台方式启动vsftpd 注意：每行的值都不要有空格，否则启动时会出现错误，举个例子，假如我在listen=YES后多了个空格，那我启动时就出现如下错误： 500 OOPS: bad bool value in config file for: listen 测试搭建好的匿名用户方式 # ftp 127.0.0.1 Connected to 127.0.0.1. 220
530 Please login with USER and PASS. 530 Please login with USER and PASS. KERBEROS_V4 rejected as an authentication type Name : ftp 331 Please specify the password. Password: 230 Login successful. Remote system type is UNIX. Using binary mode to transfer files. ftp pwd 257 “"/“" ftp quit 221 Goodbye. # OK，已经完成了，very nice. 高级配置 细心的朋友可能已经看出来我们只在默认配置文件增加了四行，就实现了FTP连接 # ftp 127.0.0.1 Connected to 127.0.0.1. 220
530 Please login with USER and PASS. 530 Please login with USER and PASS. KERBEROS_V4 rejected as an authentication type Name : root 331 Please specify the password. Password: 230 Login successful. Remote system type is UNIX. Using binary mode to transfer files. ftp pwd 257 “"/root“" ftp quit 221 Goodbye. 我们看到root用户可以登陆到ftp，他的登陆目录就是自己的主目录。 再测试一个系统用户，那我们先建立一个用户名叫xuchen的 # useradd xuchen # passwd xuchen Changing password for user xuchen. New UNIX password: Retype new UNIX password: passwd: all authentication tokens updated successfully. 建立好了，让我们开始测试吧！！ # ftp 127.0.0.1 Connected to 127.0.0.1. 220
530 Please login with USER and PASS. 530 Please login with USER and PASS. KERBEROS_V4 rejected as an authentication type Name : xuchen 331 Please specify the password. Password: 230 Login successful. Remote system type is UNIX. Using binary mode to transfer files. ftp pwd 257 “"/home/xuchen“" ftp quit 221 Goodbye. 我们看到xuchen用户可以登陆到ftp，他的登陆目录也是自己的主目录。哈哈，又完成了！ 高级配置 细心的朋友可能已经看出来如果我们不支持PAM认证方式，那么本地用户就可以登陆，而默认编译的vsftpd支持PAM认证方式，所以是不支持本地用户登陆的。恩，从这点说，这也是vsftp安全的一个表现----禁止本地用户登陆。 我们登陆后进行测试，传一个文件上去，得，失败了，那下载个文件下来吧，恩，这是成功的查看系统是否有相应软件包 # rpm Cqa
grep db4 db4-devel-4.2.52-7.1 db4-4.2.52-7.1 db4-utils-4.2.52-7.1
# repquota -g -a 或 repquota -a /dev/sda6
如果一切按照你的意思实施了，那么我们就进行测试了！如下图4 我们传了一个1k的文件，没有成功，这样我们就成功的为用户ftpd增添了磁盘配额，要是哪一天你不想加磁盘配额了，怎么办？参看如下命令： 取消某个文件系统的配额限制 #quotaoff -vug /dev/sda6 //删除home分区的磁盘限额 #删除/etc/fstab中设置配额的部分 修改软配额的最大超越时间 注意： /，/boot/，/proc，/mnt/cdrom等不要使用配额，没用。而且磁盘配额不适合FAT和FAT32系统。 以后当新设置了某个用户的配额，可以使用如下命令，马上生效。 # quotacheck -auvgm--是不尝试重新挂载文件系统 备注： 1、vsftpd配置参数详细整理 #接受匿名用户 anonymous_enable=YES #匿名用户login时不询问口令 no_anon_password=YES #匿名用户主目录 anon_root= #接受本地用户 local_enable=YES #本地用户主目录 local_root= #如果匿名用户需要密码，那么使用banned_email_file里面的电子邮件地址的用户不能登录 deny_email_enable=YES #仅在没有pam验证版本时有用，是否检查用户有一个有效的shell来登录 check_shell=YES #若启用此选项，userlist_deny选项才被启动 userlist_enable=YES #若为YES，则userlist_file中的用户将不能登录，为NO则只有userlist_file的用户可以登录 userlist_deny=NO #如果和chroot_local_user一起开启，那么用户锁定的目录来自/etc/passwd每个用户指定的目录 passwd_chroot_enable=NO #定义匿名登入的使用者名称。