vsftpd配置

vsftpd配置

connect_from_port_20=YES(NO)

主动联机的ftp-data

 

listen_port=21

使用的 vsftpd命令通道的 port number 设定，如果您想要使用非

正规的 ftpport，在这个设定项目修改吧！

 

dirmessage_enable=YES(NO)

当使用者进入某个目录时，会显示该目录需要注意的内容，显示的档案预设的message，当然，可以使用底下的设置项目来修订~

 

message_file=.message

当 dirmessage_enable=YES时，可以设定这个项目来让 vsftpd

寻找该档案来显示讯息！您也可以设定其它档名喔！

 

 

listen=YES(NO)

若设定为YES 表示 vsftpd 是以 standalone 的方式来启动的！

 

pasv_enable=YES(NO)

启动被动式联机(passivemode)，一定要设定为 YES 的啦！

 

use_localtime=YES(NO)

是否使用主机的时间？！预设使用GMT 时间(格林威治)，会比台湾

时间晚 8小时，一般来说，建议设定为 YES 吧！

 

write_enable=YES(NO)

是否允许使用者具有写入的权限？！这包括删除与修改等功能喔！

 

 

connect_timeout=60

单位是秒，如果client 尝试连接我们的 vsftpd 命令通道超过 60 秒，

则不等待，强制断线咯。

 

accept_timeout=60

当使用者以被动式PASV 来进行数据传输时，如果主机启用 passive port

并等待 client超过60 秒，那么就给他强制断线！您可以修改 60 这个数值。

 

 

data_connection_timeout=300

如果 client与 Server 间的数据传送在 300 秒内都无法传送成功，

那 Client的联机就会被我们的 vsftpd 强制剔除！

 

idle_session_timeout=300

如果使用者在300 秒内都没有命令动作，强制离线！

 

 

max_clients=0

如果 vsftpd是以 stand alone 方式启动的，那么这个设定项目可以设定

同一时间，最多有多少client 可以同时连上 vsftpd 哩！？

 

 

max_per_ip=0

与上面 max_clients类似，这里是同一个 IP 同一时间可允许多少联机？

 

 

pasv_max_port=0

pasv_min_port=0

上面两个是与passive mode 使用的 port number 有关，如果您想要使用

65400 到65410 这 11 个 port 来进行被动式资料的连接，可以这样设定

pasv_max_port=65410以及 pasv_min_port=65400

 

 

ftpd_banner=一些文字说明

当使用者无法顺利连上我们的主机，例如联机数量已经超过max_clients

的设定了，那么client 的画面就会显示『一些文字说明』的字样，您可以修改

关于实体用户登入者的设定值

 

 

guest_enable=YES(NO)

若这个值设定为YES 时，那么任何非 anonymous 登入的账号，均会被

假设成为guest (访客) 喔！

 

local_enable=YES(NO)

这个设定值必须要为YES 时，在 /etc/passwd 内的账号才能以

实体用户的方式登入我们的vsftpd 主机喔！

 

 

local_max_rate=0

实体用户的传输速度限制，单位为bytes/second， 0 为不限制。

 

 

chroot_local_user=YES(NO)

将使用者限制在自己的家目录之内(chroot)！这个设定在vsftpd

当中预设是NO，因为有底下两个设定项目的辅助喔！

所以不需要启动他！

 

 

chroot_list_enable=YES(NO)

是否启用将某些实体用户限制在他们的家目录内？！预设是NO ，

不过，如果您想要让某些使用者无法离开他们的家目录时，

可以考虑将这个设定为YES ，并且规划下个设定值

chroot_list_file=/etc/vsftpd.chroot_list

如果 chroot_list_enable=YES那么就可以设定这个项目了！他里面可以规定

那一个实体用户会被限制在自己的家目录内而无法离开！(chroot)

一行一个账号即可！<= 这个应该是白名单，即写在这个文件中实体用户可以不受家目录限制。

 

 

userlist_deny=YES(NO)

若此设定值为YES 时，则当使用者账号被列入到某个档案时，在该档案内

的使用者将无法登入vsftpd 服务器！该档案文件名与下列设定项目有关。

 

 

userlist_file=/etc/vsftpd.user_list

若上面 userlist_deny=YES时，则这个档案就有用处了！在这个档案内的

账号都无法使用vsftpd 喔！

 

 

关于匿名者登入的设定值

anonymous_enable=YES(NO)

