vsftpd配置说明

1、vsftpd.conf配置文件说明在vsftpd. Conf文件中主要由各种配置选项组成，具体以分为以下类别：21连接选项 211监听地址与控制端口 listen_address=ip address 定义了在主机的哪个IP地址上监听FTP请求（应用于独立启动方式的多IP主机默认值为无） listen_port=port_value 指定FTP服务器监听的端口号(控制端口)，默认值为21。此选项在standalone模式下生效212FTP模式与数据端口 port_enable=YES|NO指定数据连接时模式，默认值为YES（PORT模式，NO为PASV模式）connect_from_port_

2、20=YES|NO控制以PORT模式进行数据传输时是否使用20端口(ftp-data),（YES使用，NO不使用，默认值为NO）ftp_data_port=port number 设定ftp数据传输端口(ftp-data)值。默认值为20。此参数用于PORT FTP模式。 port_promiscuous=YES|NO默认值为NO。为YES时，取消PORT安全检查。该检查确保外出的数据只能连接到客户端上。小心打开此选项。 pasv_enable=YES|NOYES，允许数据传输时使用PASV模式。NO，不允许使用PASV模式。默认值为YES。pasv_min_port=port numberp

3、asv_max_port=port number设定在PASV模式下，建立数据传输所可以使用port范围的下界和上界，0 表 示任意。默认值为0。把端口范围设在比较高的一段范围内，比如50000-60000，将有助于安全性的提高pasv_promiscuous=YES|NO此选项激活时，将关闭PASV模式的安全检查。该检查确保数据连接和控制连接是来自同一个IP地址。小心打开此选项。此选项唯一合理的用法是存在于由安全隧道方案构成的组织中。默认值为NOpasv_address= ip address此选项为一个数字IP地址，作为PASV命令的响应。默认值为none，即地址是从呼入的连接套接字(in

4、coming connectd socket)中获取。 213ASCII模式 ascii_upload_enable=YES|NO控制是否允许使用ascii模式上传文件，YES允许，NO不允许，默认为NO ascii_download_enable=YES|NO控制是否允许使用ascii模式下载文件，YES允许，NO不允许，默认为NO。 22性能与负载控制 221超时选项 idle_session_timeout= numerical value空闲（发呆）用户会话的超时时间，若是超出这时间没有数据的传送或是指令的输入，则会强迫断线。单位为秒，默认值为300。data_connection_t

5、imeout= numerical value空闲的数据连接的超时时间。默认值为300 秒。accept_timeout=numerical value 接受建立联机的超时设定，单位为秒。默认值为60。connect_timeout=numerical value响应PORT方式的数据联机的超时设定，单位为秒。默认值为60。以上两个选项针对客户端的，将使客户端空闲1分钟后自动中断连接，并在中断1分钟后自动激活连接222负载控制max_clients=numerical value 此参数在VSFTPD使用单独(standalone)模式下有效。此参数定义了FTP服务器最大的并发连接数，当超过此

6、连接数时，服务器拒绝客户端连接。默认值为0，表示不限最大连接数。max_per_ip=numerical value 此参数在VSFTPD使用单独(standalone)模式下有效。此参数定义每个IP地址最大的并发连接数目。超过这个数目将会拒绝连接。此选项的设置将影响到象网际快车这类的多进程下载软件。默认值为0，表示不限制。 anon_max_rate=value 设定匿名用户的最大数据传输速度value，以Bytes/s为单位。默认无。 local_max_rate=value 设定用户的最大数据传输速度value，以Bytes/s为单位。默认无。此选项对所有的用户都生效23用户选项 231

7、匿名用户anonymous_enable=YES|NO 控制是否允许匿名用户登录，YES允许，NO不允许，默认值为YES。 ftp_username= username匿名用户所使用的系统用户名。默认下，此参数在配置文件中不出现，值为ftpno_anon_password=YES|NO 控制匿名用户登入时是否需要密码，YES不需要，NO需要。默认值为NO。deny_email_enable=YES|NO 此参数默认值为NO。当值为YES时，拒绝使用banned_email_file参数指定文件中所列出的e-mail地址进行登录的匿名用户。即，当匿名用户使用banned_email_file文件

8、中所列出的e-mail进行登录时，被拒绝。显然，这对于阻击某些Dos攻击有效。当此参数生效时，需追加banned_email_file参数 banned_email_file=/etc/vsftpd.banned_emails 指定包含被拒绝的e-mail地址的文件，默认文件为/etc/vsftpd.banned_emails。 anon_root=path设定匿名用户的根目录，即匿名用户登入后，被定位到此目录下。主配置文件中默认无此项，默认值为/var/ftp/。 anon_world_readable_only=YES|NO控制是否只允许匿名用户下载可阅读文档。YES，只允许匿名用户下载可

