史上最详细的vsftpd配置文件讲解Word格式.docx

1、 linux-4 中此文件在 /etc/ 目录下） /etc/vsftpd/user_list 禁止或允许使用vsftpd 的用户列表文件。这个文件中指定的用户缺省情况（即在/etc/vsftpd/vsftpd.conf 中设置userlist_deny=YES ）下也不能访问FTP服务器，在设置了userlist_deny=NO 时,仅允许user_list 中指定的用户访问FTP 服务器。/var/ftp 匿名用户主目录；本地用户主目录为：/home/ 用户主目录 ，即登录后进入自己家目录 /var/ftp/pub 匿名用户的下载目录，此目录需赋权根chmod 1777 pub （1 为特

2、殊权限，使上载后无法删除） /etc/logrotate.d/vsftpd.log Vsftpd 的日志文件 vsftpd 的主配置文件/etc/vsftpd/vsftpd.conf 说明（ 修改前先备份） ：# Example config file /etc/vsftpd/vsftpd.conf # The default compiled in settings are fairly paranoid. This sample file # loosens things up a bit, to make the ftp daemon more usable. # Please see

3、vsftpd.conf.5 for all compiled in defaults. # READ THIS: This example file is NOT an exhaustive list of vsftpd options. # Please read the vsftpd.conf.5 manual page to get a full idea of vsftpds # capabilities. # Allow anonymous FTP? （Beware - allowed by default if you comment this out）. anonymous_en

4、able=YES （ 是否允许 匿名登录FTP服务器，默认设置为YES允许，即用户可使用用户名ftp或anonymous进行ftp登录，口令为用户的E-mail地址。如不允许匿名访问去掉前面#并设置为NO ） # Uncomment this to allow local users to log in. local_enable=YES （是否允许本地用户 （ 即 linux 系统中的用户帐号） 登录FTP服务器，默认设置为YES允许， 本地用户登录后会进入用户主目录，而匿名用户登录后进入匿名用户的下载目录/var/ftp/pub ；若只允许匿名用户访问，前面加上#，可 阻止本地用户访问FT

5、P服务器。） # Uncomment this to enable any form of FTP write command. write_enable=YES （ 是否允许本地用户对 FTP 服务器文件具有写权限 ， 默认设置为 YES 允许 ） # Default umask for local users is 077. You may wish to change this to 022, # if your users expect that （022 is used by most other ftpds） # local_umask=022 （或其它值，设置本地用户的文件掩码

6、为缺省022 ，也可根据个人喜好将其设置为其他值，默认值为077） # Uncomment this to allow the anonymous FTP user to upload files. This only # has an effect if the above global write enable is activated. Also, you will # obviously need to create a directory writable by the FTP user. #anon_upload_enable=YES （ 是否允许匿名用户上传文件 ， 须将 wri

7、te_enable=YES ， 默认设置为 YES 允许 ） # Uncomment this if you want the anonymous FTP user to be able to create # new directories. #anon_mkdir_write_enable=YES （ 是否允许匿名用户创建新文件夹 ， 默认设置为 YES 允许 ） # Activate directory messages - messages given to remote users when they # go into a certain directory. #dirmessag

8、e_enable=YES （ 是否激活目录欢迎信息功能 ， 当用户用 CMD 模式首次访问服务器上某个目录时 ，FTP 服务器将显示欢迎信息 ， 默认情况下 ， 欢迎信息是通过 该 目录下的 .message 文件获得的，此文件保存自定义的欢迎信息，由用户自己建立） # Activate logging of uploads/downloads. xferlog_enable=YES （ 默认值为 NO 如果启用此选项，系统将会维护记录服务器上传和下载情况的日志文件，默认情况该日志文件为/var/log/vsftpd.log,也可以通过下面的 xferlog_file选项对其进行设定。# Ma

9、ke sure PORT transfer connections originate from port 20 （ftp-data）. connect_from_port_20=YES （ 设定 FTP 服务器将启用 FTP 数据端口的连接请求 ,ftp-data 数据传输 ，21 为连接控制端口 ） # If you want, you can arrange for uploaded anonymous files to be owned by # a different user. Note! Using root for uploaded files is not # recomme

10、nded!-注意，不推荐使用root用户上传文件 #chown_uploads=YES （ 设定是否允许 改变 上传文件的属主 ， 与下面一个设定项配合使用 ） #chown_username=whoeve r （ 设置想要改变的上传文件的属主 ， 如果需要 ， 则输入一个系统用户名 ， 例如可以把上传的文件都改成 root 属主。whoever：任何人） # You may override where the log file goes if you like. The default is shown # below. #xferlog_file=/var/log/vsftpd.log

