centos7搭建vsftpd-配置文件全解

centos7搭建vsftpd

参考：https://blog.csdn.net/aerchi/article/details/78042443

参考：https://blog.csdn.net/will0532/article/details/79175478

参考：https://blog.csdn.net/m47838704/article/details/51636379

原则：

要想安全地配置vsftpd意味着着需要考虑以下这几点：

关闭匿名访问功能、开启chroot以防止用户可以遍历系统文件、开启被动模式以便NAT环境用户访问、启用TSL加密以防止明文泄露、启用系统内置账户验证登录（该账户须限制不能登录）、改变默认的21端口以防止黑客扫描（当然也可以使用21端口）。

安装vsftpd

查询是否系统已经自带了vsftpd ：rpm -qa | grep vsftpd

安装命令（安装的最新版本）：

yum install -y vsftpd

启动服务：

systemctl start vsftpd

开机自启：

systemctl enable vsftpd

检查vsftpd是否开启：ps -e|grep vsftpd 或者 查看21端口是否被监听，netstat -an | grep 21

可以使用netstat -ntpl | grep vsftpd命令查看到系统现在监听的vsftpd的端口为 21

4.开启防火墙

放开21端口：firewall-cmd --zone=public --add-port=21/tcp --permanent(被动模式下还应该开启自定义的端口)

永久开放 ftp 服務：firewall-cmd --add-service=ftp --permanent (关闭ftp服务：firewall-cmd --remove-service=ftp --permanent)

在不改变状态的条件下重新加载防火墙：firewall-cmd --reload

FTP 用户认证

FTP 的用户一共有三种类型

• 匿名用户：ftp，anonymous，对应Linux用户ftp
• 系统用户：Linux用户，用户/etc/passwd,密码/etc/shadow
• 虚拟用户：特定服务的专用用户，独立的用户名/密码文件

VSFTPD服务

• vsftpd 服务，由vsftpd包提供，直接使用yum安装就可以。
• 用户认证配置文件:/etc/pam.d/vsftpd
• 服务脚本： /usr/lib/systemd/system/vsftpd.service,/etc/rc.d/init.d/vsftp
• 配置文件:/etc/vsftpd/vsftpd.conf
• 匿名用户（映射为系统用户ftp ）共享文件位置：/var/ftp
• 系统用户共享文件位置：用户家目录
• 虚拟用户共享文件位置：为其映射的系统用户的家目录

创建登录用户及主目录

1. 创建vsftpd的登录用户和主目录 [用于映射虚拟用户]
   sudo useradd -d /home/vsftpd/myftp -s /sbin/nologin myftp（myftp是ftp的登录用户，替换成你自己的用户！）
2. 修改相应的密码             passwd myftp，
   
3. 更改所有者及用户组              chown myftp.myftp /home//vsftpd/myftp
   
4. 赋予权限：                     chmod 755 /home/vsftpd/myftp
   

创建虚拟用户及设置

    1.建虚拟用户主目录，比如虚拟用户叫ftp1，执行下面的命令。

mkdir -p /home/vsftpd/ftp1mkdir -p /home/vsftpd/ftp2

    2.创建虚拟用户

vi /etc/vsftpd/vsftpdusers.txt

用户1
用户1密码
用户2
用户2密码
......

    就创建了用户1这个虚拟用户，密码为用户1密码

    3.根据这个文件创建数据库文件并赋予安全权限(此处报错就安装一下db4：   yum -y install db4)

db_load -T -t hash -f /etc/vsftpd/vsftpdusers.txt /etc/vsftpd/vsftpdusers.db
chmod 600 /etc/vsftpd/vsftpdusers.db

    4.启用这个数据库文件（这一步就是创建的虚拟用户认证文件，配置文件中要用）

vim /etc/pam.d/vsftpd

        vim /etc/pam.d/vsftpd

        把原来的account和auth注释掉，替换为下面：

auth   required    /lib64/security/pam_userdb.so db=/etc/vsftpd/vsftpdusers
account required /lib64/security/pam_userdb.so db=/etc/vsftpd/vsftpdusers

