您的位置: 网站首页 > 千军万马 > Linux操作系统 > 第7章 FTP服务器配置 > 【7.3 vsFTPd配置】

7.3 vsFTPd配置

 

7.3  vsFTPd配置

vsFTPd的配置文件/etc/vsftpd/vsftpd.conf是个文本文件。选择文件,在右键菜单中选择“用文本编辑器打开”选项,打开gedit对话框,如图7-5所示。

在此配置文件中,以“#”字符开始的行是注释行。每个选项设置为一行,格式为“option=value”,注意“=”号两边不能留空白符。除了这个主配置文件外,还可以给特定用户设定个人配置文件。

7-5  文本编辑器

vsFTPd包中所带的vsftpd.conf文件配置比较简单。用户可以根据实际情况对其进行一些设置,以使得vsFTPd更加可用。

1.监听地址与控制端口

listen_address=ip address

此参数在vsFTPd使用单独(standalone)模式下有效。此参数定义了在主机的哪个IP地址上监听FTP请求,即在哪个IP地址上提供FTP服务。对于只有一个IP地址的主机,不需要使用此参数。对于多址主机,不设置此参数,则监听所有IP地址。默认值为无。

listen_port=port_value

指定FTP服务器监听的端口号(控制端口),默认值为21。此选项在standalone模式下生效。

2FTP模式与数据端口

FTP 分为PORT FTPPASV FTP两类。PORT FTP是一般形式的FTP。这两种FTP在建立控制连接时操作是一样的,都是由客户端首先和FTP服务器的控制端口(默认值为21)建立控制链接,并通过此链接进行传输操作指令。它们的区别在于使用数据传输端口(ftp-data)的方式。PORT FTPFTP服务器指定数据传输所使用的端口,默认值为20PASV FTPFTP客户端决定数据传输的端口。PASV FTP这种做法,主要是考虑到存在防火墙的环境下,由客户端与服务器进行沟通,决定两者之间的数据传输端口更为方便一些。

port_enable=YES/NO

如果用户要在数据连接时取消PORT模式时,设此选项为NO。默认值为YES

connetc_from_port_20=YES/NO

控制以PORT模式进行数据传输时是否使用20端口(ftp-data)。YES使用,NO不使用。默认值为NO,但RHL自带的vsftpd.conf文件中此参数设为YES

ftp_data_port=port number

设定ftp数据传输端口(ftp-data)值。默认值为20。此参数用于PORT FTP模式。

port_promiscuous=YES/NO

默认值为NO。为YES时,取消PORT安全检查。该检查确保外出的数据只能连接到客户端上。小心打开此选项。

pasv_enable=YES/NO

YES,允许数据传输时使用PASV模式。NO,不允许使用PASV模式。默认值为YES

pasv_min_port=port number

pasv_max_port=port number

设定在PASV模式下,建立数据传输可以使用port范围的下界和上界,0表示任意。默认值为0。把端口范围设在比较高的一段范围内,比如50 00060 000,将有助于安全性的提高。

pasv_promiscuous=YES/NO

此选项激活时,将关闭PASV模式的安全检查。该检查确保数据连接和控制连接是来自同一个IP地址。小心打开此选项。此选项唯一合理的用法是存在于由安全隧道方案构成的组织中。默认值为NO

pasv_address=

此选项为一个数字IP地址,作为PASV命令的响应。默认值为none,即地址是从呼入的连接套接字(incoming connectd socket)中获取。

3ASCII模式

默认情况下,vsFTPd是禁止使用ASCII传输模式。即使FTP客户端使用asc命令,指明要使用ASCII模式,但是,vsFTPd表面上接受了asc命令,而在实际传输文件时,还是使用二进制方式。下面选项控制vsFTPd是否使用ASCII传输模式。

ascii_upload_enable=YES/NO

控制是否允许使用ASCII模式上传文件,YES允许,NO不允许,默认为NO

ascii_download_enable=YES/NO

控制是否允许使用ASCII模式下载文件,YES允许,NO不允许,默认为NO

4.超时选项

idle_session_timeout=

空闲用户会话的超时时间,若是超出这时间没有数据的传送或是指令的输入,则会强迫断线。单位为秒,默认值为300

data_connection_timeout=

空闲的数据连接的超时时间。默认值为300 秒。

accept_timeout=numerical value

接受建立联机的超时设定,单位为秒。默认值为60

connect_timeout=numerical value

响应PORT方式的数据联机的超时设定,单位为秒。默认值为60。以上两个选项是针对客户端的,将使客户端空闲1分钟后自动中断连接,并在中断1分钟后自动激活连接。

5.负载控制

max_clients=numerical value

此参数在vsFTPd使用单独(standalone)模式下有效。此参数定义了FTP服务器最大的并发连接数,当超过此连接数时,服务器拒绝客户端连接。默认值为0,表示不限最大连接数。

max_per_ip=numerical value

此参数在vsFTPd使用单独(standalone)模式下有效。此参数定义每个IP地址最大的并发连接数目。超过这个数目将会拒绝连接。此选项的设置将影响到像网际快车这类的多进程下载软件。默认值为0,表示不限制。

anon_max_rate=value

设定匿名用户的最大数据传输速率value,以bps为单位。默认无。

local_max_rate=value

设定用户的最大数据传输速率value,以bps为单位。默认无。此选项对所有的用户都生效。此外,也可以在用户个人配置文件中使用此选项,以指定特定用户可获得的最大数据传输速率。步骤如下:

1)在vsftpd.conf中指定用户个人配置文件所在的目录,如:

user_config_dir=/etc/vsftpd/userconf

2)运行程序,生成/etc/vsftpd/userconf目录。

3)用户个人配置文件是在该目录下,与特定用户同名的文件,如:

/etc/vsftpd/userconf/ftpuser

4)在用户的个人配置文件中设置local_max_rate参数,如:

local_max_rate=80000

以上步骤设定FTP用户ftpuser的最大数据传输速率为80Kbps

vsFTPd对于速度控制的变化范围大概在80%120%之间。比如我们限制最高速率为100Kbps,但实际的速率可能在80Kbps120Kbps之间。当然,若是线路带宽不足时,速率自然会低于此限制。

6.匿名用户

vsFTPd的用户分为3类:匿名用户、本地用户(local user)以及虚拟用户(guest)。匿名用户就是用户不需要提供账号和密码就可以对服务器进行访问。

anonymous_enable=YES/NO

控制是否允许匿名用户登录,YES允许,NO不允许,默认值为YES

ftp_username=

匿名用户所使用的系统用户名。默认下,此参数在配置文件中不出现,值为ftp

no_anon_password=YES/NO

控制匿名用户登入时是否需要密码,YES不需要,NO需要。默认值为NO

deny_email_enable=YES/NO

此参数默认值为NO。当值为YES时,拒绝使用banned_email_file参数指定文件中所列出的E-mail地址进行登录的匿名用户。即,当匿名用户使用banned_email_file文件中所列出的E-mail进行登录时,被拒绝。显然,这对于阻击某些Dos攻击有效。当此参数生效时,需追加banned_email_file参数:

banned_email_file=/etc/vsftpd.banned_emails

指定包含被拒绝的E-mail地址的文件,默认文件为/etc/vsftpd.banned_emails

anon_root=

设定匿名用户的根目录,即匿名用户登录后,被定位到此目录下。主配置文件中默认无此项,默认值为/var/ftp/

anon_world_readable_only=YES/NO

控制是否只允许匿名用户下载可阅读文档。YES,只允许匿名用户下载可阅读的文件。NO,允许匿名用户浏览整个服务器的文件系统。默认值为YES

anon_upload_enable=YES/NO

控制是否允许匿名用户上传文件,YES允许,NO不允许,默认是不设值,即为NO。除了这个参数外,匿名用户要能上传文件,还需要两个条件:一为write_enable参数为YES;二为在文件系统上,FTP匿名用户对某个目录有写权限。

anon_mkdir_write_enable=YES/NO

控制是否允许匿名用户创建新目录,YES允许,NO不允许,默认是不设值,即为NO。当然在文件系统上,FTP匿名用户必需对新目录的上层目录拥有写权限。

anon_other_write_enable=YES/NO

控制匿名用户是否拥有除了上传和新建目录之外的其他权限,如删除、更名等。YES拥有,NO不拥有,默认值为NO

chown_uploads=YES/NO

是否修改匿名用户所上传文件的所有权。YES,匿名用户所上传的文件的所有权将改为另外一个不同的用户所有,用户由chown_username参数指定。此选项默认值为NO

chown_username=whoever

指定拥有匿名用户上传文件所有权的用户。此参数与chown_uploads联用。不推荐使用root用户。

7.本地用户

在使用FTP服务的用户中,除了匿名用户外,还有一类在FTP服务器所属主机上拥有账号的用户。vsFTPd中称此类用户为本地用户(local users),等同于其他FTP服务器中的真实用户。

local_enable=YES/NO

控制vsFTPd所在的系统的用户是否可以登录vsFTPd。默认值为YES

local_root=

定义所有本地用户的根目录。当本地用户登录时,将被更换到此目录下。默认值为无。

user_config_dir=

定义用户个人配置文件所在的目录。用户的个人配置文件为该目录下的同名文件。个人配置文件的格式与vsftpd.conf格式相同。例如,定义user_config_dir=/etc/vsftpd/userconf,并且主机上有用户ftpuser,那我们可以在user_config_dir的目录新增名为ftpuser的文件。当用户ftpuser登录时,vsFTPd则会读取user_config_dirftpuser这个文件中的设定值,应用于用户lisi。默认值为无。

