vsftpd配置文件路径描述/etc/vsftpd/vsftpd.conf主配置文件/usr/sbin/vsftpdVsftpd主程序/etc/pam.d/vsftpdPAM认证缓冲区禁止使用/etc/vsftpd/ftpusersvsftpd的用户列表文件。 记录未被授权访问FTP服务器的用户列表。 管理员可以将威胁系统安全的用户帐户记录在此文件中,以便用户在通过FTP登录后获得比上载下载操作更大的权利,并且不会对系统造成损害。 注意:在linux-4上,此文件位于/etc/目录中。 /etc/vsftpd/user_list是禁止或允许使用vsftpd的用户列表文件。 如果在此文件中指定的用户默认值(即/etc/vsftpd/vsftpd.conf )中设置userlist_deny=YES,则无法访问FTP服务器。 如果设置userlist_deny=NO,则仅允许在user_list上使用(注意)在linux-4上,此文件位于/etc/目录中) /害羞西装/ftp匿名用户主页也就是登录后进入家目录/害羞套装/ftp/pub匿名用户下载目录,根chmod1777pub(1必须授予特殊权限。 上传后禁用()/etc/logrotate.d/vsftpd.log vsftpd日志文件vsftpd主配置文件/etc/vsftpd/vsftpd.conf为# 允许用户使用用户名FTP如果不允许匿名访问,请设置为NOanonymous_enable=YES#。 本地用户或linux系统上的用户帐户是否允许登录FTP服务器。 默认设定为“是”。 #本地用户登录后进入用户的主目录,但匿名用户登录后仅允许进入匿名用户的下载目录/害羞西装/ftp/pub#之前加上#则表示本地用户是否允许本地用户对FTP服务器文件具有写入权限? 默认设置为YES,允许write_enable=YES #掩码。 本地用户的默认掩码为077。 可以将本地用户的文件掩码设置为默认的022。 根据您的喜好,还可以将#local_umask=022#设置为其他值。 匿名用户是否可以上载文件必须为全局write_enable=YES。 默认情况下,YES#anon_upload_enable=YES#表示是否允许匿名用户创建新文件夹#anon_mkdir_write_enable=YES # 当用户第一次在CMD模式下访问服务器上的目录时,FTP服务器会显示欢迎消息欢迎消息来自此目录中的. message文件#此文件包含自定义的欢迎消息#dirmessage_enable=YES#是否自动维护上传和下载的日志文件由用户自行设置。 #默认情况下,此日志文件为/害羞西装/log/vsftpd.log。 也可以使用以下xferlog_file选项进行设置: #默认值为no xferlog _ enable=yes # makesureporttransferconnectionsoriginatefromport 20 (FTP-data ) .是否设置FTP服务器,请参阅21为连接控制端口connect_from_port_20=YES#设置是否允许更改上载文件的所有者。 与以下设定项目组合使用。 #注意,不建议使用根用户上传文件#chown_
whoever :默认设置为# chown _ username=记录whoever # FTP服务器上传和下载情况的日志文件# /害羞西装/log/vsftpd.log 其他#xferlog_file=/害羞西装/log/vsftpd.log#是否以标准xferlog格式写传输日志文件#默认值为/害羞西装/log/xferlog xferlog #默认值为NO#xferlog_std_format=YES#以下为附加配置。 添加适当的选项后,适当的设置将生效。 #是否生成两个相似的日志文件#默认为/害羞西装/log/xferlog和/害羞西装后者为vsftpd类型日志#dual_log_enable#本来/害羞的西装此语句表示空闲的用户会话中断时间为600秒。此值可以根据情况进行更改。 #idle_session_timeout=600#设置数据连接超时时间。 此语句指示数据连接超时时间为120秒,并且可以根据情况单独修改#data_connection_timeout=120# 运行vsftpd需要的非特权系统用户,缺省是nobody#nopriv_user=ftpsecure# 是否识别异步ABOR请求。# 如果FTP client会下达“async ABOR”这个指令时,这个设定才需要启用# 而一般此设定并不安全,所以通常将其取消#async_abor_enable=YES# 是否以ASCII方式传输数据。默认情况下,服务器会忽略ASCII方式的请求。# 启用此选项将允许服务器以ASCII方式传输数据# 不过,这样可能会导致由"SIZE /big/file"方式引起的DoS攻击#ascii_upload_enable=YES#ascii_download_enable=YES# 登录FTP服务器时显示的欢迎信息# 如有需要,可在更改目录欢迎信息的目录下创建名为.message的文件,并写入欢迎信息保存后#ftpd_banner=Welcome to blah FTP service.# 黑名单设置。如果很讨厌某些email address,就可以使用此设定来取消他的登录权限# 可以将某些特殊的email address抵挡住。