    5.虚拟用户[权限]配置文件（此目录为虚拟用户的权限配置目录，在配置文件中要引用）

mkdir /etc/vsftpd/usersconf

        这里的文件名称必须与虚拟用户名一致，比如在txt文件中写的第一个用户名是ftp1,那么就写成下面，若不是，替换成你自己的，第二个用户名是ftp2,那么就写成下面，若不是，替换成你自己的

vi /etc/vsftpd/usersconf/ftp1

        增加下面的内容:设定主目录为/home/vsftpd/ftp1

[有所有权限]
local_root=/home/vsftpd/ftp1/#设置登录后禁锢的目录
anon_world_readable_only=no #开放下载权限
anon_upload_enable=yes #开放上传权限
anon_mkdir_write_enable=yes #开放创建目录的权限
anon_other_write_enable=yes #开放删除和重命名的权限

vi /etc/vsftpd/usersconf/ftp2

        增加下面的内容:设定主目录为/home/vsftpd/ftp2

[只有上传下载的权限]
local_root=/home/vsftpd/ftpd2
anon_upload_enable=yes
anon_world_readable_only=no

6.更改虚拟用户目录权限:不更改的话，匿名用户是可以访问到的

chmod 700 /etc/vsftpd/usersconf/ftp1

chmod 700 /etc/vsftpd/usersconf/ftp2

修改主配置文件

vi /etc/vsftpd/vsftpd.conf

修改配置文件之前最好先进行备份，然后在进行修改。配置文件详解在文末，根据自己需要配置。

修改完了配置文件重启vsftpd服务，进行验证。

关于黑白名单

如果启用了黑白名单，那么必须把虚拟用户添加进白名单中。

ftp1，ftp2用户均可以正常登录，对应的根目录不同，均有创建和删除、上传权限。

切记：虚拟用户对目录文件的权限是建立在映射后的本地系统用户对其权限的基础上的。比如说，虚拟宿主用户myftp对某目录没有写权限，即使ftp1权限配置文件赋予了写权限，其仍然不能写入，创建，上传，修改操作。

防火墙设置

如果防火墙把ftp的端口给拦截了，我们是无法访问到ftp服务的。我们可以选择把ftp的端口给关闭，但是个人不推荐。防火墙还是开着吧，虽然麻烦了一点。我比较喜欢用到哪个端口用开启哪个端口。

可以通过两种方式控制端口的开放，一种是指定端口号另一种是指定服务名。虽然开放 http 服务就是开放了 80 端口，但是还是不能通过端口号来关闭，也就是说通过指定服务名开放的就要通过指定服务名关闭；通过指定端口号开放的就要通过指定端口号关闭。还有一个要注意的就是指定端口的时候一定要指定是什么协议，tcp 还是 udp

当然如果不想麻烦，也提供CentOS7中关闭防火墙的方法：（可参考我的另一篇文章）

#关闭防火墙（重启后不生效）
systemctl stop firewalld.service

#禁用防火墙（永久关闭）
systemctl disable firewalld.service

法一：如果不关闭防火墙的话，我们可以把ftp服务添加了防火墙外：

#开放ftp服务添加到防火墙外
firewall-cmd --permanent --add-service=ftp

#使其生效
firewall-cmd --reload

#重启防火墙
systemctl restart firewalld.service

法二：如果开启被动模式

默认是开启的，但是要指定一个端口范围，打开vsftpd.conf文件，在后面加上

pasv_min_port=30000

pasv_max_port=30999

表示端口范围为30000~30999，这个可以随意改。改完重启一下vsftpd

由于指定这段端口范围，防火墙也要相应的开启这个范围，可开放指定端口

firewall-cmd --permanent  --add-port=100-500/tcp
# 永久打开端口好像需要reload一下，临时打开好像不用，如果用了reload临时打开的端口就失效了
# 其它服务也可能是这样的，这个没有测试
firewall-cmd --reload
# 查看防火墙，添加的端口也可以看到
firewall-cmd --list-all