11、（ 设定系统维护记录FTP服务器上传和下载情况的日志文件，/var/log/vsftpd.log是默认的，也可以另设其它） # If you want, you can have your log file in standard ftpd xferlog format #xferlog_std_format=YES （ 如果启用此选项 ， 传输日志文件将以标准 xferlog 的格式书写，该格式的日志文件默认为/var/log/xferlog,也可以通过xferlog_file选项对其进行设定，默认值为NO） #dual_log_enable （ 如果添加并启用此选项，将生成两个相似的日志文

12、件，默认在/var/log/xferlog和/var/log/vsftpd.log目录下。前者是wu_ftpd类型的传输日志，可以利用标准日志工具对其进行分析；后者是vsftpd类型的日志） #syslog_enable （ 如果添加并启用此选项，则原本应该输出到/var/log/vsftpd.log中的日志，将输出到系统日志中） # You may change the default value for timing out an idle session. #idle_session_timeout=600 （设置数据传输中断间隔时间，此语句表示空闲的用户会话中断时间为600秒，即当数据

13、传输结束后，用户连接FTP服务器的时间不应超过600秒，可以根据实际情况对该值进行修改） # You may change the default value for timing out a data connection. #data_connection_timeout=120 （ 设置数据连接超时时间 ， 该语句表示数据连接超时时间为 120 秒 ， 可根据实际情况对其个修改 ） # It is recommended that you define on your system a unique user which the # ftp server can use as a tot

14、ally isolated and unprivileged user. #nopriv_user=ftpsecure （ 运行 vsftpd 需要的非特权系统用户，缺省是nobody） # Enable this and the server will recognise asynchronous ABOR requests. Not # recommended for security （the code is non-trivial）. Not enabling it, # however, may confuse older FTP clients. #async_abor_enabl

15、e=YES （ 如果 FTP client 会下达“async ABOR”这个指令时，这个设定才需要启用，而一般此设定并不安全，所以通常将其取消） # By default the server will pretend to allow ASCII mode but in fact ignore # the request. Turn on the below options to have the server actually do ASCII # mangling on files when in ASCII mode. # Beware that on some FTP server

16、s, ASCII support allows a denial of service # attack （DoS） via the command SIZE /big/file in ASCII mode. vsftpd # predicted this attack and has always been safe, reporting the size of the # raw file. # ASCII mangling is a horrible feature of the protocol. #ascii_upload_enable=YES （ 大多数 FTP 服务器都选择用 A

17、SCII 方式传输数据 ， 将 # 去掉就能实现用 ASCII 方式上传和下载文件 ） #ascii_download_enable=YES （ 将 # 去掉就能实现用 ASCII 方式下载文件 ） # You may fully customise the login banner string:#ftpd_banner=Welcome to blah FTP service. （将#去掉可设置登录FTP服务器时显示的欢迎信息，可以修改=后的欢迎信息内容。另外如在需要设置更改目录欢迎信息的目录下创建名为 .message 的文件，并写入欢迎信息保存后，在进入到此目录会显示自定义欢迎信息 ）

18、# You may specify a file of disallowed anonymous e-mail addresses. Apparently # useful for combatting certain DoS attacks. #deny_email_enable=YES （ 可将某些特殊的 email address 抵挡住。如果以anonymous登录服务器时，会要求输入密码，也就是您的email address,如果很讨厌某些email address，就可以使用此设定来取消他的登录权限，但必须与下面的设置项配合 ） # （default follows） #banne

19、d_email_file=/etc/vsftpd/banned_emails （当上面的 deny_email_enable=YES 时，可以利用这个设定项来规定那个email address不可登录vsftpd服务器，此文件需用户自己创建，一行一个email address即可！ ） # You may specify an explicit list of local users to chroot（） to their home # directory. If chroot_local_user is YES, then this list becomes a list of # use

20、rs to NOT chroot（）. #chroot_list_enable=YES （ 设置为 NO 时，用户登录FTP服务器后具有访问自己目录以外的其他文件的权限， 设置为 YES 时 ， 用户被锁定在自己的 home 目录中，vsftpd将在下面 chroot_list_file选项值的位置寻找 chroot_list文件，此文件需用户建立,再将需锁定在自己home目录的用户列入其中，每行一个用户） #chroot_list_file=/etc/vsftpd/chroot_list （ 此文件需自己建立 ， 被列入此文件的用户 ， 在登录后将不能切换到自己目录以外的其他目录 ， 由 F

21、TP 服务器自动地 chrooted 到用户自己的home目录下，使得 chroot_list文件中的用户不能随意转到其他用户的FTP home目录下，从而有利于FTP服务器的安全管理和隐私保护） # You may activate the -R option to the builtin ls. This is disabled by # default to avoid remote users being able to cause excessive I/O on large # sites. However, some broken FTP clients such as ncft

22、p and mirror assume # the presence of the option, so there is a strong case for enabling it. #ls_recurse_enable=YES （ 是否允许递归查询 ， 大型站点的 FTP 服务器启用此项可以方便远程用户查询 ） # When listen directive is enabled, vsftpd runs in standalone mode and # listens on IPv4 sockets. This directive cannot be used in conjunctio