默认值为ftp。 ftp_username=FTP #################用户权限控制############### #可以上传. write_enable=YES #本地用户上传文件的umask local_umask=022 #上传文件的权限配合umask使用 #file_open_mode=0666 #匿名用户可以上传 anon_upload_enable=NO #匿名用户可以建目录 anon_mkdir_write_enable=NO 匿名用户其它的写权利 anon_other_write_enable=NO 如果设为YES，匿名登入者会被允许下载可阅读的档案。默认值为YES。 anon_world_readable_only=YES #如果开启，那么所有非匿名登陆的用户名都会被切换成guest_username指定的用户名 #guest_enable=NO 所有匿名上传的文件的所属用户将会被更改成chown_username chown_uploads=YES 匿名上传文件所属用户名 chown_username=lightwiter #如果启动这项功能，则所有列在chroot_list_file之中的使用者不能更改根目录 chroot_list_enable=YES #允许使用“"async ABOR“"命令，一般不用，容易出问题 async_abor_enable=YES 管控是否可用ASCII 模式上传。默认值为NO。 ascii_upload_enable=YES #管控是否可用ASCII 模式下载。默认值为NO。 ascii_download_enable=YES #这个选项必须指定一个空的数据夹且任何登入者都不能有写入的权限，当vsftpd 不需要file system 的权限时，就会将使用者限制在此数据夹中。默认值为/usr/share/empty secure_chroot_dir=/usr/share/empty ###################超时设置################## #空闲连接超时 idle_session_timeout=600 #数据传输超时 data_connection_timeout=120 #PAVS请求超时 ACCEPT_TIMEOUT=60 #PROT模式连接超时 connect_timeout=60 ################服务器功能选项############### #开启日记功能 xferlog_enable=YES #使用标准格式 xferlog_std_format=YES #当xferlog_std_format关闭且本选项开启时，记录所有ftp请求和回复，当调试比较有用. #log_ftp_protocol=NO #允许使用pasv模式 pasv_enable=YES #关闭安全检查，小心呀. #pasv_promiscuous+NO #允许使用port模式 #port_enable=YES #关闭安全检查 #prot_promiscuous #开启tcp_wrappers支持 tcp_wrappers=YES #定义PAM 所使用的名称，预设为vsftpd。 pam_service_name=vsftpd #当服务器运行于最底层时使用的用户名 nopriv_user=nobody #使vsftpd在pasv命令回复时跳转到指定的IP地址. pasv_address= #################服务器性能选项############## #是否能使用ls -R命令以防止浪费大量的服务器资源 #ls_recurse_enable=YES #是否使用单进程模式 #one_process_model #绑定到listen_port指定的端口，既然都绑定了也就是每时都开着的，就是那个什么standalone模式 listen=YES #当使用者登入后使用ls -al 之类的指令查询该档案的管理权时，预设会出现拥有者的UID，而不是该档案拥有者的名称。若是希望出现拥有者的名称，则将此功能开启。 text_userdb_names=NO #显示目录清单时是用本地时间还是GMT时间，可以通过mdtm命令来达到一样的效果 use_localtime=NO #测试平台优化 #use_sendfile=YES ################类设置################ #login时显示欢迎.如果设置了banner_file则此设置无效 ftpd_banner=欢迎来到湖南三辰Fake-Ta FTP 网站. #允许为目录配置显示，显示每个目录下面的message_file文件的内容 dirmessage_enable=YES #显示会话状态，关! #setproctitle_enable=YES ############## 文件定义 ################## #定义不能更改用户主目录的文件 chroot_list_file=/etc/vsftpd/vsftpd.chroot_list #定义限制/允许用户登录的文件 userlist_file=/etc/vsftpd/vsftpd.user_list #定义登录文件的位置 banner_file=/etc/vsftpd/banner #禁止使用的匿名用户登陆时作为密码的电子邮件地址 banned_email_file=/etc/vsftpd.banned_emails #日志文件位置 xferlog_file=/var/log/vsftpd.log #目录文件 message_file=.message ############## 目录定义 ################# #定义用户配置文件的目录 user_config_dir=/etc/vsftpd/userconf #定义本地用户登陆的根目录，注意定义根目录可以是相对路径也可以是绝对路径.