设定为允许anonymous 登入我们的 vsftpd 主机！预设是 YES ，底下的所有

相关设定都需要将这个设定为anonymous_enable=YES 之后才会生效！

 

 

anon_world_readable_only=YES(NO)

仅允许 anonymous具有下载可读档案的权限，预设是 YES。

 

 

anon_other_write_enable=YES(NO)

是否允许anonymous 具有写入的权限？预设是 NO！如果要设定为 YES，

那么开放给anonymous 写入的目录亦需要调整权限，让 vsftpd 的 PID

拥有者可以写入才行！

 

 

anon_mkdir_write_enable=YES(NO)

是否让anonymous 具有建立目录的权限？默认值是 NO！如果要设定为 YES，

那么 anony_other_write_enable必须设定为 YES ！

 

 

anon_upload_enable=YES(NO)

是否让anonymous 具有上传数据的功能，预设是 NO，如果要设定为 YES ，

则 anon_other_write_enable=YES必须设定。

 

 

deny_email_enable=YES(NO)

将某些特殊的email address 抵挡住，不让那些 anonymous 登入！

如果以 anonymous登入主机时，不是会要求输入密码吗？密码不是要您

输入您的email address 吗？如果你很讨厌某些 email address ，

就可以使用这个设定来将他取消登入的权限！需与下个设定项目配合：

banned_email_file=/etc/vsftpd.banned_emails

如果 deny_email_enable=YES时，可以利用这个设定项目来规定那个

email address不可登入我们的 vsftpd 喔！在上面设定的档案内，

一行输入一个email address 即可！

 

 

no_anon_password=YES(NO)

当设定为YES 时，表示 anonymous 将会略过密码检验步骤，

而直接进入vsftpd 服务器内喔！所以一般预设都是 NO 的！

 

 

anon_max_rate=0

这个设定值后面接的数值单位为bytes/秒 ，限制 anonymous 的传输速度，

如果是 0则不限制(由最大频宽所限制)，如果您想让 anonymous 仅有

30 KB/s 的速度，可以设定『anon_max_rate=30000』

 

 

anon_umask=077

限制 anonymous的权限！如果是 077 则 anonymous 传送过来的档案

权限会是-rw------- 喔！

 

 

关于系统安全的设定值：

ascii_download_enable=YES(NO)

如果设定为YES ，那么 client 就可以使用 ASCII 格式下载档案。

一般来说，由于启动了这个设定项目可能会导致DoS 的攻击，因此预设是NO。

 

 

ascii_upload_enable=YES(NO)

与上一个设定类似的，只是这个设定针对上传而言！预设是NO。

 

 

async_abor_enable=YES(NO)

如果您的FTP client 会下达 "async ABOR" 这个指令时，这个设定才需要启用

一般来说，由于这个设定并不安全，所以通常都是将他取消的！

 

 

check_shell=YES(NO)

如果您想让拥有任何奇怪的shell 的使用者(在 /etc/passwd 的 shell 字段)

可以使用vsftpd 的话，这个设定可以设定为 NO 喔！

 

 

one_process_model=YES(NO)

这个设定项目比较危险一点～当设定为YES 时，表示每个建立的联机

都会拥有一支process 在负责，可以增加 vsftpd 的效能。不过，

除非您的系统比较安全，而且硬件配备比较高，否则容易耗尽系统资源喔！

一般建议设定为NO 的啦！

 

 

tcp_wrappers=YES(NO)

当然我们都习惯支持TCP Wrappers 的啦！所以设定为 YES 吧！

 

 

xferlog_enable=YES(NO)

当设定为YES 时，使用者上传与下载档案都会被纪录起来。记录档案

与下一个设定项目有关：

xferlog_file=/var/log/vsftpd.log

如果上一个xferlog_enable=YES 的话，这里就可以设定了！

这个是登录档的档名啦！

 

 

xferlog_std_format=YES(NO)

是否设定为wu ftp 相同的登录档格式？！预设为 NO ，因为登录档会比较容易读！

不过，如果您有使用wu ftp 登录文件的分析软件，这里才需要设定为 YES

 

 

nopriv_user=nobody

我们的 vsftpd预设以 nobody 作为此一服务执行者的权限。因为 nobody 的权限

相当的低，因此即使被入侵，入侵者仅能取得nobody 的权限喔！

 

 

pam_service_name=vsftpd

这个是 pam模块的名称，我们放置在 /etc/pam.d/vsftpd 即是这个咚咚！