主动模式端口

ftp 的链接方式有两种，分别是主动模式和被动模式。这两种模式都是从服务器的角度来查看和定义的。

# 这这里的选项一直定义为YES就可以。
# 如果不写这一行，默认的也是YES
connect_from_port_20=YES 

# 如果要重新定义主动模式的端口为其他的值的话，那就再加上下面行，并指定端口值
ftp_data_port=2020 

修改selinux

外网是可以访问上去了，可是发现没法返回目录（使用ftp的主动模式，被动模式还是无法访问），也上传不了，因为selinux作怪了。

SELinux旨在提高Linux系统的安全性，提供强健的安全保证，可防御未知攻击。

大部分情况下，我们访问ftp的时候会被SELinux拦截，当然如果你没设置SELiunx也能正常访问，此步可以跳过。

大家通常的作法是关闭SELiunx，这样做会引起其它安全问题，嫌麻烦的可以直接关闭：

vi /etc/selinux/config

#SELINUX=enforcing #注释掉

#SELINUXTYPE=targeted #注释掉

SELINUX=disabled #增加

:wq! #保存退出

setenforce 0 #让SELinux进入Permissive模式（宽容模式）

SELiunx一共有三种模式：

1. enforcing（强制模式 ）：开始限制domain/type
2. permissive（宽容模式） ：仅会有警告信息
3. disabled（关闭）：关闭SELinux

修改selinux：

[root@localhost ~]# /usr/sbin/sestatus -v     #查看SELinux状态
SELinux status:                 enabled    #启用
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Loaded policy name:             targeted
Current mode:                   enforcing

[root@localhost ~]# setenforce 0 #暂时让SELinux进入Permissive模式

这个时候我们尝试访问一下ftp目录，发现能够正常访问。我们查看一下权限：

[root@bogon ~]# getsebool -a | grep ftp  

allow_ftpd_anon_write --> off

allow_ftpd_full_access --> off

allow_ftpd_use_cifs --> off

allow_ftpd_use_nfs --> off

ftp_home_dir --> off

ftpd_connect_db --> off

ftpd_use_passive_mode --> off

httpd_enable_ftp_server --> off

tftp_anon_write --> off

执行上面命令，返回的结果看到两行都是off，代表，没有开启外网的访问

ftp_home_dir和allow_ftpd_full_access必须为on 才能使vsftpd 具有访问ftp根目录，以及文件传输等权限

[root@bogon ~]# setsebool -P allow_ftpd_full_access on

[root@bogon ~]# setsebool -P ftp_home_dir on

让我们再回到强制模式：

[root@localhost ~]# setenforce 1 #进入Enforcing模式

如果还是不行的话，可能是我们的目录没有权限：

chmod -R 777 /home/myftp#ftp的访问路径,就是配置文件中 local_root=/home/myftp

重启vsftpd

systemctl restart vsftpd.service

测试

引用的第一篇博文：https://blog.csdn.net/aerchi/article/details/78042443中有动图很形象

注：期间出现的错误我会在后续进行补充并给出解决办法

vsftpd配置文件详解

1.默认配置：

1>允许匿名用户和本地用户登陆。

anonymous_enable=YES

local_enable=YES

2>匿名用户使用的登陆名为ftp或anonymous，口令为空；匿名用户不能离开匿名用户家目录/var/ftp,且只能下载不能上传。

3>本地用户的登录名为本地用户名，口令为此本地用户的口令；本地用户可以在自 己家目录中进行读写操作；本地用户可以离开自家目录切换至有权限访问的其他目录，并在权限允许的情况下进行上传/下载。

write_enable=YES

4>写在文件/etc/vsftpd.ftpusers中的本地用户禁止登陆。

 

2.配置文件格式：

vsftpd.conf 的内容非常单纯，每一行即为一项设定。若是空白行或是开头为#的一行，将会被忽略。内容的格式只有一种，如下所示：

option=value

要注意的是，等号两边不能加空白。

 

3.匿名用户（anonymous）设置

anonymous_enable=YES/NO（YES）

控制是否允许匿名用户登入，YES 为允许匿名登入，NO 为不允许。默认值为YES。

write_enable=YES/NO（YES）

是否允许登陆用户有写权限。属于全局设置，默认值为YES。

no_anon_password=YES/NO（NO）

若是启动这项功能，则使用匿名登入时，不会询问密码。默认值为NO。

ftp_username=ftp

定义匿名登入的使用者名称。默认值为ftp。

anon_root=/var/ftp

使用匿名登入时，所登入的目录。默认值为/var/ftp。注意ftp目录不能是777的权限属性，即匿名用户的家目录不能有777的权限。

anon_upload_enable=YES/NO（NO）

如果设为YES，则允许匿名登入者有上传文件（非目录）的权限，只有在write_enable=YES时，此项才有效。当然，匿名用户必须要有对上层目录的写入权。默认值为NO。