相对路径是针对用户家目录来说的. local_root=webdisk #此项设置每个用户登陆后其根目录为/home/username/webdisk #匿名用户登陆后的根目录 anon_root=/var/ftp #############用户连接选项################# #可接受的最大client数目 max_clients=100 #每个ip的最大client数目 max_per_ip=5 #使用标准的20端口来连接ftp connect_from_port_20=YES #绑定到某个IP，其它IP不能访问 listen_address=192.168.0.2 #绑定到某个端口 #listen_port=2121 #数据传输端口 #ftp_data_port=2020 #pasv连接模式时可以使用port 范围的上界，0 表示任意。默认值为0。 pasv_max_port=0 #pasv连接模式时可以使用port 范围的下界，0 表示任意。默认值为0。 pasv_min_port=0 ##############数据传输选项################# #匿名用户的传输比率 anon_max_rate=51200 #本地用户的传输比率 local_max_rate=5120000 ######################################## 别外，如果要对每个用户进行单独的控制，只需要在user_config_dir中建立username文件，内容为数据传输和用户权利里面设置个人的合适的选项，用户自定义文件同样适合用pam支持的虚拟用户 附: FTP 数字代码的意义 110 重新启动标记应答。 120 服务在多久时间内ready。 125 数据链路埠开启，准备传送。 150 文件状态正常，开启数据连接端口。 200 命令执行成功。 202 命令执行失败。 211 系统状态或是系统求助响应。 212 目录的状态。 213 文件的状态。 214 求助的讯息。 215 名称系统类型。 220 新的联机服务ready。 221 服务的控制连接埠关闭，可以注销。 225 数据连结开启，但无传输动作。 226 关闭数据连接端口，请求的文件操作成功。 227 进入passive mode。 230 使用者登入。 250 请求的文件操作完成。 257 显示目前的路径名称。 331 用户名称正确，需要密码。 332 登入时需要账号。 350 请求的操作需要进一部的命令。 421 无法提供服务，关闭控制连结。 425 无法开启数据链路。 426 关闭联机，终止传输。 450 请求的操作未执行。 451 命令终止：有本地的错误。 452 未执行命令：磁盘空间不足。 500 格式错误，无法识别命令。 501 参数语法错误。 502 命令执行失败。 503 命令顺序错误。 504 命令所接的参数不正确。 530 未登入。 532 储存文件需要账户登入。 550 未执行请求的操作。 551 请求的命令终止，类型未知。 552 请求的文件终止，储存位溢出。 553 未执行请求的的命令，名称不正确。 2、VSFTPD官方资料翻译版 输入make，回车。 运行那个二进制文件，如下： [root@localhost root]# /usr/local/sbin/vsftpd
2104 如果一切正常，那么你将连上FTP服务器，如下： [chris@localhost chris]$ ftp localhost Connected to localhost . 220
Name : ftp 331 Please specify the password. Password: 230 Login successful. Have fun. Remote system type is UNIX. Using binary mode to transfer files. ftp ls 227 Entering Passive Mode
150 Here comes the directory listing. d--x--x--x 2 0 0 4096 Jan 14 2002 bin d--x--x--x 2 0 0 4096 Apr 21 20:52 etc drwxr-xr-x 2 0 0 4096 Apr 21 20:52 lib drwxr-sr-x 2 0 50 4096 Jul 26 22:58 pub 226 Directory send OK. ftp 5）从inetd或者类似方式启动为本地登录配置PAM文件，那你只有启用这个功能才能避免这种情况。 默认值：NO background 启用时，并且VSFTPD是“listen”模式启动的（daidong注：就是standalone模式），VSFTPD将把监听进程置于后台。但访问VSFTPD时，控制台将立即被返回到SHELL。 默认值：NO check_shell 注意：这个选项只对非PAM结构的VSFTPD才有效。如果关闭，VSFTPD将不检查/etc/shells以判定本地登录的用户是否有一个可用的SHELL。 默认值：YES chmod_enable 启用时，将容许使用SITE CHMOD命令。注意，这只能用于本地用户。匿名用户绝不能使用SITE CHMOD。 默认值：YES chown_uploads 如果启用，所以匿名用户上传的文件的所有者将变成在chown_username里指定的用户。这对管理FTP很有用，也许也对安全有益。 默认值：NO chroot_list_enable 如果激活，你要提供一个用户列表，表内的用户将在登录后被放在其home目录，锁定在虚根下（daidong注：进入FTP后，PWD一下，可以看到当前目录是“"/“"，这就是虚根。是FTP的根目录，并非FTP服务器系统的根目录）。如果chroot_local_user设为YES后，其含义会发生一点变化。 在这种情况下，这个列表内的用户将不被锁定在虚根下。 默认情况下，这个列表文件是/etc/vsftpd.chroot_list， 但你也可以通过修改chroot_list_file来改变默认值。 默认值：NO chroot_local_user 如果设为YES，本地用户登录后将被（默认地）锁定在虚根下，并被放在他的home目录下。 