linux下FTP服务器配置文件vsftpd.conf解析《二》
linux下FTP服务器配置文件vsftpd.conf解析《二》
本文转自:
秘飞虎的空间
tilde_user_enable
如果启用, vsftpd 将试图解析类似 ~chris/pics 的路径名, 即跟着用户名的波型号. 注意, vsftpd 有时会一直解析 ~ 和 ~/ (这里, ~ 被解析称为初始登录路径). ~user 则只有在可以找到包含闲置目录的 /etc/passwd 文件时才被解析.
默认值: NO
use_localtime
如果启用, vsftpd 在列取目录时, 将显示您本地时区的时间. 默认显示为 GMT. 由 MDTM FTP 命令返回的时间同样也受此选项的影响.
默认: NO
use_sendfile
一个内部设定,用于测试在您的平台上使用 sendfile() 系统的性能.
默认: YES
userlist_deny
此选项只有在激活 userlist_enable 时才会有效. 如果您将此选项设置为 NO, 则只有在 userlist_file 文件中明确指定的用户才能登录系统. 当登录被拒绝时, 拒绝发生在被寻问命令之前.
默认: YES
userlist_enable
如果启用, vsftpd 将会从 userlist_file 选项指定的文件中加载一个用户名列表. 如果用户试图使用列表中指定的名称登录, 那么他们将在寻问密码前被拒绝. 这有助于阻止明文传送密码. 详见 userlist_deny.
默认: NO
virtual_use_local_privs
如果启用, 虚拟用户将拥有同本地用户一样的权限. 默认情况下, 虚拟用户同匿名用户权限相同, 这倾向于更多限制 (特别是在写权限上).
默认: NO
write_enable
用于控制是否允许 FTP 命令更改文件系统. 这些命令是: STOR, DELE, RNFR, RNTO, MKD, RMD, APPE 和 SITE.
默认: NO
xferlog_enable
如果启用, 将会维护一个日志文件, 用于详细记录上载和下载. 默认情况下, 这个日志文件是 /var/log/vsftpd.log. 但是也可以通过配置文件中的 vsftpd_log_file 选项来指定.
默认: NO(但是在示例设置中启用了这个选项)
xferlog_std_format
如果启用, 传输日志文件将以标准 xferlog 的格式书写, 如同 wu-ftpd 一样. 这可以用于重新使用传输统计生成器. 然而, 默认格式更注重可读性. 此格式的日志文件默认为 /var/log/xferlog, 但是您也可以通过 xferlog_file 选项来设定.
默认: NO
数字选项
下边是数字选项的列表. 数字选项必须设置一个非负的整数. 为了便于umask选项, 同样也支持八进制数字. 八进制数字首位应为 0 .
accept_timeout
超时, 以秒计, 用于远程客户端以 PASV 模式建立数据联接.
默认: 60
anon_max_rate
允许的最大数据传输速率, 单位 b/s, 用于匿名客户端.
默认: 0 (无限制)
anon_umask
用于设定匿名用户建立文件时的 umask 值. 注意! 如果您要指定一个八进制的数字, 首位应当是 "0", 否则将视作 10 进制数字.
默认: 077
connect_timeout
超时, 单位 秒, 用于响应 PORT 方式的数据联接.
默认: 60
data_connection_timeout
超时, 单位 秒, 用于设定空闲的数据连接所允许的最大时长. 如果触发超时, 则远程客户端将被断开.
默认: 300
file_open_mode
用于设定创建上载文件的权限. mask 的优先级高于这个设定. 如果想允许上载的文件可以执行, 将此值修改为 0777
默认: 0666
ftp_data_port
FTP PORT 方式的数据联接端口.(需要激活 connect_from_port_20 选项)
默认: 20
idle_session_timeout
超时, 单位 秒, 远程客户端的最大 FTP 命令间隔. 如果超时被触发, 远程客户端将被断开.
默认: 300
listen_port
如果 vsftpd 以独立模式启动, 此端口将会监听 FTP 连入请求.
默认: 21
local_max_rate
允许的最大数据传输速率, 单位 b/s, 用于限制本地授权用户.