anon_world_readable_only=YES/NO（YES）

如果设为YES，则允许匿名登入者下载可阅读的档案（可以下载到本机阅读，不能直接在FTP服务器中打开阅读）。默认值为YES。

anon_mkdir_write_enable=YES/NO（NO）

如果设为YES，则允许匿名登入者有新增目录的权限，只有在write_enable=YES时，此项才有效。当然，匿名用户必须要有对上层目录的写入权。默认值为NO。

anon_other_write_enable=YES/NO（NO）

如果设为YES，则允许匿名登入者更多于上传或者建立目录之外的权限，譬如删除或者重命名。（如果anon_upload_enable=NO，则匿名用户不能上传文件，但可以删除或者重命名已经存在的文件；如果anon_mkdir_write_enable=NO，则匿名用户不能上传或者新建文件夹，但可以删除或者重命名已经存在的文件夹。）默认值为NO。

chown_uploads=YES/NO（NO）

设置是否改变匿名用户上传文件（非目录）的属主。默认值为NO。

chown_username=username

设置匿名用户上传文件（非目录）的属主名。建议不要设置为root。

anon_umask=077

设置匿名登入者新增或上传档案时的umask 值。默认值为077，则新建档案的对应权限为700。

deny_email_enable=YES/NO（NO）

若是启动这项功能，则必须提供一个档案/etc/vsftpd/banner_emails，内容为email address。若是使用匿名登入，则会要求输入email address，若输入的email address 在此档案内，则不允许进入。默认值为NO。

banned_email_file=/etc/vsftpd/banner_emails

此文件用来输入email address，只有在deny_email_enable=YES时，才会使用到此档案。若是使用匿名登入，则会要求输入email address，若输入的email address 在此档案内，则不允许进入。

 

4.本地用户设置

local_enable=YES/NO（YES）

控制是否允许本地用户登入，YES 为允许本地用户登入，NO为不允许。默认值为YES。

local_root=/home/username

当本地用户登入时，将被更换到定义的目录下。默认值为各用户的家目录。

write_enable=YES/NO（YES）

是否允许登陆用户有写权限。属于全局设置，默认值为YES。

local_umask=022

本地用户新增档案时的umask 值。默认值为077。

file_open_mode=0755

本地用户上传档案后的档案权限，与chmod 所使用的数值相同。默认值为0666。

use_localtime=YES

默认是GMT时间，改成使用本机系统时间

5.欢迎语设置

dirmessage_enable=YES/NO（YES）

如果启动这个选项，那么使用者第一次进入一个目录时，会检查该目录下是否有.message这个档案，如果有，则会出现此档案的内容，通常这个档案会放置欢迎话语，或是对该目录的说明。默认值为开启。

message_file=.message

设置目录消息文件，可将要显示的信息写入该文件。默认值为.message。

banner_file=/etc/vsftpd/banner

当使用者登入时，会显示此设定所在的档案内容，通常为欢迎话语或是说明。默认值为无。如果欢迎信息较多，则使用该配置项。

ftpd_banner=Welcome to BOB's FTP server

这里用来定义欢迎话语的字符串，banner_file是档案的形式，而ftpd_banner 则是字符串的形式。预设为无。

 

6.控制用户是否允许切换到上级目录

在默认配置下，本地用户登入FTP后可以使用cd命令切换到其他目录，这样会对系统带来安全隐患。可以通过以下三条配置文件来控制用户切换目录。

chroot_list_enable=YES/NO（NO）

设置是否启用chroot_list_file配置项指定的用户列表文件。默认值为NO。

chroot_list_file=/etc/vsftpd.chroot_list

用于指定用户列表文件，该文件用于控制哪些用户可以切换到用户家目录的上级目录。

chroot_local_user=YES/NO（NO）

用于指定用户列表文件中的用户是否允许切换到上级目录。默认值为NO。

通过搭配能实现以下几种效果：

①当chroot_list_enable=YES，chroot_local_user=YES时，在/etc/vsftpd.chroot_list文件中列出的用户，可以切换到其他目录；未在文件中列出的用户，不能切换到其他目录。

②当chroot_list_enable=YES，chroot_local_user=NO时，在/etc/vsftpd.chroot_list文件中列出的用户，不能切换到其他目录；未在文件中列出的用户，可以切换到其他目录。

③当chroot_list_enable=NO，chroot_local_user=YES时，所有的用户均不能切换到其他目录。

④当chroot_list_enable=NO，chroot_local_user=NO时，所有的用户均可以切换到其他目录。

 