警告： 这个配置项有安全的意味，特别是如果用户有上传权限或者可使用SHELL的话。在你确定的前提下，再启用它。 注意，这种安全暗示并非只存在于VSFTPD，其实是广泛用于所有的希望把用户锁定在虚根下的FTP软件。 默认值：NO connect_from_port_20 这用来控制服务器是否使用20端口号来做数据传输。为安全起见，有些客户坚持启用。相反，关闭这一项可以让VSFTPD更加大众化。 默认值：NO （但在范例配置文件中，启用了，即YES） deny_email_enable 如果激活，你要提供一个关于匿名用户的密码E-MAIL表（daidong注：我们都知道，匿名用户是用邮件地址做密码的）以阻止以这些密码登录的匿名用户。 默认情况下，这个列表文件是/etc/vsftpd.banner_emails，但你也可以通过设置banned_email_file来改变默认值。 默认值：NO dirlist_enable 如果设置为NO，所有的列表命令（daidong注：如ls）都将被返回“permission denied”提示。 默认值：YES dirmessage_enable 如果启用，FTP服务器的用户在首次进入一个新目录的时候将显示一段。默认情况下，会在这个目录中查找.message文件，但你也可以 通过更改message_file来改变默认值。 默认值：NO （但在配置范例文件中启用了它） download_enable 如果设为NO，下载请求将返回“permission denied”。 默认值：YES dual_log_enable 如果启用，两个LOG文件会各自产生，默认的是/var/log/xferlog和/var/log/vsftpd.log。前一个是wu-ftpd格式的LOG，能被通用工具分析。 后一个是VSFTPD的专用LOG格式。 默认值: NO force_dot_files 如果激活，即使客户端没有使用“a”标记，（FTP里）以.开始的文件和目录都会显示在目录资源列表里。但是把“".“"和“"..“"不会显示。运行，也就是说可以不依赖于inetd或者类似的东东启动。直接运行VSFTPD 的可执行文件一次，然后VSFTPD就自己去监听和处理连接请求了。 默认值：NO listen_ipv6 类似于listen参数的功能，但有一点不同，启用后VSFTPD会去监听IPV6套接字而不是IPV4的。这个设置和listen的设置互相排斥。 默认值：NO local_enable 用来控制是否容许本地用户登录。如果启用，/etc/passwd里面的正常用户的账号将被用来登录。 默认值：NO log_ftp_protocol 启用后，如果xferlog_std_format没有被激活，所有的FTP请求和反馈将被纪录。这常用于调试。 默认值：NO ls_recurse_enable 如果启用，“"ls -R“"将被容许使用。这是为了避免一点点安全风险。因为在一个大的站点内，在目录顶层使用这个命令将消耗大量资源。 默认值：NO no_anon_password 如果启用，VSFTPD将不会向匿名用户询问密码。匿名用户将直接登录。 默认值:NO no_log_lock 启用时，VSFTPD在写入LOG文件时将不会把文件锁住。这一项一般不启用。它对一些工作区操作系统问题，如Solaris / Veritas文件系统共存时有用。 因为那在试图锁定LOG文件时，有时候看上去象被挂死（无响应）了。（daidong注：这我也不是很理解。所以翻译未必近乎原意。原文如下：It exists to workaround operating system bugs such as the Solaris / Veritas filesystem combination which has been observed to sometimes exhibit hangs trying to lock log files.） 默认值：NO one_process_model 如果你的LINUX核心是2.4的，那么也许能使用一种不同的安全模式，即一个连接只用一个进程。只是一个小花招，但能提高FTP的性能。请确定需要后再启用它，而且也请确定你的 站点是否会有大量的人同时访问。 默认值：NO passwd_chroot_enable
if enabled， along with .BR chroot_local_user ， then a chroot jail location may be specified on a per-user basis. Each user“‘s jail is derived from their home directory string in /etc/passwd. The occurrence of /./ in the home directory string denotes that the jail is at that particular location in the path. 默认值：NO pasv_enable 如果你不想使用被动方式获得数据连接，请设为NO。 默认值：YES pasv_promiscuous 如果你想关闭被动模式安全检查（这个安全检查能确保数据连接源于同一个IP地址）的话，设为YES。确定后再启用它（daidong注：原话是：只有你清楚你在做什么时才启用它！） 合理的用法是：在一些安全隧道配置环境下，或者更好地支持FXP时（才启用它）。 默认值：NO port_enable 如果你想关闭以端口方式获得数据连接时，请关闭它。 默认值：YES port_promiscuous 如果你想关闭端口安全检查（这个检查可以确保对外的数据线路只通向客户端）时，请关闭它。确认后再做！ 默认值：NO run_as_launching_user 如果你想让一个用户能启动VSFTPD的时候，可以设为YES。当ROOT用户不能去启动VSFTPD的时候会很有用（daidong注：应该不是说ROOT用户没有权限启动VSFTPD， 而是因为别的，例如安全限制，而不能以ROOT身份直接启动VSFTPD）。