#deny_email_enable=YES# 当上面的deny_email_enable=YES时,可以利用这个设定项来规定哪些邮件地址不可登录vsftpd服务器# 此文件需用户自己创建,一行一个email address即可#banned_email_file=/etc/vsftpd/banned_emails# 用户登录FTP服务器后是否具有访问自己目录以外的其他文件的权限# 设置为YES时,用户被锁定在自己的home目录中,vsftpd将在下面chroot_list_file选项值的位置寻找chroot_list文件# 必须与下面的设置项配合#chroot_list_enable=YES# 被列入此文件的用户,在登录后将不能切换到自己目录以外的其他目录# 从而有利于FTP服务器的安全管理和隐私保护。此文件需自己建立#chroot_list_file=/etc/vsftpd/chroot_list# 是否允许递归查询。默认为关闭,以防止远程用户造成过量的I/O#ls_recurse_enable=YES# 是否允许监听。# 如果设置为YES,则vsftpd将以独立模式运行,由vsftpd自己监听和处理IPv4端口的连接请求listen=YES# 设定是否支持IPV6。如要同时监听IPv4和IPv6端口,# 则必须运行两套vsftpd,采用两套配置文件# 同时确保其中有一个监听选项是被注释掉的#listen_ipv6=YES# 设置PAM外挂模块提供的认证服务所使用的配置文件名,即/etc/pam.d/vsftpd文件# 此文件中file=/etc/vsftpd/ftpusers字段,说明了PAM模块能抵挡的帐号内容来自文件/etc/vsftpd/ftpusers中#pam_service_name=vsftpd# 是否允许ftpusers文件中的用户登录FTP服务器,默认为NO# 若此项设为YES,则user_list文件中的用户允许登录FTP服务器# 而如果同时设置了userlist_deny=YES,则user_list文件中的用户将不允许登录FTP服务器,甚至连输入密码提示信息都没有#userlist_enable=YES/NO# 设置是否阻扯user_list文件中的用户登录FTP服务器,默认为YES#userlist_deny=YES/NO# 是否使用tcp_wrappers作为主机访问控制方式。# tcp_wrappers可以实现linux系统中网络服务的基于主机地址的访问控制# 在/etc目录中的hosts.allow和hosts.deny两个文件用于设置tcp_wrappers的访问控制# 前者设置允许访问记录,后者设置拒绝访问记录。# 如想限制某些主机对FTP服务器192.168.57.2的匿名访问,编缉/etc/hosts.allow文件,如在下面增加两行命令:# vsftpd:192.168.57.1:DENY 和vsftpd:192.168.57.9:DENY# 表明限制IP为192.168.57.1/192.168.57.9主机访问IP为192.168.57.2的FTP服务器# 此时FTP服务器虽可以PING通,但无法连接tcp_wrappers=YES 指定用户的权限设置
vsftpd.user_list文件需要与vsftpd.conf文件中的配置项结合来实现对于vsftpd.user_list文件中指定用户账号的访问控制:
(1)设置禁止登录的用户账号
当vsftpd.conf配置文件中包括以下设置时,vsftpd.user_list文件中的用户账号被禁止进行FTP登录:
userlist_enable=YES
userlist_deny=YES
userlist_enable设置项设置使用vsftpd.user_list文件,userlist_deny设置为YES表示vsftpd.user_list文件用于设置禁止的用户账号。
(2)设置只允许登录的用户账号
当vsftpd.conf配置文件中包括以下设置时,只有vsftpd.user_list文件中的用户账号能够进行FTP登录:
userlist_enable=YES
userlist_deny=NO
userlist_enable设置项设置使用vsftpd.user_list文件,userlist _deny设置为NO表示vsftpd.usre_list文件用于设置只允许登录的用户账号,文件中未包括的用户账号被禁止FTP登录。
userlist_deny和userlist_enable选项限制用户登录FTP服务器(使用userlist_deny选项和user_list文件一起能有效阻止root,apache,www等系统用户登录FTP服务器,从而保证FTP服务器的分级安全性)。以下是两个选项的具体表现形式和两种搭配使用方式的效果:
设置参数描述Userlist_enable=YESFtpusers中用户允许访问,User_list中用户允许访问Userlist_enable=NOFtpusers中用户禁止访问,User_list中用户允许访问Userlist_deny=YESFtpusers中用户禁止访问(登录时可以看到密码输入提示,但仍无法访问),user_list 中用户禁止访问Userlist_deny=NOftpusers中用户禁止访问,user_list中用户允许访问,Userlist_enable=YES并且Userlist_deny=YESFtpusers中用户禁止访问,User_list中用户禁止访问(登录时不会出现密码提示,直接被服务器拒绝)Userlist_enable=YES并且Userlist_deny=NOFtpusers中用户禁止访问,User_list中用户允许访问