23、n # with the listen_ipv6 directive. listen=YES （ 如果设置为 YES ， 则 vsftpd 将以独立模式运行，由vsftpd自己监听和处理连接请求） # This directive enables listening on IPv6 sockets. To listen on IPv4 and IPv6 # sockets, you must run two copies of vsftpd whith two configuration files. # Make sure, that one of the listen options is

24、 commented !#listen_ipv6=YES （ 设定是否支持IPV6） #pam_service_name=vsftpd （ 设置 PAM 外挂模块提供的认证服务所使用的配置文件名 ，即/etc/pam.d/vsftpd文件，此文件中file=/etc/vsftpd/ftpusers字段，说明了PAM模块能抵挡的帐号内容来自文件/etc/vsftpd/ftpusers中） #userlist_enable=YES/NO （此选项默认值为NO ,此时ftpusers文件中的用户禁止登录FTP服务器；若此项设为YES，则 user_list文件中的用户允许登录FTP服务器，而如果同时

25、设置了 userlist_deny=YES ，则 user_list文件中的用户将不允许登录FTP服务器，甚至连输入密码提示信息都没有，直接被FTP服务器拒绝） #userlist_deny=YES/NO （此项默认为YES，设置是否阻扯user_list文件中的用户登录FTP服务器） tcp_wrappers=YES （ 表明服务器使用 tcp_wrappers 作为主机访问控制方式，tcp_wrappers可以实现linux系统中网络服务的基于主机地址的访问控制，在/etc目录中的hosts.allow和hosts.deny两个文件用于设置tcp_wrappers的访问控制，前者设置允许访

26、问记录，后者设置拒绝访问记录。例如想限制某些主机对FTP服务器192.168.57.2的匿名访问，编缉/etc/hosts.allow 文件，如在下面增加两行命令：vsftpd:192.168.57.1ENY 和vsftpd:192.168.57.9ENY 表明限制IP为192.168.57.1/192.168.57.9主机访问IP为192.168.57.2的FTP服务器，此时FTP服务器虽可以PING通，但无法连接） 在FTP服务器的管理中无论对本地用户还是匿名用户，对于FTP服务器资源的使用都需要进行控控制， 避免由于负担过大造成FTP服务器运行异常， 可以添加以下配置项对FTP客户机使用

27、FTP服务器资源进行控制：max_client 设置项用于设置FTP服务器所允许的最大客户端连接数，值为0时表示不限制。例如max_client=100表示FTP服务器的所有客户端最大连接数不超过100个。max_per_ip 设置项用于设置对于同一IP地址允许的最大客户端连接数，值为0时表示不限制。例如max_per_ip=5表示同一IP地址的FTP客户机与FTP服务器建立的最大连接数不超过5个。local_max_rate 设置项用于设置本地用户的最大传输速率，单位为B/s，值为0时表示不限制。例如local_max_rate=500000表示FTP服务器的本地用户最大传输速率设置为500

28、KB/s. ano n_max_rate 设置项用于设置匿名用户的最大传输速率，单位为B/s,值为0表示不限制。例如ano_max_rate=200000，表示FTP服务器的匿名用户最大传输速率设置为200KB/s. vsftpd.user_list 文件需要与vsftpd.conf文件中的配置项结合来实现对于vsftpd.user_list文件中指定用户账号的访问控制：（1） 设置禁止登录的用户账号 当vsftpd.conf配置文件中包括以下设置时，vsftpd.user_list文件中的用户账号被禁止进行FTP登录：userlist_enable=YES userlist_deny=YES

29、 userlist_enable设置项设置使用vsftpd.user_list文件，userlist_deny设置为YES表示vsftpd.user_list文件用于设置禁止的用户账号。（2） 设置只允许登录的用户账号 当vsftpd.conf配置文件中包括以下设置时，只有vsftpd.user_list文件中的用户账号能够进行FTP登录：userlist_deny=NO userlist_enable设置项设置使用vsftpd.user_list文件，userlist _deny设置为NO表示vsftpd.usre_list文件用于设置只允许登录的用户账号，文件中未包括的用户账号被禁止FTP

30、登录。userlist_deny 和 userlist_enable 选项限制用户登录FTP 服务器 （使用userlist_deny 选项和user_list 文件一起能有效阻止root,apache,www 等系统用户登录FTP 服务器，从而保证FTP 服务器的分级安全性）：Userlist_enable=YES Ftpusers 中用户允许访问 User_list 中用户允许访问 Userlist_enable=NO Ftpusers 中用户禁止访问 Userlist_deny=YES Ftpusers 中用户禁止访问（登录时可以看到密码输入提示，但仍无法访问） user_list 中用户禁止访问 Userlist_deny=NO ftpusers 中用户禁止访问 user_list 中用户允许