强烈警告！！别启用这一项，除非你完全清楚你在做什么（daidong:无语....)！！！随意地启动这一项会导致 非常严重的安全问题，特别是VSFTPD没有或者不能使用虚根技术来限制文件访问的时候（甚至VSFTPD是被ROOT启动的）。有一个愚蠢的替代方案是启用deny_file，将其设置为等， 但其可靠性却不能和虚根相比，也靠不住。 如果启用这一项，其他配置项的限制也会生效。例如，非匿名登录请求，上传文件的所有权的转换，用于连接的20端口和低于1024的监听端口将不会工作。其他一些配置项也可能被影响。 默认值:NO secure_email_list_enable 如果你想只接受以指定E-MAIL地址登录的匿名用户的话，启用它。这一般用来在不必要用虚拟用户的情况下，以较低的安全限制去访问较低安全级别的资源。如果启用它，匿名用户除非 用在email_password_file里指定的E-MAIL做为密码，否则不能登录。这个文件的格式是一个密码一行，而且没有额外的空格（daidong注：whitespace，译为空格，不知道是否正确）。 默认的文件名是：/etc/vsftpd.email_passwords. 默认值:NO session_support 这将配置是否让VSFTPD去尝试管理登录会话。如果VSFTPD管理会话，它会尝试并更新utmp和wtmp。它也会打开一个pam会话（pam_session)，直到LOGOUT才会关闭它，如果使用PAM进行认证的话。 如果你不需要会话纪录，或者想VSFTPD运行更少的进程，或者让它更大众化，你可以关闭它。 注：utmp和wtmp只在有PAM的环境下才支持。 默认值:NO setproctitle_enable 如果启用，VSFTPD将在系统进程列表中显示会话状态。换句话说，进程名字将变成VSFTPD会话当前正在执行的动作（等待，下载等等）。为了安全目的，你可以关闭这一项。 默认值:NO ssl_enable 如果启用，vsftpd将启用openSSL，通过SSL支持安全连接。这个设置用来控制连接（包括登录）和数据线路。同时，你的客户端也要支持SSL才行。 注意：小心启用此项.VSFTPD不保证OpenSSL库的安全性。启用此项，你必须确信你安装的OpenSSL库是安全的。 默认值:NO ssl_sslv2 要激活ssl_enable才能启用它。如果启用，将容许SSL V2协议的连接。TLS V1连接将是首选。 默认值:NO ssl_sslv3 要激活ssl_enable才能启用它。如果启用，将容许SSL V３协议的连接。TLS V1连接将是首选。 默认值:NO ssl_tlsv1 要激活ssl_enable才能启用它。如果启用，将容许TLS V1协议的连接。TLS V1连接将是首选。 默认值:YES syslog_enable 如果启用，系统log将取代vsftpd的log输出到/var/log/vsftpd.log.FTPD的了log工具将不工作。 默认值:NO tcp_wrappers 如果启用，vsftpd将被tcp_wrappers所支持。进入的后面跟着个用户名）。注意，vsftpd有时会一直解析路径名“"~“"和“"~/“"（在这里，～被解析成内部登录目录）。 ～用户路径（～user paths)只有在当前虚根下找到/etc/passwd文件时才被解析。 默认值:NO use_localtime 如果启用，vsftpd在显示目录资源列表的时候，在显示你的本地时间。而默认的是显示GMT（格林尼治时间）。通过MDTM FTP命令来显示时间的话也会被这个设置所影响。 默认值:NO use_sendfile 一个内部设定，用来测试在你的平台上使用sendfile系统呼叫的相关好处（benefit). 默认:YES userlist_deny 这个设置在userlist_enable被激活后能被验证。如果你设置为NO，那么只有在userlist_file里明确列出的用户才能登录。 如果是被拒绝登录，那么在被询问密码前，用户就将被系统拒绝。 默认值:YES userlist_enable 如果启用，vsftpd将在userlist_file里读取用户列表。如果用户试图以文件里的用户名登录，那么在被询问用户密码前，他们就将被系统拒绝。 这将防止明文密码被传送。参见userlist_deny。 默认值:NO virtual_use_local_privs 如果启用，虚拟用户将拥有和本地用户一样的权限。默认情况下，虚拟用户就拥有和匿名用户一样的权限，而后者往往有更多的限制（特别是写权限）。 默认值:NO write_enable 这决定是否容许一些FTP命令去更改文件系统。这些命令是STOR， DELE， RNFR， RNTO， MKD， RMD， APPE 和 SITE。 默认值:NO xferlog_enable 如果启用，一个log文件将详细纪录上传和下载的。默认情况下，这个文件是/var/log/vsftpd.log，但你也可以通过更改vsftpd_log_file来指定其默认位置。 默认值:NO ，以便于你用现有的统计分析工具进行分析。但默认的格式具有更好的可读性。默认情况下，log文件是在/var/log/xferlog。 但是，你可以通过修改xferlog_file来指定新路径。 默认值:NO ＝＝＝＝＝＝ 数字选项 以下是数字配置项。这些项必须设置为非负的整数。为了方便umask设置，容许输入八进制数，那样的话，数字必须以０开始。 accept_timeout 超时，以秒为单位，设定远程用户以被动方式建立连接时最大尝试建立连接的时间。 默认值:60 anon_max_rate 对于匿名用户，设定容许的最大传送速率，单位：字节/秒。 默认值:0（无限制） anon_umask 为匿名用户创建的文件设定权限。注意：如果你想输入８进制的值，那么其中的０不同于１０进制的０。 默认值：０７７ connect_timeout 超时。单位：秒。是设定远程用户必须回应PORT类型数据连接的最大时间。 默认值：６０ data_connection_timeout 超时，单位：秒。