vsftp的配置条目

最新推荐文章于 2023-10-15 14:08:51 发布

xdnabl

最新推荐文章于 2023-10-15 14:08:51 发布

阅读量1k

点赞数

分类专栏： linux ftp

本文链接：https://blog.csdn.net/xdnabl/article/details/54881033

版权

linux 同时被 2 个专栏收录

14 篇文章 0 订阅

订阅专栏

ftp

5 篇文章 0 订阅

订阅专栏

好吧。节后公司的事情很多，懒病又犯了，再加上把VSFTP想得过于简单，结果就是VSFTP第四篇配置条目硬拖了一个半月才出来。

好吧，好吧。为了自己拖延辩解也罢，为了日后保证正确也罢，现在总也有些东西要说说的：这个是我从vsftpd官网上复制下来，然后从英文翻译过来的。初译根本惨不忍睹，句子亦不通，经过实验之后总算能连贯成句。不过虽然慢了一点，但经此一折腾所得的东西远非字面上那么点，这是我感到最值的地方。

现在大体整理和测试过的配置项如下，绿色的是已经验证过的，紫色的是由于种种原因没办法验证的（比如证书）。由于篇幅有限，有些选限的用法未写得很明确，如果有疑问可以直接留言给我。

还有一部分大概四十条左右的黄色和红色配置项，我在验证完成之后会更新。

匿名用户专属配置条目

选项	anonymous_enable
类别	开启	作用	开启匿名用户登陆	默认值
说明	如果设置为YES，则是允许匿名用户登录

选项	ftp_username
类别	登录	作用	匿名用户登录名	默认值
说明	这个选项设置的是匿名用户的登录名，该用户的主目录是匿名FTP的根目录,目录的所有者必须是root或ftp,权限755。是在FTP服务登陆系统的用户，而非FTP用户登录用户。
说明

选项	anon_root
类别	登录	作用	匿名用户主目录	默认值
说明	可以改变vsftp匿名用户登录后的文件夹,所有者必须是root或ftp,权限755

选项	no_anon_password
类别	登录	作用	匿名用户不需密码登陆	默认值
说明	如果设置为YES，匿名用户将不需要密码直接登录

选项	secure_email_list_enable
类别	登录	作用	匿名用户密码列表	默认值
说明	如果设置为YES，则匿名用户只有用指定列表中的电子邮件作为密码才能登录（不再是空密码）。可以在不需要用虚拟用户的情况下，以较低的安全限制去访问较低安全级别的资源。文件格式是每行一个密码，没有额外的空格。默认的文件名是/etc/vsftpd/email_passwords。



选项	email_password_file
类别	登录	作用	密码文件名	默认值
说明	默认值是/etc/vsftpd/email_passwords，其实是配合secure_email_list_enable选项使用的一个密码文件。
说明

选项	deny_email_enable
类别	登录	作用	不许登陆匿名用户密码	默认值
说明	如果设置为YES，在/etc/vsftpd/banned_emails文件中的email格式密码将被停止登录

选项	banned_email_file
类别	登录	作用	不许登陆列表文件名	默认值
说明	在deny_email_enable启用，匿名用户使用此文件中的电子邮件作为密码登陆将被禁止。覆盖email_password文件。
说明

选项	anon_umask
类别	权限	作用	新建文件权限	默认值
	这是匿名用户创建文件的umask值。注！如果你想指定的八进制值，记住以“0”为前缀否则该值将被视为基数10整数！umask的权限是减法。


选项	anon_other_write_enable
类别	权限	作用	匿名用户可写	默认值
说明	当write_enable=YES时生效，允许匿名用户可以进行写操作，比如上传文件和目录。但不改变权限的前提下不能对已上传文件进行删除和重命名。可以对目录中的文件执行所在目录的权限，就算匿名用户本身对文件没有权限，只要他相对目录有相应的权限即可。极危险的选项。



选项	chown_uploads
类别	权限	作用	变更匿名用户上传所属	默认值
说明	如果设置为YES，所有匿名上传的文件将所有权在改变设置为chown_username指定的用户。仅上传，新建不受影响。
说明	如果设置为YES，所有匿名上传的文件将所有权在改变设置为chown_username指定的用户。仅上传，新建不受影响。

