Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1008065
  • 博文数量: 195
  • 博客积分: 4890
  • 博客等级: 上校
  • 技术积分: 2221
  • 用 户 组: 普通用户
  • 注册时间: 2009-06-09 15:34
文章分类

全部博文(195)

文章存档

2014年(1)

2013年(8)

2012年(22)

2011年(9)

2010年(54)

2009年(101)

我的朋友

分类: LINUX

2011-12-20 09:39:38

vsftp.conf的详细配置
 
 
1.与主机相关的设置

connect_from_port_20=YES(NO)
这就是FTP-data主动连接时的端口

listen_port=21
vsftp使用的命令的端口号

dirmessage_enable=YES(NO)
当用户进入某目录时,会显示该目录要注意的内容,显示的文件默认是“.message"

message_file=.message
当dirmessage_enable=YES时,可以设置这个项目来让vsftp寻找该文件,从而显示信息

listen=YES(NO)
若设置为yes表示vsftp是以stand_alone的方式启动

pasv_enable=YES(NO)
启动被动连接模式

use_localtime=YES(NO)
是否使用本地时间,英文vsftp默认使用GMT(格林威治)时间

write_enable=YES(NO)
允许用户上传数据

connect_timeout=60
单位(秒),在数据连接是主动时,发出的连接信号在60秒内得不到客户端的响应,就强制断线

accept_timeout=60
当用户以被动pasv进行数据传输时,如果主机启用passive port并等待clientt超过60秒而无响应,就强制断线

data_connetion_timeout=300
如果服务器和客户端连接成功(无论主动还是被动),300秒内无法顺利完成数据的传送,那客户端就会被vsftp强制断线

idle_session_timeout=300
如果用户在300秒内没有命令操作,强制断线

max_clients=0
如果vsftp是以stand alone方式启动的,那么项目可以设置同一时间内用多少client可以同时连上vsftp

max_per_ip=0
同一个ip同一时间内可以允许多少连接

pasv_max_port=0,pasv_min_port=0
与passive mode是用的端口有关,如果想用65400-65500这100个端口来进行被动连接模式,可以设置
pasv_max_port=65400
pasv_min_port=65500

ftpd_banner=说明文字
连入vsftp时显示的信息

banner_file=path/file
这个项目允许指定某个文本文件作为用户登陆vsftp服务器显示的内容

2.与实体用户相关的设置
guest_enable=YES(NO)
当设置为YES时,任何非署名用户登陆的账号均会被假设为guest,即vsftp的ftp这个账户

guest_username=FTP
在guest_enable=YES才生效,可以指定guest的身份,可以改未其他服务器的账号

local_enable=YES(NO)
当设置为YES时,在/etc/passwd内的账户才能以实体用户的方式等录vsftp

local_max_rate=0
实体用户的传输速度限制,单位(bytes/second),0为不限制

chroot_local_user=YES(NO)
将用户限制在自己默认的目录内,因为用以下2个设置限制,所以vsftp默认为no

chroot_list_enable=YES(NO)
是否将某些实体用户限制在他们的默认目录内

chroot_list_file=/etc/vsftpd/vsftpd.chroot_list
如果chroot_list_enable=YES,那么就可以设置这个项目,它规定哪个实体用于会被关在自己的目录内

eg: chroot_list_enable=YES
      chroot_list_file=/etc/vsftpd/vsftpd.chroot_list
      这样写入vsftpd.chroot_list文件的用户就限制在自己的目录里(一个账户写在一行)

      chroot_local_user=YES
     chroot_list_enable=YES
      chroot_list_file=/etc/vsftpd/vsftpd.chroot_list
      这样写入vsftpd.chroot_list文件的用户反而认为不受chroot限制

userlist_enable=YES(NO)
是否借助vsftp机制来让某些用户不能进入,和下面2个设置有联系

userlist_deny=YES(NO)
当 userlist_enable=YES时,列入userlist_file的账户将无法登陆vsftp

userlist_file=/etc/vsftpd/vsftpd.user_list
当上面userlist_deny=YES时,这里的配置文件才有用

注意:/etc/pam.d/vsftpd
里面的auth选项设置了默认的禁止登陆的账户,通常为系统默认账户,包括了root

3.anonymous用户登陆的设置(/var/ftp/为默认的anonymous目录)

anonymous_enable=YES(NO)
允许anonymous登陆vsftp主机,默认为yes,下面的设置为anonymous_enable=YES才生效

anon_root=/var/ftp
设置anonymous的默认目录(也可以用ln -s的方法而不用改变这个设置)

anonymous_world_readable_only=YES(NO)
仅允许anonymous下载可读权限的文件。默认为yes

anon_other_write_enable=YES(NO)
是否允许anonymous拥有写入权限,默认为NO,如果设为YES,那么开放给anonymous写入的目录也要
调整,即目录允许ftp账户可以写入

anony_mkdir_write_enable=YES(NO)
是否让anonymous具有建立目录的权限,默认为NO,要设置为YES时,要anon_other_write_enable=YES

anony_upload_enable=YES(NO)
是否让anonymous具有上传功能,默认为NO,要设置为YES,要anon_other_write_enable=YES

no_anon_password=YES(NO)
设置为YES时,用anonymous登陆将会略过密码检查,一般为NO

anon_max_rate=0
这个设置为anonymous账户的最大传输速度(Byte/s),0为不限制速度

anon_umask=077
默认anonymous上传的文件权限为-rw-rw-rw,当设置为077时,传到主机的文件权限为-rw------

chown_upload=YES
改变anonymous用户上传文件的拥有者,和下面的设置有关

chown_username=XXX
将anonymous用户上传文件的拥有者改为xxX

4.系统安全方面的设置

ascii_download_enable=YES(NO)
如果设置为YES,那么client就可以下载ascii格式文件

ascii_upload_enable=YES(NO)
与上一个设置类似,设置可以上传ascii格式文件

one_process_model=YES(NO)
每建立一个连接都会拥有一个进程负责,可以增加vsftp的性能,除非你硬件配置高,负责建议为NO

tcp_wrappers=YES(NO)
支持tcp_wrappers,即在/ect/hosts.allow和/etc/hosts.deny里设置

xferlog_enable=YES(NO)
设置为YES时,用户上传和下载都会被记录下来,与下个设置有关

xferlog_file=/var/log/vsftpd,log
记录用户上传和下载的信息

xfer_std_format=YES(NO)
是否设置和wuFTP相同的日志格式。默认为NO,如果使用wuFTP日志文件分析软件,要设置为YES

nopriv_user=nobody
vsftp默认以nobody作为服务执行者的权限,因为nobody权限相当低,即使被入侵,入侵者也只是取得
nobody的权限

pam_service_name=vsftpd
这个是pam模块的名称,放在/etc/pam.d/vsftpd

更多的设置可以man 5 vsftpd.conf查看

阅读(1126) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~