linux下vsftpd的配置文件配置说明.docx
《linux下vsftpd的配置文件配置说明.docx》由会员分享,可在线阅读,更多相关《linux下vsftpd的配置文件配置说明.docx(18页珍藏版)》请在冰豆网上搜索。
linux下vsftpd的配置文件配置说明
vsftpd.conf-vsftpd的配置文件
描述
vsftpd.conf可以用于控制vsftpd,以实现各种各样的功能.vsftpd缺省到/etc/vsftpd.conf处查找此文件.当然,您也可以通过命令行参数进行指定.这个命令行参数就是指vsftpd的配置文件.对于想使用高级inetd管理的用户,例如,xinetd,则这个功能非常有用.可以使用不同的配置文件来启动基于虚拟主机的每个服务.
格式
vsftpd.conf的格式非常简单.每行要么是注释,要么是指令.注释行以#开始,将被忽略.指令行格式如下:
选项=值
应当注意的一点是如果在选项,=和值之间存在空格,将会报错.(译者注:
即三者之间不允许存在空格)
每项设定都有默认值,这可以通过配置文件来修改.
布尔选项
下边是布尔选项的列表.一个布尔选项的值可以被设为YES或NO
allow_anon_ssl
只有在ssl_enable被激活时才有用.如果设为YES,匿名用户将被允许使用安全的SSL联接.
默认:
NO
anon_mkdir_write_enable
如果设为YES,匿名用户将允许在某些情况下创建目录.这需要激活write_enable选项,并且匿名ftp用户需要对父目录有写权限.
默认:
NO
anon_other_write_enable
如果设为YES,匿名用户将拥有除上载,和创建目录外更多的权限,比如删除和重命名.通常不建议这么做,但完整的配置文件是包括这一选项的.
默认:
NO
anon_upload_enable
如果设为YES,匿名用户在某些情况下允许上载文件.这需要将write_enable选项激活,并且匿名用户应当对对应目录有写权限.
默认:
NO
anon_world_readable_only
启用时,将只允许匿名用户下载具有全球读权限的文件.这将意味着ftp用户可以拥有自己的文件,特别是前边提到的上载的文件.
默认:
YES
anonymous_enable
用于控制是否允许匿名用户登录.如果激活,ftp和anonymous都将被视为匿名用户登录.
默认:
YES
ascii_download_enable
如果被激活,下载时将使用ASCII模式进行数据传输.
默认:
NO
ascii_upload_enable
如果被激活,上载时将使用ASCII模式进行数据传输.
默认:
NO
async_abor_enable
如果被激活,一个特别的FTP命令"asyncABOR"将被激活.只有某些FTP客户端需要使用这一特性.另外,这个特性并不是很好控制,因此默认没有启用.不幸的是,如果没有启用这个特性,某些FTP客户端在取消一个传输时就会挂起,因此,您可能希望启用它.
默认:
NO
background
如果被激活,并且vsftpd以"listen"模式启动,vsftpd将会background监听进程.即controlwillimmediatelybereturnedtotheshellwhichlaunchedvsftpd.
默认:
NO
check_shell
注意!
这个选项只对构建时加入non-PAM参数的vsftpd有效.如果令其失效,vsftpd将不会检查有效用户的用于本地登录的/etc/shells.
默认:
YES
chmod_enable
如果被激活,将允许使用SITECHMOD命令.注意!
这只对本地用户有效.匿名用户从不允许使用SITECHMOD.
默认:
YES
chown_uploads
如果被激活,所有匿名上载的文件的宿主将会调整为chown_username中指定的用户.这样就便于管理,特别是从安全的角度考虑.
默认:
NO
chroot_list_enable
如果被激活,您需要提供一个需要将其限制于其家目录中的本地用户列表.如果将chroot_local_user设为YES则意义稍有不同.在此情况下,此列表变成不需将用户限制于其家目录的用户的列表.默认情况下,这个列表文件是/etc/vsftpd.chroot_list,但可以通过chroot_list_file选项来设定.
默认:
NO
chroot_local_user
如果设为YES,本地用户,在登录后将(默认)被限制在其家目录中.警告:
此选项有安全隐患,特别是在用户拥有上载权限,或可以shell访问的时候.如果您不清楚后果,请不要启用它.注意,这些安全隐患并不是vsftpd所特有的.所有的提供将本地用户进行目录限制的FTP守护进程有存在这种隐患.
默认:
NO
connect_from_port_20
用于控制在服务器端,是否使用端口20(ftp-data)进行数据联接.基于安全的考虑,有些客户端需要这样做.相反,禁用这个选项,可以使vsftpd以较少特权运行.
默认:
NO(但是在示例设置中启用了这个选项)
deny_email_enable
如果激活,您应当提供一个禁止匿名用户用做密码的e-mail地址列表.默认情况下,这个列表文件为/etc/vsftpd.banned_emails,当然,您可以通过banned_email_file选项指定.