选项	chown_username
类别	权限	作用	指定匿名用户上传所属	默认值
说明	设置的是匿名上传文件所有权的用户名。这个选项只有另一个选项chown_uploads进行了相关设置才会生效。不指定默认root
说明

选项	chown_upload_mode
类别	权限	作用	上传文件权限	默认值
说明	匿名用户上传文件的默认权限。权限是加法。chown_upload=YES生效

选项	one_process_model
类别	连接	作用	每进程一连接	默认值
说明	如果你有一个Linux 2.4内核，可以使用不同的安全模型，每个连接只使用一个进程。这是一个不太纯粹的安全模型，但gains you performance。你真的不想启用这个，除非你知道你在做什么，你的网站支持大量的同时连接的用户。



选项	allow_anon_ssl
类别	连接	作用	允许SSL连接	默认值
说明	当ssl_enable=YES时生效，如果设置为YES，则有匿名用户将被允许使用ssl连接

选项	force_anon_data_ssl
类别	传输	作用	SSL传输数据	默认值
说明	当ssl_enable=YES生效。如果设置为YES，所有匿名登录，被迫使用为安全的SSL连接来发送和接收数据连接的数据。
说明

选项	force_anon_logins_ssl
类别	传输	作用	SSL发送密码	默认值
说明	当ssl_enable=YES生效。如果设置为YES，所有匿名登录，被迫使用为安全的SSL连接发送密码。

系统用户专属配置条目

选项	local_enable
类别	开启	作用	开启系统用户登陆	默认值
说明	控制是否允许本地登录。如果设置为YES，/etc/passwd中的普通用户帐户可以用来登录。这必须启用任何非匿名登录的工作，包括虚拟用户。
说明

选项	userlist_enable
类别	登陆	作用	启动黑名单	默认值
说明	如果设置为YES，vsftpd将从userlist_file给出的文件名中加载一个用户名列表。如果用户试图使用在这个文件中任意一个名字登录，他们将会被拒绝，在这之前将会被要求输入密码。这对于防止明文密码传输可能是有用的。请参阅userlist_deny.



选项	userlist_file
类别	登陆	作用	黑名单文件名	默认值
说明	这个是选项是userlist_enable选项启用时所加载的文件名。本质上是一个用户名列表。

选项	userlist_deny
类别	登陆	作用	黑白名单转换	默认值
说明	如果userlist_enable激活了这个选项才会被检查。如果你设置为NO，那么用户将被拒绝登录，除非他们明确列出指定的userlist_file文件。拒绝登录时，在用户要求密码发出之前就会被告拒绝。
说明

选项	chroot_list_enable
类别	安全	作用	启用不受限主目录设置	默认值
说明	如果设置为YES，则当chroot_local_user=YES时，/etc/vsftpd.chroot_list内设置的用户将不会被强制限制在主目录内。
说明

选项	chroot_list_file
类别	登陆	作用	锁定于主目录用户列表文件	默认值
说明	这是一个包含本地用户列表的文件名，在此文件中的本地用户登录后都会被锁定在主目录之内。本选项只有在另一个选项 chroot_list_enable 启用的时候才会生效。如果选项chroot_list_enable启用，则文件中的所有用户名不会被锁定在主目录之内。



选项	local_umask
类别	权限	作用	新建文件权限	默认值
说明	为本地用户创建文件的umask设置。注！如果你想指定的八进制值，记住以“0”为前缀，否则该值将被视为10整数！
说明	为本地用户创建文件的umask设置。注！如果你想指定的八进制值，记住以“0”为前缀，否则该值将被视为10整数！

选项	passwd_chroot_enable
类别	安全	作用	系统用户不受目录锁定	默认值
说明	如果设置为YES，随着chroot_local_user的设置，每个用户被锁定的目录是来自在/etc/passwd家目录。对于/etc/passwd中的用户，可以在主目录字符串中包含"/./"，可以将chroot监牢的位置在目录结构中向上移动。这里的修改并不会影响到标准的系统登录，如同命令"cd ."不会对工作目录产生影响一样。