默认: 0 (无限制)
local_umask
用于设定本地用户上载文件的 umask 值. 注意! 如果您要指定一个八进制的数字, 首位应当是 "0", 否则将视作 10 进制数字.
默认: 077
max_clients
如果 vsftpd 以独立模式启动, 此选项用于设定最大客户端联接数. 超过部分将获得错误信息.
默认: 0 (无限制)
max_per_ip
如果 vsftpd 以独立模式启动, 此选项用于设定源于同一网络地址的最大联接数. 超过部分将获得错误信息.
默认: 0 (无限制)
pasv_max_port
为 PASV 方式数据联接指派的最大端口. 基于安全性考虑, 可以把端口范围指定在一样较小的范围内.
默认: 0 (可以使用任意端口)
pasv_min_port
为 PASV 方式数据联接指派的最小端口. 基于安全性考虑, 可以把端口范围指定在一样较小的范围内.
默认: 0 (可以使用任意端口)
trans_chunk_size
您可能不想修改这个设置, 如果有带宽限制, 可以尝试将此值设置为 8192.
默认: 0 (让vsftpd 自己选择一个更合理的设置)
字符选项
下边是字符选项列表
anon_root
此选项声明, 匿名用户在登录后将被转向一个指定目录(译者注: 默认根目录). 失败时将被忽略.
默认: (无)
banned_email_file
此选项用于指定包含不允许用作匿名用户登录密码的电子邮件地址列表的文件. 使用此选项需要启用 deny_email_enable 选项.
默认: /etc/vsftpd.banned_emails
banner_file
此选项用于指定包含用户登录时显示欢迎标识的文件. 设置此选项, 将取代 ftpd_banner 选项指定的欢迎标识.
默认: (无)
chown_username
用于指定匿名用户上载文件的宿主. 此选项只有在 chown_uploads 选项设定后才会有效.
默认;root
chroot_list_file
此选项用于指定包含被限制在家目录中用户列表的文件. 使用此选项, 需启用 chroot_list_enable . 如果启用了 chroot_local_user 选项, 此文件所包含的则为不会被限制在家目录中的用户列表.
默认: /etc/vsftpd.chroot_list
cmds_allowed
此选项指定允许使用的 FTP 命令(登录以后. 以及登录前的USER, PASS 和 QUIT), 以 逗号分割. 其它命令将被拒绝使用. 这对于锁定一个 FTP 服务器非常有效. 例如: mds_allowed=PASV,RETR,QUIT
默认: (无)
deny_file
此选项用于设定拒绝访问的文件类型(和目录名等). 此设定并不是对文件进行隐藏, 但是您不能对其操作(下载, 更换目录, 以及其它操作). 此选项非常简单, 不能用于严格的访问控制--文件系统的优先级要高一些. 然而, 此选项对于某些虚拟用户的设定非常有效. 特别是在一个文件可以通过各种名称访问时(可能时通过符号联接或者硬联接), 应当注意拒绝所有的访问方法. 与 hide_file 中给出名称匹配的文件会被拒绝访问. 注意 vsftpd 只支持正则表达式匹配的部分功能. 正因为如此, 您需要尽可能的对此选项的设置进行测试. 同时基于安全性考虑, 建议您使用文件系统自身的访问控制. 例如: deny_file={*.mp3,*.mov,.private}
默认: (无)
dsa_cert_file
此选项用于指定用于 SSL 加密联接的 DSA 证书的位置.
默认: (无 - 使用 RSA 证书)
email_password_file
此选项用于提供启用 secure_email_list_enable 选项, 所需要的可替代文件.
默认: /etc/vsftpd.email_passwords
ftp_username
用于处理匿名 FTP 的用户名. 此用的家目录即为匿名发 FTP 的根目录.
默认: ftp
ftpd_banner
用于替换首次连入 vsftpd 时显示的欢迎标识字符串.
默认: (无 - 显示默认 vsftpd 标识)
guest_username
参阅布尔选项 guest_enable . 此选项用于将 guest 用户映射到一个真实用户上.