7.数据传输模式设置

FTP在传输数据时，可以使用二进制方式，也可以使用ASCII模式来上传或下载数据。

ascii_upload_enable=YES/NO（NO）

设置是否启用ASCII 模式上传数据。默认值为NO。

ascii_download_enable=YES/NO（NO）

设置是否启用ASCII 模式下载数据。默认值为NO。

 

8.访问控制设置

两种控制方式：一种控制主机访问，另一种控制用户访问。

①控制主机访问：

tcp_wrappers=YES/NO（YES）

设置vsftpd是否与tcp wrapper相结合来进行主机的访问控制。默认值为YES。如果启用，则vsftpd服务器会检查/etc/hosts.allow 和/etc/hosts.deny 中的设置，来决定请求连接的主机，是否允许访问该FTP服务器。这两个文件可以起到简易的防火墙功能。

比如：若要仅允许192.168.0.1—192.168.0.254的用户可以连接FTP服务器，则在/etc/hosts.allow文件中添加以下内容：

vsftpd:192.168.0. :allow

all:all :deny

②控制用户访问：

对于用户的访问控制可以通过/etc目录下的vsftpd.user_list和ftpusers文件来实现。

userlist_file=/etc/vsftpd.user_list

控制用户访问FTP的文件，里面写着用户名称。一个用户名称一行。

userlist_enable=YES/NO（NO）

是否启用vsftpd.user_list文件。

userlist_deny=YES/NO（YES）

决定vsftpd.user_list文件中的用户是否能够访问FTP服务器。若设置为YES，则vsftpd.user_list文件中的用户不允许访问FTP，若设置为NO，则只有vsftpd.user_list文件中的用户才能访问FTP。

/etc/vsftpd/ftpusers文件专门用于定义不允许访问FTP服务器的用户列表（注意:如果userlist_enable=YES,userlist_deny=NO,此时如果在vsftpd.user_list和ftpusers中都有某个用户时，那么这个用户是不能够访问FTP的，即ftpusers的优先级要高）。默认情况下vsftpd.user_list和ftpusers，这两个文件已经预设置了一些不允许访问FTP服务器的系统内部账户。如果系统没有这两个文件，那么新建这两个文件，将用户添加进去即可。

 

9.访问速率设置

anon_max_rate=0

设置匿名登入者使用的最大传输速度，单位为B/s，0 表示不限制速度。默认值为0。

local_max_rate=0

本地用户使用的最大传输速度，单位为B/s，0 表示不限制速度。预设值为0。

 

10.超时时间设置

accept_timeout=60

设置建立FTP连接的超时时间，单位为秒。默认值为60。

connect_timeout=60

PORT 方式下建立数据连接的超时时间，单位为秒。默认值为60。

data_connection_timeout=120

设置建立FTP数据连接的超时时间，单位为秒。默认值为120。

idle_session_timeout=300

设置多长时间不对FTP服务器进行任何操作，则断开该FTP连接，单位为秒。默认值为300。

 

11.日志文件设置

xferlog_enable= YES/NO（YES）

是否启用上传/下载日志记录。如果启用，则上传与下载的信息将被完整纪录在xferlog_file 所定义的档案中。预设为开启。

xferlog_file=/var/log/vsftpd.log

设置日志文件名和路径，默认值为/var/log/vsftpd.log。

xferlog_std_format=YES/NO（NO）

如果启用，则日志文件将会写成xferlog的标准格式，如同wu-ftpd 一般。默认值为关闭。

log_ftp_protocol=YES|NO（NO）

如果启用此选项，所有的FTP请求和响应都会被记录到日志中，默认日志文件在/var/log/vsftpd.log。启用此选项时，xferlog_std_format不能被激活。这个选项有助于调试。默认值为NO。

 

12.定义用户配置文件

在vsftpd中，可以通过定义用户配置文件来实现不同的用户使用不同的配置。

user_config_dir=/etc/vsftpd/userconf

设置用户配置文件所在的目录。当设置了该配置项后，用户登陆服务器后，系统就会到/etc/vsftpd/userconf目录下，读取与当前用户名相同的文件，并根据文件中的配置命令，对当前用户进行更进一步的配置。