设定数据传输延迟的最大时间。时间一到，远程用户将被断开连接。 默认值：３００ file_open_mode 对于上传的文件设定权限。如果你想被上传的文件可被执行，umask要改成０７７７。 默认值：０６６６ ftp_data_port 设定PORT模式下的连接端口（只要connect_from_port_20被激活）。 默认值：２０ idle_session_timeout 超时。单位：秒。设置远程客户端在两次输入FTP命令间的最大时间。时间一到，远程客户将被断开连接。 默认值：３００ listen_port 如果vsftpd处于独立运行模式，这个端口设置将监听的FTP连接请求。 默认值：２１ local_max_rate 为本地认证用户设定最大传输速度，单位：字节／秒。 默认值：０（无限制） local_umask 设置本地用户创建的文件的权限。注意：如果你想输入８进制的值，那么其中的０不同于１０进制的０。 默认值：０７７ max_clients 如果vsftpd运行在独立运行模式，这里设置了容许连接的最大客户端数。再后来的用户端将得到一个错误。 默认值：０（无限制） max_per_ip 如果vsftpd运行在独立运行模式，这里设置了容许一个ＩＰ地址的最大接入客户端。如果超过了最大限制，将得到一个错误。 默认值：０（无限制） pasv_max_port 指定为被动模式数据连接分配的最大端口。可用来指定一个较小的范围以配合防火墙。 默认值：０（使用任何端口） pasv_min_port 指定为被动模式数据连接分配的最小端口。可用来指定一个较小的范围以配合防火墙。 默认值：０（使用任何端口） trans_chunk_size 你一般不需要改这个设置。但也可以尝试改为如８１９２去减小带宽限制的影响。 默认值：０（让vsftpd自行选择） ＝＝＝＝＝＝＝＝＝＝＝ STRING 配置项 以下是STRING 配置项 anon_root 设置一个目录，在匿名用户登录后，vsftpd会尝试进到这个目录下。如果失败则略过。 默认值：无 banned_email_file deny_email_enable启动后，匿名用户如果使用这个文件里指定的E-MAIL密码登录将被拒绝。 默认值：/etc/vsftpd.banned_emails banner_file 设置一个文本，在用户登录后显示文本内容。如果你设置了ftpd_banner，ftpd_banner将无效。 默认值：无 chown_username 改变匿名用户上传的文件的所有者。需设定chown_uploads。 默认值：ＲＯＯＴ chroot_list_file 这个项提供了一个本地用户列表，表内的用户登录后将被放在虚根下，并锁定在home目录。这需要chroot_list_enable项被启用。 如果chroot_local_user项被启用，这个列表就变成一个不将列表里的用户锁定在虚根下的用户列表了。 默认值：/etc/vsftpd.chroot_list cmds_allowed 以逗号分隔的方式指定可用的FTP命令（postlogin. USER， PASS and QUIT 是始终可用的命令）。 其他命令将被屏蔽。这是一个强有力的locking down一个FTP服务器的手段。例如：cmds_allowed=PASV，RETR，QUIT 默认值：无 deny_file 这可以设置一个文件名或者目录名式样以阻止在任何情况下访问它们。并不是隐藏它们，而是拒绝任何试图对它们进行的操作（下载，改变目录层， 和其他有影响的操作）。这个设置很简单，而且不会用于严格的访问控制－文件系统权限将优先生效。然而，这个设置对确定的虚拟用户设置很有用。 特别是如果一个文件能多个用户名访问的话（可能是通过软连接或者硬连接），那就要拒绝所有的访问名。 建议你为使用文件系统权限设置一些重要的安全策略以获取更高的安全性。如deny_file= 默认值：无 dsa_cert_file 这个设置为SSL加密连接指定了DSA证书的位置。 默认值：无（有一个RSA证书就够了） email_password_file 在设置了secure_email_list_enable后，这个设置可以用来提供一个备用文件。 默认值：/etc/vsftpd.email_passwords ftp_username 这是用来控制匿名FTP的用户名。这个用户的home目录是匿名FTP区域的根。 默认值：ftp ftpd_banner 当一个连接首次接入时将现实一个欢迎界面。 默认值：无（默认的界面会被显示） guest_username 参见相关设置guest_enable。这个设置设定了游客进入后，其将会被映射的名字。 默认：ftp hide_file 设置了一个文件名或者目录名列表，这个列表内的资源会被隐藏，不管是否有隐藏属性。但如果用户知道了它的存在， 将能够对它进行完全的访问。hide_file里的资源和符合hide_file指定的规则表达式的资源将被隐藏。vsftpd的 规则表达式很简单，例如hide_file= 默认值：无 listen_address 如果vsftpd运行在独立模式下，本地接口的默认监听地址将被这个设置代替。 需要提供一个数字化的地址。 默认值：无 listen_address6 如果vsftpd运行在独立模式下，要为IPV6指定一个监听地址（如果listen_ipv6被启用的话）。 需要提供一个IPV6格式的地址。 默认值：无 local_root 设置一个本地（非匿名）用户登录后，vsftpd试图让他进入到的一个目录。如果失败，则略过。 默认值：无 message_file 当进入一个新目录的时候，会查找这个文件并显示文件里的内容给远程用户。dirmessage_enable需启用。 默认值：.message nopriv_user 这是vsftpd做为完全无特权的用户的名字。这是一个专门的用户，比nobody更甚。用户nobody往往用来在一些机器上做一些重要的事情。 默认值：nobody pam_service_name 设定vsftpd将要用到的PAM服务的名字。 