默认: ftp
hide_file
此选项用于设定列取目录时, 要隐藏的文件类型(以及目录等). 尽管隐藏了, 知道其宿主的客户端仍然能对文件/目录等有完全访问权限. 与名称 hide_file 中包含的字符串匹配的项都将隐藏. 注意 vsftpd 只支持正则表达式匹配的部分功能. 例如: hide_file={*.mp3,.hidden,hide*,h?}
默认: (无)
listen_address
如果 vsftpd 以独立模式运行, 此设定用于修改默认(所有本地接口)监听地址. 格式为数字 IP 地址.
默认: (无)
listen_address6
如 listen_address, 不过应该指定为IPv6 监听器指定默认监听地址. 格式为标准 IPv6 地址格式.
默认: (无)
local_root
本选项用于指定本地用户(即, 非匿名用户)登录后将会转向的目录. 失败时将被忽略.
默认: (无)
message_file
此选项用于指定进入新目录时要查询的文件名. 这个文件的内容为显示给远程用户的欢迎信息. 使用此选项, 需要启用 dirmessage_enable 选项.
默认: .message
nopriv_user
用于指定一个用户, 当 vsftpd 要切换到无权限状态时, 使用此用户. 注意这最好是一个专用用户, 而不是用户 nobody. 在大多数机器上, 用户 nobody 被用于大量重要的事情.
默认: nobody
pam_service_name
用于指定 PAM 服务的名称.
默认: ftp
pasv_address
此选项为 vsftpd 指定一个 IP 地址, 用作对 PASV 命令的响应. IP 地址应该为数字模式.
默认: (无 - 即地址从连入的联接套接字中获取)
rsa_cert_file
此选项用于指定 SSL 加密联接所用 RSA 证书的位置.
默认: /usr/share/ssl/certs/vsftpd.pem
secure_chroot_dir
此选项用于指定一个空目录. 并且 ftp 用户不应对此目录有写权限. 当 vsftpd 不需要访问文件系统是, 此此目录做为一个限制目录, 将用户限制在此目录中.
默认: /usr/share/empty
ssl_ciphers
此选项用于选择 vsftpd 允许使用哪些 SSL 加密算法来用于 SSL 加密联接. 更多信息参阅 ciphers 的联机手册. 注意这样可以有效的防止对某些发现漏洞的算法进行恶意的远程攻击.
默认: DES-CBC3-SHA
user_config_dir
此选项用于定义用户个人配置文件所在的目录. 使用非常简单, 一个例子即可说明. 如果您将 user_config_dir 设置为 /etc/vsftpd_user_conf 并以用户 "chris"登录, 那么 vsftpd 将对此用户使用文件 /etc/vsftpd_user_conf/chris 中的设定. 此文件的格式在联机手册中有详细说明. 请注意, 不是每个设定都能影响用户的. 例如, 有些设定只在用户会话开始时起作用. 这包括 listen_address, banner_file, max_per_ip, max_clients, xferlog_file, 等等.
默认: (无)
user_sub_token
此选项需要和虚拟用户联合使用. 其将依据一个模板为每个虚拟用户创建家目录. 例如, 如果真实用户的家目录由选项 guest_username 指定为 /home/virtual/$USER, 并且将 user_sub_token 设定为 $USER, 当虚拟用户 fred 登入后, 将会进入(限制)目录 /home/virtual/fred. 如果 local_root 中包含了 user_sub_token 此选项也会起作用.
默认: (无)
userlist_file
此选项用于指定启用 userlist_enable 选项后需要加载文件的名称.
默认: /etc/vsftpd.user_list
vsftpd_log_file
此选项用于指定写入 vsftpd 格式日志的文件. 如果启用了 xferlog_enable, 而没有设定 xferlog_std_format 的话, 日志将只会写入此文件. 另为,如果设置了 dual_log_enable 的话, 日志同样会写入此文件. 更复杂一点, 如果您设置了 syslog_enable 的话, 输出将不会写入此文件, 而是写入系统日志文件.
默认: /var/log/vsftpd.log
xferlog_file
此选项用于指定写入 wu-ftpd 样式日志的文件名. 只有在 xferlog_enable 和 xferlog_std_format 做了相应设定, 才会记录此传输日志. 另外, 如果您设置了 dual_log_enable 选项, 也会记录此日志.
默认: /var/log/xferlog