例如：定义user_config_dir=/etc/vsftpd/userconf，且主机上有使用者 test1,test2，那么我们就在user_config_dir 的目录新增文件名为test1和test2两个文件。若是test1 登入，则会读取user_config_dir 下的test1 这个档案内的设定。默认值为无。利用用户配置文件，可以实现对不同用户进行访问速度的控制，在各用户配置文件中定义local_max_rate=XX，即可。

 

13.FTP的工作方式与端口设置

FTP有两种工作方式：PORT FTP（主动模式）和PASV FTP（被动模式）

listen_port=21

设置FTP服务器建立连接所监听的端口，默认值为21。

connect_from_port_20=YES/NO

指定FTP使用20端口进行数据传输，默认值为YES。

ftp_data_port=20

设置在PORT方式下，FTP数据连接使用的端口，默认值为20。

pasv_enable=YES/NO（YES）

若设置为YES，则使用PASV工作模式；若设置为NO，则使用PORT模式。默认值为YES，即使用PASV工作模式。

pasv_max_port=0

在PASV工作模式下，数据连接可以使用的端口范围的最大端口，0 表示任意端口。默认值为0。

pasv_min_port=0

在PASV工作模式下，数据连接可以使用的端口范围的最小端口，0 表示任意端口。默认值为0。

 

14.与连接相关的设置

listen=YES/NO（YES）

设置vsftpd服务器是否以standalone模式运行。以standalone模式运行是一种较好的方式，此时listen必须设置为YES，此为默认值。建议不要更改，有很多与服务器运行相关的配置命令，需要在此模式下才有效。若设置为NO，则vsftpd不是以独立的服务运行，要受到xinetd服务的管控，功能上会受到限制。

max_clients=0

设置vsftpd允许的最大连接数，默认值为0，表示不受限制。若设置为100时，则同时允许有100个连接，超出的将被拒绝。只有在standalone模式运行才有效。

max_per_ip=0

设置每个IP允许与FTP服务器同时建立连接的数目。默认值为0，表示不受限制。只有在standalone模式运行才有效。

listen_address=IP地址

设置FTP服务器在指定的IP地址上侦听用户的FTP请求。若不设置，则对服务器绑定的所有IP地址进行侦听。只有在standalone模式运行才有效。

setproctitle_enable=YES/NO（NO）

设置每个与FTP服务器的连接，是否以不同的进程表现出来。默认值为NO，此时使用ps aux |grep ftp只会有一个vsftpd的进程。若设置为YES，则每个连接都会有一个vsftpd的进程。

 

15.虚拟用户设置

虚拟用户使用PAM认证方式。

若在访问控制设置中启用了白名单或黑名单，需把虚拟用户添加到白名单中

pam_service_name=vsftpd

设置PAM使用的名称，默认值为/etc/pam.d/vsftpd。（虚拟用户的认证文件）

guest_enable= YES/NO（NO）

启用虚拟用户。默认值为NO。

guest_username=ftp

这里用来映射虚拟用户。默认值为ftp。（指向本地用户名）

virtual_use_local_privs=YES/NO（NO）

当该参数激活（YES）时，虚拟用户使用与本地用户相同的权限。当此参数关闭（NO）时，虚拟用户使用与匿名用户相同的权限。默认情况下此参数是关闭的（NO）。

user_config_dir = / etc / vsftpd / vuser_config
虚拟用户的权限配置目录
allow_writeable_chroot=YES
最新版的vsftpd为了安全，虚拟用户主目录（也就是/home/vsftpd/ftp1）没有写权限，才能登录，或者使用allow_writeable_chroot=YES

16.其他设置

text_userdb_names= YES/NO（NO）

设置在执行ls –la之类的命令时，是显示UID、GID还是显示出具体的用户名和组名。默认值为NO，即以UID和GID方式显示。若希望显示用户名和组名，则设置为YES。

ls_recurse_enable=YES/NO（NO）

若是启用此功能，则允许登入者使用ls –R（可以查看当前目录下子目录中的文件）这个指令。默认值为NO。

hide_ids=YES/NO（NO）

如果启用此功能，所有档案的拥有者与群组都为ftp，也就是使用者登入使用ls -al之类的指令，所看到的档案拥有者跟群组均为ftp。默认值为关闭。

download_enable=YES/NO（YES）

如果设置为NO，所有的文件都不能下载到本地，文件夹不受影响。默认值为YES。