默认:
NO
dirlist_enable
如果设为NO,所有的目录列取命令都将被禁止.
默认:
YES
dirmessage_enable
如果启用,当用户首次进入一个新目录时,FTP服务器将会显示欢迎信息.默认情况下,是扫描目录下的.message文件获取的,当然,您也可以通过message_file选项设定.
默认:
NO(但是在示例设置中启用了这个选项)
download_enable
如果设为NO,所有的下载请求都将被拒绝.
默认:
YES
dual_log_enable
如果启用,将生成两个相似的日志文件,默认在/var/log/xferlog和/var/log/vsftpd.log目录下.前者是wu-ftpd类型的传输日志,可以用于标准工具分析.后者是vsftpd自己类型的日志.
默认:
NO
force_dot_files
如果激活,以.开始的文件和目录在目录列取的时候将会被显示,即使客户端没有使用"a"标识.这不包括"."和".."目录
默认:
NO
force_local_data_ssl
只有在ssl_enable被激活时才能使用.如果被激活,则所有的非匿名用户登录时都被强制使用安全SSL联接来传送接收数据.
默认:
YES
force_local_logins_ssl
只有在ssl_enable被激活时才能使用.如果被激活,则所有的非匿名用户登录时都被强制使用安全SSL联接来传送密码.
默认:
YES
guest_enable
如果启用,所有非匿名用户都将以"guest"身份登录.guest通过guest_username设定,来映射到一个指定用户.
默认:
NO
hide_ids
如果启用,所有目录中的用户和组信息列取时都将显示为"ftp".
默认:
NO
listen
如果启用,vsftpd将以独立模式运行.这就意味着vsftpd不能由类inetd来启动.vsftpd应当直接执行.由vsftpd自身监听和处理联接请求.
默认:
NO
listen_ipv6
如listen参数,所不同的是,vsftpd将对IPv6接口进行监听,而不是IPv4接口.此参数和listen参数相互独立.
默认:
NO
local_enable
用于控制是否允许本地登录.如果启用,/etc/passwd中的普通帐号即可用于登录.
默认:
NO
log_ftp_protocol
如果启用,假若选项xferlog_std_format没有启用,所有的FTP请求和应答都会被记录.此选项对将对调试很有用.
默认:
NO
ls_recurse_enable
如果启用,此设置将允许用户使用"ls-R".这有点安全威胁,因为在大型站点的根目录下进行ls-R将会消耗很多资源.
默认:
NO
no_anon_password
如果启用,匿名用户登录将不再需要密码-可以直接登录.
默认:
NO
no_log_lock
如果启用,在写日志文件时,将会阻止vsftpd使用文件锁定.这个选项通常不会启用.它的存在是为了处理操作系统的一个bug,如Solaris/Veritas文件系统组合某些情况下试图锁定日志文件的现象.
默认:
NO
one_process_model
如果你使用Linux2.4内核,您就可以使用一个不同的安全模式,它只允许每个联接使用一个进程.这有一点小小的安全问题,但是提高了性能.如果您不清楚后果,或者您的站点要承受大量的并发用户联接时,请不要启用此选项.
默认:
NO
passwd_chroot_enable
如果启用,同chroot_local_user一起使用,就会基于每个用户创建限制目录,每个用户限制的目录源于/etc/passwd中的家目录.当家目录路径中包含/./时,enotesthatthejailisatthatparticularlocationinthepath.
pasv_enable
如果数据传输时,您不允许使用PASV模式,则将此选项设为NO
默认:
YES
pasv_promiscuous
如果您要禁用PASV安全检查,将此选项设置为YES.该检查用于确保数据传输联接与控制联接源于同一IP地址.如果不清楚后果,请不要启用此选项!
此选项只有在某些使用安全隧道的方案中才能正常使用,或者需要FXP的支持.
默认:
NO
port_enable
如果您不允许使用端口模式获取数据联接,将此选项设置为NO.
默认:
YES
port_promiscuous
如果您想禁用端口安全检查,将此选项设置为YES.此检查用于确认出站的数据只流向客户端.搞清楚后果前,不要启用此选项!
默认:
NO
run_as_launching_user
如果您希望可以由用户来启动vsftpd,将此选项设置为YES.当不能使用root登录时,这通常很有用.严重警告:
搞清楚后果前,不要启用此选项,随意的启用此选项将会导致非常严重的安全问题.特别是vsftpd没有/不能使用目录限制技术来限制文件访问时(甚至vsftpd是由root启动的).一个愚蠢的替代方法是将选项deny_file设为{/*,*..*},但是其可靠性并不能和限制目录相比,甚至不在一个等级上.如果启用此选项,应当限制其它选项的使用.例如,非匿名登录,上载文件宿主转换,使用源自端口20的联接和低于1024的端口不会工作.其它一些选项也可能受到影响.