选项	ssl_enable
类别	连接	作用	开启SSL连接	默认值
说明	如果设置为YES，并重新编译OpenSSL加密库，vsftpd将支持通过SSL安全连接。这适用于控制连接（包括登录）和数据连接。你需要一个支持SSL的客户端。注！请注意启用此选项。只有在你需要的时候才启用它。vsftpd不能保证OpenSSL库的安全。当你接受这次选择时，你就申明表示你接受按照SSL权限的安全细则




选项	force_local_data_ssl
类别	传输	作用	启用SSL传输	默认值
说明	当ssl_enable=YES生效。如果设置为YES，所有非匿名登录，被迫使用为安全的SSL连接来发送和接收数据连接的数据。
说明

选项	force_local_logins_ssl
类别	传输	作用	启用SSL发送密码	默认值
说明	当ssl_enable=YES生效。如果设置为YES，所有非匿名登录，被迫使用为安全的SSL连接发送密码。

选项	local_max_rate
类别	传输	作用	速率	默认值
说明	本地身份验证用户允许的最大数据传输速率（每秒字节数）。

虚拟用户条目

选项	guest_enable
类别	开启	作用	启用虚拟用户	默认值
说明	如果设置为YES，即启用虚拟用户。所有非匿名登录被归类为“客人”登录。客人登录映射在guest_username设置指定的用户。
说明

选项	virtual_use_local_privs
类别	安全	作用	权限是否等同匿名用户	默认值
说明	如果设置为YES，虚拟用户将使用与本地用户相同的权限。默认情况下，虚拟用户将使用与匿名用户相同的权限，这将更为严格（特别是在写访问方面）。
说明

选项	guest_username
类别	映射用户	作用	本地用户	默认值
说明	这个设置是在guest_enable启用之后才会生产，即虚拟用户映射到的真实用户名。

选项	user_config_dir
类别	各用户配置文件	作用	配置文件所在目录	默认值
说明	这个强大的选项允许在在每个用户的手动页面中指定或重写的任何配置选项。用法简单，最好用一个例子说明。如果你设置的user_config_dir是/ etc / vsftpd_user_conf，然后登录的用户名是chris，vsftp会话在进行的时候会重新读取文件/etc/vsftpd_user_conf/chris。此文件的格式在本手册页中有详细记录！请注意不是所有的有效设置都建立在每用户的基础上。例如，很多设置建立在用户会话开始之前。这些设置的行为不会影响到每一个用户的配置，包括 listen_address, banner_file, max_per_ip, max_clients, xferlog_file等等。






选项	local_root
类别	登陆	作用	文件夹	默认值
说明	这是设置一个选项，非匿名登录后vsftpd将会转向的目录，如果失败被忽略。

通用配置条目

选项	port_enable
类别	连接	作用	主动模式启用	默认值
说明	如果设置为YES，则vsftp的主动模式被启动。如果你不想用主动模式获取数据连接可以设为NO

选项	max_clients
类别	连接	作用	最大客户端连接数	默认值
说明	如果vsftpd是独立的模式，这是客户端可以连接的最大数目。任何额外的客户端连接将得到一个错误信息。

选项	max_per_ip
类别	连接	作用	同IP最大连接数	默认值
说明	如果vsftpd是独立的模式，这是客户可以从同一来源的网络地址连接的最大数目。如果客户越过这个限制，就会得到错误信息。
说明	如果vsftpd是独立的模式，这是客户可以从同一来源的网络地址连接的最大数目。如果客户越过这个限制，就会得到错误信息。

选项	listen_address
类别	连接	作用	监听地址	默认值
说明	如果vsftpd是在独立模式下，默认的监听地址（所有本地接口）可以通过此设置重写。提供一个数字IP地址。

选项	listen_address6
类别	连接	作用	监听地址	默认值
说明	像listen_address，但指定一个默认监听的IPv6地址（如果listen_ipv6启用）。格式是标准的IPv6地址格式

选项	max_login_fails
类别	登陆	作用	失败次数	默认值
说明	FTP可以登录失败的次数，超过这个次数会话将会被关闭。

选项	delay_failed_login
类别	登陆	作用	秒数	默认值
说明	在报告失败登录前暂停的秒数。

选项	delay_successful_login
类别	登陆	作用	秒数	默认值
说明	在验证成功允许登录之前暂停的秒数。

选项	file_open_mode
类别	权限	作用	权限值	默认值
说明	上传文件的权限，和umasks一样的效果。如果您希望上传的文件是可执行文件，您可能希望更改为0777。