默认值:ftp pasv_address 当使用PASV命令时，vsftpd会用这个地址进行反馈。需要提供一个数字化的IP地址。 默认值：无（地址将取自进来（incoming)的连接的套接字） rsa_cert_file 这个设置指定了SSL加密连接需要的RSA证书的位置。 默认值：/usr/share/ssl/certs/vsftpd.pem secure_chroot_dir 这个设置指定了一个空目录，这个目录不容许ftpuser写入。在vsftpd不希望文件系统被访问时，目录为安全的虚根所使用。 默认值： /usr/share/empty ssl_ciphers 这个设置将选择vsftpd为加密的SSL连接所用的SSL密码。详细参见ciphers。 默认值：DES-CBC3-SHA user_config_dir 这个强大的设置容许覆盖一些在手册页中指定的配置项（基于单个用户的）。用法很简单，最好结合范例。如果你把user_config_dir 改为/etc/vsftpd_user_conf，那么以chris登录，vsftpd将调用配置文件/etc/vsftpd_user_conf/chris。 默认值：无 user_sub_token 这个设置将依据一个模板为每个虚拟用户创建home目录。例如，如果真实用户的home目录通过guest_username为/home/virtual/$USER 指定， 并且user_sub_token设置为 $USER ，那么虚拟用户fred登录后将锁定在/home/virtual/fred下。 默认值：无 userlist_file 当userlist_enable被激活，系统将去这里调用文件。 默认值：/etc/vsftpd.user_list vsftpd_log_file 只有xferlog_enable被设置，而xferlog_std_format没有被设置时，此项才生效。这是被生成的vsftpd格式的log文件的名字。 dual_log_enable和这个设置不能同时启用。如果你启用了syslog_enable，那么这个文件不会生成，而只产生一个系统log. 默认值：/var/log/vsftpd.log xferlog_file 这个设置是设定生成wu-ftpd格式的log的文件名。只有启用了xferlog_enable和xferlog_std_format后才能生效。 但不能和dual_log_enable同时启用。 默认值：/var/log/xferlog 3、未完成的实验 his example should quickly show you the possibilites of per-IP configuration with vsftpd“‘s tcp_wrappers integration. This is new with v1.1.3. To use this， you need vsftpd built with tcp_wrappers! This is accomplished by editing “"builddefs.h“" and changing #undef VSF_BUILD_TCPWRAPPERS to #define VSF_BUILD_TCPWRAPPERS And then rebuild. If you are lucky your vendor will have shipped the vsftpd binary with this already done for you. Next， to enable tcp_wrappers integration， you need this in your vsftpd.conf: tcp_wrappers=YES And you“‘ll need a tcp_wrappers config file. An example one is supplied in this directory: hosts.allow. It lives at /etc/hosts.allow. Let“‘s have a look at the example: vsftpd: 192.168.1.3: setenv VSFTPD_LOAD_CONF /etc/vsftpd_tcp_wrap.conf vsftpd: 192.168.1.4: DENY The first line: If a client connects from 192.168.1.3， then vsftpd will apply the vsftpd config file /etc/vsftpd_tcp_wrap.conf to the session! These settings are applied ON TOP of the default vsftpd.conf. This is obviously very powerful. You might use this to apply different access restrictions for some IPs . Or you could give certain classes of IPs the ability to skip connection limits . Or you could increase / decrease the bandwidth limiter for certain classes of IPs. You get the point
The second line: Denies the ability of 192.168.1.4 to connect. Very useful to take care of troublemakers. And now you don“‘t need xinetd to do it - hurrah. This example shows how you might set up virtual hosts. Virtual hosting is where different clients access your machine on different IP addresses