默认值:
NO
secure_email_list_enable
如果您要为匿名用户指定一个做为密码的邮件地址列表,将此选项设置为YES.在不需要创建虚拟用户的情况下,构建一个低安全性访问控制很有用.如果启用,匿名用户只有使用在email_password_file中指定的邮件地址做为密码,才能登录.文件格式是每行一个密码,没有空格.默认文件名是/etc/vsftpd.email_passwords.
默认:
NO
session_support
此选项用于控制vsftpd是否为登录保持会话.如果保持会话,vsftpd将会尝试和更新utmp和wtmp.如果使用PAM认证,同时还会打开pam_session,直至登出.如果不需要保持登录会话,或许您希望禁用此选项,以使得vsftpd占用更少的进程和/或更少的特权.注意-utmp和wtmp只有在启用PAM的情况下才支持.
默认:
NO
setproctitle_enable
如果启用,vsftpd将会尝试在系统进程列表中显示会话状态信息.也就是说,进程报告将会显示每个vsftpd会话在做什么(闲置,下载等等).出于安全的考虑,您可能需要将其关闭.
默认:
NO
ssl_enable
如果启用此选项,并在编译时加入OpenSSL支持,vsftpd将支持通过SSL进行安全联接.此选项用于控制联接(包括登录)以及数据联接.您可能同时需要支持SSL的客户端.注意!
!
小心启用此选项.仅在需要时才启用.vsftpd对使用OpenSSL库的安全性不做任何担保.启用此选项,就意味着您相信所安装的OpenSSL库的安全性.
默认:
NO
ssl_sslv2
只有激活ssl_enable选项时才有效.如果启用,此选项将允许使用SSLv2协议进行联接.TLSv1仍为首选联接.
默认:
NO
ssl_sslv3
只有激活ssl_enable选项时才有效.如果启用,此选项将允许使用SSLv3协议进行联接.TLSv1仍为首选联接.
默认:
NO
ssl_tlsv1
只有激活ssl_enable选项时才有效.如果启用,此选项将允许使用TLSv1协议进行联接.TLSv1仍为首选联接.
默认:
YES
syslog_enable
如果启用,任何本来应该输出到/var/log/vsftpd/vsftpd.log的日志,将会输出到系统日志中.记录由FTPD完成.
默认:
NO
tcp_wrappers
如果启用,并且在编译vsftpd时加入了对TCP_Wrappers的支持,则连入请求转由TCP_Wrappers完成访问控制.另外,这是基于每个IP的配置机制.如果tcp_wrappers设置了VSFTPD_LOAD_CONF环境变量,则vsftpd会话将会试图加载在此变量中指定的vsftpd配置文件.
默认:
NO
text_userdb_names
默认情况下,目录列取时在用户和组字段显示的是数字ID.如果启用此选项,则可以得到文本名称.基于性能的考虑,默认情况下关闭此选项.
默认:
NO
tilde_user_enable
如果启用,vsftpd将试图解析类似~chris/pics的路径名,即跟着用户名的波型号.注意,vsftpd有时会一直解析~和~/(这里,~被解析称为初始登录路径).~user则只有在可以找到包含闲置目录的/etc/passwd文件时才被解析.
默认值:
NO
use_localtime
如果启用,vsftpd在列取目录时,将显示您本地时区的时间.默认显示为GMT.由MDTMFTP命令返回的时间同样也受此选项的影响.
默认:
NO
use_sendfile
一个内部设定,用于测试在您的平台上使用sendfile()系统的性能.
默认:
YES
userlist_deny
此选项只有在激活userlist_enable时才会有效.如果您将此选项设置为NO,则只有在userlist_file文件中明确指定的用户才能登录系统.当登录被拒绝时,拒绝发生在被寻问命令之前.
默认:
YES
userlist_enable
如果启用,vsftpd将会从userlist_file选项指定的文件中加载一个用户名列表.如果用户试图使用列表中指定的名称登录,那么他们将在寻问密码前被拒绝.这有助于阻止明文传送密码.详见userlist_deny.
默认:
NO
virtual_use_local_privs
如果启用,虚拟用户将拥有同本地用户一样的权限.默认情况下,虚拟用户同匿名用户权限相同,这倾向于更多限制(特别是在写权限上).
默认:
NO
write_enable
用于控制是否允许FTP命令更改文件系统.这些命令是:
STOR,DELE,RNFR,RNTO,MKD,RMD,APPE和SITE.
默认:
NO
xferlog_enable
如果启用,将会维护一个日志文件,用于详细记录上载和下载.默认情况下,这个日志文件是/var/log/vsftpd.log.但是也可以通过配置文件中的vsftpd_log_file选项来指定.