选项	download_enable
类别	权限	作用	允许下载	默认值
说明	如果设置为NO，所有下载请示求都会被拒绝。

选项	listen_port
类别	端口	作用	端口号	默认值
说明	如果vsftpd是独立模式，这个端口将将侦听传入的FTP连接。

选项	ls_recurse_enable
类别	命令	作用	允许使用ls -R命令	默认值
说明	如果设置为YES，此设置将允许使用“ls - R”。这是一个较小的安全风险，因为一个大型站点的顶级的ls可能会消耗大量资源。
说明

选项	dual_log_enable
类别	日志	作用	同时生成两个日志	默认值
说明	如果设置为YES，则会同时产生两个日志文件，/var/log/xferlog 和 /var/log/vsftpd.log。前者是wu-ftpd格式日志，采用标准工具解析。后者是vsftpd自己的格式。
说明

选项	syslog_enable
类别	日志	作用	记录到系统日志	默认值
说明	如果设置为YES，日志输出到系统日志/var/log/messages中/var/log/vsftpd.log不会记录，如文件不存在则文件不会产生。
说明

选项	xferlog_enable
类别	日志	作用	开启日志	默认值
说明	如果设置为YES，日志文件将详细记录了上传和下载。默认情况下，该文件将被放置在/var/log/vsftpd.log，但是这个位置可以使用vsftpd_log_file的配置来进行设置。
说明

选项	vsftpd_log_file
类别	日志	作用	vsftpd格式	默认值
说明	这个选项设置的是vsftpd格式的日志文件名。只有在xferlog_enable启用和xferlog_std_format未设置的情况下才会被启用。或者，你有启用过dual_log_enable选项。一个更复杂的情况—如果你设置了syslog_enable，那这个文件就不会写入，日志会输出到系统日志中。



选项	xferlog_std_format
类别	日志	作用	wu-ftp格式	默认值
说明	如果设置为YES，传输日志文件将被写入标准xferlog格式，像就wu-ftpd用的那种。这很有用，因为你可以重用现有的传输统计生成器。但是默认的格式是更具可读性。这种风格的日志文件的默认位置是/var/log/messages xferlog，但你可以修改xferlog_file来改变它的设置。



选项	xferlog_file
类别	日志	作用	wu-ftp格式	默认值
说明	这个选项设置的是wu-ftp格式的日志文件名。只有在xferlog_enable和xferlog_std_format都被启用的情况下才会被启用。或者，你有启用过dual_log_enable选项。
说明

选项	log_ftp_protocol
类别	日志	作用	记录FTP请求和响应	默认值
说明	如果设置为YES，所有的FTP请求和响应的记录，如果选项xferlog_std_format未启用（记录于vsftpd.log中）。一般用来调试。
说明

选项	pam_service_name
类别	验证	作用	pam服务名	默认值
说明	这个字符串是vsftpd将使用的PAM服务名称

选项	chroot_local_user
类别	安全	作用	限制于主目录	默认值
说明	如果设置为YES，用户登录之后会被强制限制在主目录中，不能向上变更目录。

选项	dirlist_enable
类别	安全	作用	是否显示信息	默认值
说明	如果设置为NO，所有目录遍例命令都会被拒绝。命令行模式下，诸如dir,ls命令都会被拒绝。

选项	force_dot_files
类别	安全	作用	显示所有文件	默认值
说明	如果设置为YES，目录下所有文件和文件夹都会被显示，无论是否隐藏。但不包括”.”和”..”

选项	hide_ids
类别	安全	作用	显示	默认值
说明	如果设置为YES，在目录列表中所有文件和文件夹的用户和组的信息将被显示为“ftp”。

选项	nopriv_user
类别	安全	作用	安全帐号	默认值
说明	指定的是vsftp的运行帐户，这是使用vsftpd时要完全无特权的用户的名称。请注意，这应该是一个专用的用户，而不是nobody。nobody用户在大多数机器上往往被用作相当重要的东西。
说明