8.虚拟用户

guest_enable=YES/NO

若是启动这项功能,所有的非匿名登录者都视为guest。默认值为关闭。

guest_username=

定义vsFTPdguest用户在系统中的用户名。默认值为ftp

9.用户登录控制

pam_service_name=vsftpd

指出vsFTPd进行PAM认证时所使用的PAM配置文件名,默认值是vsftpd,默认PAM配置文件是/etc/pam.d/vsftpd

/etc/vsftpd.ftpusers

vsFTPd禁止列在此文件中的用户登录FTP服务器。这个机制是在/etc/pam.d/vsftpd中默认设置的。

userlist_enable=YES/NO

此选项被激活后,vsFTPd将读取userlist_file参数所指定的文件中的用户列表。当列表中的用户登录FTP服务器时,该用户在提示输入密码之前就被禁止了。即该用户名输入后,vsFTPd查到该用户名在列表,vsFTPd就直接禁止掉该用户,不会再进行询问密码等后续步聚。默认值为NO

userlist_file=/etc/vsftpd.user_list

指出userlist_enable选项生效后,被读取的包含用户列表的文件。默认值是/etc/vsftpd.user_list

userlist_deny=YES/NO

决定禁止还是只允许由userlist_file指定文件中的用户登录FTP服务器。此选项在userlist_enable 选项启动后才生效。YES,默认值,禁止文件中的用户登录,同时也不向这些用户发出输入口令的提示。NO,只允许在文件中的用户登录FTP服务器。

tcp_wrappers=YES/NO

vsFTPd中使用TCP_Wrappers远程访问控制机制,默认值为YES

10.目录访问控制

chroot_list_enable=YES/NO

锁定某些用户在默认目录中。即当这些用户登录后,不可以转到系统的其他目录,只能在默认目录(及其子目录)下。具体的用户在chroot_list_file参数所指定的文件中列出。默认值为NO

chroot_list_file=/etc/vsftpd/chroot_list

指出被锁定在默认目录中的用户的列表文件。文件格式为一行一用户。通常该文件是/etc/vsftpd/chroot_list。此选项默认不设置。

chroot_local_users=YES/NO

将本地用户锁定在默认目录中。当此项被激活时,chroot_list_enablechroot_local_ users参数的作用将发生变化,chroot_list_file所指定文件中的用户将不被锁定在默认目录。本参数被激活后,可能带来安全上的冲突,特别是当用户拥有上传、shell访问等权限时。因此,只有在确实了解的情况下,才可以打开此参数。默认值为NO

passwd_chroot_enable

当此选项激活时,与chroot_local_user选项配合,chroot()容器的位置可以在每个用户的基础上指定。每个用户的容器来源于/etc/passwd中每个用户的默认目录字段。默认值为NO

11.文件操作控制

hide_ids=YES/NO

是否隐藏文件的所有者和组信息。YES,当用户使用“ls-al”之类的指令时,在目录列表中所有文件的拥有者和组信息都显示为ftp。默认值为NO

ls_recurse_enable=YES/NO

YES,允许使用“ls-R”指令。这个选项有一个小的安全风险,因为在一个大型FTP站点的根目录下使用“ls-R”会消耗大量系统资源。默认值为NO

write_enable=YES/NO

控制是否允许使用任何可以修改文件系统的FTP 的指令,比如STORDELERNFRRNTOMKDRMDAPPE 以及SITE。默认值为NO,不过自带的简单配置文件中打开了该选项。

secure_chroot_dir=

该选项指向一个空目录,并且FTP用户对此目录无写权限。当vsftpd不需要访问文件系统时,这个目录将被作为一个安全的容器,用户将被限制在此目录中。默认目录为/usr/share/empty

12.新增文件权限设定

anon_umask=

匿名用户新增文件的umask数值。默认值为077

file_open_mode=

上传档案的权限,与chmod所使用的数值相同。如果希望上传的文件可以执行,设此值为0777。默认值为0666

local_umask=

本地用户新增档案时的umask数值。默认值为077。不过,其他大多数的FTP服务器都是使用022。在自带的配置文件中此项就设为了022

13.日志设置

xferlog_enable=YES/NO

控制是否启用一个日志文件,用于详细记录上传和下载。该日志文件由xferlog_file选项指定。默认值为NO,但简单配置文件中激活此选项。

xferlog_file=

这个选项设定记录传输日志的文件名。默认值为/var/log/vsftpd.log

xferlog_std_format=YES/NO

控制日志文件是否使用xferlog的标准格式,如同wu-ftpd一样。使用xferlog格式,可以重新使用已经存在的传输统计生成器。然而,默认的日志格式更为可读性。默认值为NO,但自带的配置文件中激活了此选项。

log_ftp_protocol=YES/NO

当此选项激活后,所有的FTP请求和响应都被记录到日志中。提供此选项时,xferlog_std_format不能被激活。这个选项有助于调试。默认值为NO