默认:
NO(但是在示例设置中启用了这个选项)
xferlog_std_format
如果启用,传输日志文件将以标准xferlog的格式书写,如同wu-ftpd一样.这可以用于重新使用传输统计生成器.然而,默认格式更注重可读性.此格式的日志文件默认为/var/log/xferlog,但是您也可以通过xferlog_file选项来设定.
默认:
NO
数字选项
下边是数字选项的列表.数字选项必须设置一个非负的整数.为了便于umask选项,同样也支持八进制数字.八进制数字首位应为0.
accept_timeout
超时,以秒计,用于远程客户端以PASV模式建立数据联接.
默认:
60
anon_max_rate
允许的最大数据传输速率,单位b/s,用于匿名客户端.
默认:
0(无限制)
anon_umask
用于设定匿名用户建立文件时的umask值.注意!
如果您要指定一个八进制的数字,首位应当是"0",否则将视作10进制数字.
默认:
077
connect_timeout
超时,单位秒,用于响应PORT方式的数据联接.
默认:
60
data_connection_timeout
超时,单位秒,用于设定空闲的数据连接所允许的最大时长.如果触发超时,则远程客户端将被断开.
默认:
300
file_open_mode
用于设定创建上载文件的权限.mask的优先级高于这个设定.如果想允许上载的文件可以执行,将此值修改为0777
默认:
0666
ftp_data_port
FTPPORT方式的数据联接端口.(需要激活connect_from_port_20选项)
默认:
20
idle_session_timeout
超时,单位秒,远程客户端的最大FTP命令间隔.如果超时被触发,远程客户端将被断开.
默认:
300
listen_port
如果vsftpd以独立模式启动,此端口将会监听FTP连入请求.
默认:
21
local_max_rate
允许的最大数据传输速率,单位b/s,用于限制本地授权用户.
默认:
0(无限制)
local_umask
用于设定本地用户上载文件的umask值.注意!
如果您要指定一个八进制的数字,首位应当是"0",否则将视作10进制数字.
默认:
077
max_clients
如果vsftpd以独立模式启动,此选项用于设定最大客户端联接数.超过部分将获得错误信息.
默认:
0(无限制)
max_per_ip
如果vsftpd以独立模式启动,此选项用于设定源于同一网络地址的最大联接数.超过部分将获得错误信息.
默认:
0(无限制)
pasv_max_port
为PASV方式数据联接指派的最大端口.基于安全性考虑,可以把端口范围指定在一样较小的范围内.
默认:
0(可以使用任意端口)
pasv_min_port
为PASV方式数据联接指派的最小端口.基于安全性考虑,可以把端口范围指定在一样较小的范围内.
默认:
0(可以使用任意端口)
trans_chunk_size
您可能不想修改这个设置,如果有带宽限制,可以尝试将此值设置为8192.
默认:
0(让vsftpd自己选择一个更合理的设置)
字符选项
下边是字符选项列表
anon_root
此选项声明,匿名用户在登录后将被转向一个指定目录(译者注:
默认根目录).失败时将被忽略.
默认:
(无)
banned_email_file
此选项用于指定包含不允许用作匿名用户登录密码的电子邮件地址列表的文件.使用此选项需要启用deny_email_enable选项.
默认:
/etc/vsftpd.banned_emails
banner_file
此选项用于指定包含用户登录时显示欢迎标识的文件.设置此选项,将取代ftpd_banner选项指定的欢迎标识.
默认:
(无)
chown_username
用于指定匿名用户上载文件的宿主.此选项只有在chown_uploads选项设定后才会有效.
默认;root
chroot_list_file
此选项用于指定包含被限制在家目录中用户列表的文件.使用此选项,需启用chroot_list_enable.如果启用了chroot_local_user选项,此文件所包含的则为不会被限制在家目录中的用户列表.
默认:
/etc/vsftpd.chroot_list
cmds_allowed
此选项指定允许使用的FTP命令(登录以后.以及登录前的USER,PASS和QUIT),以逗号分割.其它命令将被拒绝使用.这对于锁定一个FTP服务器非常有效.例如:
mds_allowed=PASV,RETR,QUIT
默认:
(无)
deny_file
此选项用于设定拒绝访问的文件类型(和目录名等).此设定并不是对文件进行隐藏,但是您不能对其操作(下载,更换目录,以及其它操作).此选项非常简单,不能用于严格的访问控制--文件系统的优先级要高一些.然而,此选项对于某些虚拟用户的设定非常有效.特别是在一个文件可以通过各种名称访问时(可能时通过符号联接或者硬联接),应当注意拒绝所有的访问方法.与hide_file中给出名称匹配的文件会被拒绝访问.注意vsftpd只支持正则表达式匹配的部分功能.正因为如此,您需要尽可能的对此选项的设置进行测试.