and get redirected to different ftp sites. For example， if your machine responds to two IPs - 127.0.0.1 and 127.0.0.2， you could have the two different IPs represent two totally different FTP sites. For this example， we are going to build on the “"INTERNET_SITE“" example. Step 1) Set up a virtual IP address. ifconfig eth0:1 192.168.1.10 up
Step 2) Create a user / location for the new virtual site. useradd -d /var/ftp_site2 ftp_site2 chown root.root /var/ftp_site2 chmod a+rx /var/ftp_site2 umask 022 mkdir /var/ftp_site2/pub echo “"test“"
/var/ftp_site2/pub/content Step 3) Modify the existing site to respond to the primary IP. Edit /etc/xinetd.d/vsftpd， and add the config line: This example shows how you might set up virtual hosts. Virtual hosting is where different clients access your machine on different IP addresses
and get redirected to different ftp sites. For example， if your machine responds to two IPs - 127.0.0.1 and 127.0.0.2， you could have the two different IPs represent two totally different FTP sites. For this example， we are going to build on the “"INTERNET_SITE“" example. Step 1) Set up a virtual IP address. ifconfig eth0:1 192.168.1.10 up
Step 2) Create a user / location for the new virtual site. useradd -d /var/ftp_site2 ftp_site2 chown root.root /var/ftp_site2 chmod a+rx /var/ftp_site2 umask 022 mkdir /var/ftp_site2/pub echo “"test“"
/var/ftp_site2/pub/content Step 3) Modify the existing site to respond to the primary IP. Edit /etc/xinetd.d/vsftpd， and add the config line: bind = 192.168.1.2 Step 4) Create the new site， responding on the virtual IP. cp /etc/xinetd.d/vsftpd /etc/xinetd.d/vsftpd2 Edit vsftpd2， and change - The bind line to refer to the IP address 192.168.1.10 - Add the line server_args = /etc/vsftpd_site2.conf This launches this FTP site with a different vsftpd configuration file. cp /etc/vsftpd.conf /etc/vsftpd_site2.conf Add two lines: ftp_username=ftp_site2 ftpd_banner=This is the alternative FTP site. Step 5) Restart xinetd and test! /etc/rc.d/init.d/xinetd restart [chris@localhost vsftpd]$ ftp 192.168.1.2 Connected to 192.168.1.2 . 220 ready， dude
Name : [chris@localhost vsftpd]$ [chris@localhost vsftpd]$ ftp 192.168.1.2 Connected to 192.168.1.2 . 220 ready， dude
Name : 530 This FTP server is anonymous only. Login failed. ftp quit 221 Goodbye. [chris@localhost vsftpd]$ ftp 192.168.1.10 Connected to 192.168.1.10 . 220 This is the alternative FTP site. Name : 530 This FTP server is anonymous only. Login failed. ftp
相关热词搜索:
-- 本站部分信息来源于互联网，不代表本站观点或立场，如有侵权，请来电告知，我们将及时处理}