选项	deny_file
类别	安全	作用	禁读文件名格式	默认值
说明	此选项可用于设置不能以任何方式访问文件的文件名模式（和目录名等）。受影响的项目不是隐藏的，但对他们做任何操作（下载，更改为目录，影响目录内的东西）的任何企图将被拒绝。这个选项很简单，不应用于严重的访问控制，应优先使用文件系统的权限。然而，此选项对于某些虚拟用户设置来说却是非常实用的。特别注意如果一个文件名有多个访问名称（可能是由于符号链接或硬链接），那么注意必须拒绝访问所有的名字。假如项目的名字包含了hide_file字符串，或者它们匹配指定的正则表达式hide_file，那么对于项目的访问将被拒绝。注意，vsftpd的正则表达式匹配的代码是完全正则表达式的功能的一个子集。因此，你需要非常仔细和竭尽全力的去测试这项选择的任何应用。由于其更高的可靠性，重要的安全政策建议使用文件系统权限。正则表达式的语法是任何数量的,?和嵌套的{,}操作。正则表达式匹配仅支持路径的最后一个组成部分，例如：支持a/b/? 但不支持a/?/c。例如：deny_file = {.mp3,*.mov,.private}









选项	hide_file
类别	安全	作用	隐藏文件名格式	默认值
说明	此选项可用于设置应该隐藏目录列表的文件名模式（和目录名等）。尽管被隐藏，只要知道实际使用的名称文件/目录等完全可以被客户访问。如果项目的名字包含了hide_file字符串，或者如果它们匹配指定的正则表达式hide_file，项目将被隐藏。注意，vsftpd的正则表达式匹配的代码是完全正则表达式的功能的一个子集。看deny_file 详细介绍正则表达式语法。例如：hide_file={.mp3,.hidden,hide,h?}




选项	dirmessage_enable
类别	信息	作用	是否显示信息	默认值
说明	如果设置为YES，当他们第一次进入一个新目录的时候会得到显示信息。默认情况下目录会扫描信息文件。但是可以重新设置message_file。
说明

选项	message_file
类别	信息	作用	文件名	默认值
说明	此选项是输入新目录时所查找文件的名称。它的内容将会显示给远程用户。此选项将在选项dirmessage_enable启用的时候生效。
说明

选项	ftpd_banner
类别	信息	作用	字符串	默认值
说明	这个选项允许你覆盖在vsftpd首次连接时显示的欢迎横幅。

选项	banner_file
类别	信息	作用	文件名	默认值
说明	此选项是有人连接到服务器时显示出的文本所在的文件名。如果设置，它会覆盖 ftpd_banner 选项的内容。

选项	listen
类别	侦听	作用	以独立模式运行	默认值
说明	如果设置为YES，vsftpd将运行在独立模式。这意味着vsftpd不必从某些端口监视程序运行。相反，vsftpd的可执行文件运行一次直接。vsftpd本身自己将仔细监听和处理进入的链接。
说明

选项	listen_ipv6
类别	侦听	作用	以独立模式运行IPV6	默认值
说明	类似listen参数，基本就是监听IPV6代替IPV4，这个参数和listen参数相互排斥，只能存一。

选项	use_localtime
类别	时间	作用	使用本地时间	默认值
说明	如果设置为YES，vsftpd将按您的本地时区显示目录列表的时间。默认是显示格林威治时间。由MDTM FTP命令返回的时间也受此选项的影响。
说明

选项	accept_timeout
类别	时间	作用	超时秒数	默认值
说明	远程客户端以PASV模式建立数据连接的超时时间，单位是秒。

选项	connect_timeout
类别	时间	作用	超时秒数	默认值
说明	远程客户端以 PORT模式建立数据连接的超时时间，单位是秒。

选项	data_connection_timeout
类别	时间	作用	超时秒数	默认值
说明	这是允许的数据传输停顿的最大时间。如果触发超时，远程客户端将被断开。

选项	idle_session_timeout
类别	时间	作用	超时秒数	默认值
说明	远程客户端可以用FTP命令之间的最大时间，单位为秒。如果超时触发，远程客户端将被关闭。

选项	setproctitle_enable
类别	调试	作用	状态信息	默认值
说明	如果设置为YES，vsftpd会在系统进程列表显示会话状态信息。换句话说，该进程的名称变更将直接反映什么vsftpd会话做什么（闲置、下载等）。你大概会出于安全目的而想关闭这个选项。
说明