9、阅读的文件。NO，允许匿名用户浏览整个服务器的文件系统。默认值为YES。 anon_upload_enable=YES|NO 控制是否允许匿名用户上传文件，YES允许，NO不允许，默认是不设值，即为NO。除了这个参数外，匿名用户要能上传文件，还需要两个条件：一，write_enable参数为YES;二，在文件系统上，FTP匿名用户对某个目录有写权限。 anon_mkdir_write_enable=YES|NO 控制是否允许匿名用户创建新目录，YES允许，NO不允许，默认是不设值，即为NO。当然在文件系统上，FTP匿名用户必需对新目录的上层目录拥有写权限。 anon_other_write_e

10、nable=YES|NO 控制匿名用户是否拥有除了上传和新建目录之外的其他权限，如删除、更名等。YES拥有，NO不拥有，默认值为NO。 chown_uploads=YES|NO 是否修改匿名用户所上传文件的所有权。YES，匿名用户所上传的文件的所有权将改为另外一个不同的用户所有，用户由chown_username参数指定。此选项默认值为NO。 chown_username=whoever 指定拥有匿名用户上传文件所有权的用户。此参数与chown_uploads联用。不推荐使用root用户。 232本地用户 local_enable=YES|NO 控制vsftpd所在的系统的用户是否可以登录vs

11、ftpd。默认值为YES。 local_root= 定义所有本地用户的根目录。当本地用户登入时，将被更换到此目录下。默认值为无。 user_config_dir= 定义用户个人配置文件所在的目录。用户的个人配置文件为该目录下的同名文件。个人配置文件的格式与vsftpd.conf格式相同。例如定义user_config_dir=/etc/vsftpd/userconf，并且主机上有用户xiaowang,lisi，那我们可以在user_config_dir的目录新增名为xiaowang、lisi的两个文件。当用户lisi 登入时，VSFTPD则会读取user_config_dir下lisi这个文件

12、中的设定值，应用于用户lisi。默认值为无。 233虚拟用户 guest_enable=YES|NO 若是启动这项功能，所有的非匿名登入者都视为guest。默认值为关闭guest_username= 定义VSFTPD的guest用户在系统中的用户名。默认值为ftp24安全措施 241用户登录控制 pam_service_name=vsftpd 指出VSFTPD进行PAM认证时所使用的PAM配置文件名，默认值是vsftpd，默认PAM配置文件是/etc/pam.d/vsftpd。 /etc/vsftpd.ftpusers VSFTPD禁止列在此文件中的用户登录FTP服务器。这个机制是在/etc/

13、pam.d/vsftpd中默认设置的。 userlist_enable=YES|NO此选项被激活后，VSFTPD将读取userlist_file参数所指定的文件中的用户列表。当列表中的用户登录FTP服务器时，该用户在提示输入密码之前就被禁止了。即该用户名输入后，VSFTPD查到该用户名在列表，VSFTPD就直接禁止掉该用户，不会再进行询问密码等后续步聚。默认值为NO。 userlist_file=/etc/vsftpd.user_list 指出userlist_enable选项生效后，被读取的包含用户列表的文件。默认值是/etc/vsftpd.user_list。 userlist_deny=

14、YES|NO 决定禁止还是只允许由userlist_file指定文件中的用户登录FTP服务器。此选项在userlist_enable 选项启动后才生效。YES，默认值，禁止文件中的用户登录，同时也不向这些用户发出输入口令的提示。NO，只允许在文件中的用户登录FTP服务器。 tcp_wrappers=YES|NO 在VSFTPD中使用TCP_Wrappers远程访问控制机制，默认值为YES。 242目录访问控制 chroot_list_enable=YES|NO 锁定某些用户在自家目录中。即当这些用户登录后，不可以转到系统的其他目录，只能在自家目录(及其子目录)下。具体的用户在chroot_li

15、st_file参数所指定的文件中列出。默认值为NO。 chroot_list_file=/etc/vsftpd/chroot_list 指出被锁定在自家目录中的用户的列表文件。文件格式为一行一用户。通常该文件是/etc/vsftpd/chroot_list。此选项默认不设置。 chroot_local_users=YES|NO 将本地用户锁定在自家目录中。当此项被激活时，chroot_list_enable和chroot_local_users参数的作用将发生变化，chroot_list_file所指定文件中的用户将不被锁定在自家目录。本参数被激活后，可能带来安全上的冲突，特别是当用户拥有上传

16、、shell访问等权限时。因此，只有在确实了解的情况下，才可以打开此参数。默认值为NO。 passwd_chroot_enable =YES|NO当此选项激活时，与chroot_local_user选项配合，chroot()容器的位置可以在每个用户的基础上指定。每个用户的容器来源于/etc/passwd中每个用户的自家目录字段。默认值为NO。 243文件操作控制 hide_ids=YES|NO 是否隐藏文件的所有者和组信息。YES，当用户使用"ls -al"之类的指令时，在目录列表中所有文件的拥有者和组信息都显示为ftp。默认值为NO。 ls_recurse_enable=

17、YES|NO YES，允许使用"ls -R" 指令。这个选项有一个小的安全风险，因为在一个大型FTP站点的根目录下使用"ls -R"会消耗大量系统资源。默认值为NO。 write_enable=YES|NO 控制是否允许使用任何可以修改文件系统的FTP 的指令，比如STOR、DELE、RNFR、RNTO、MKD、RMD、APPE 以及SITE。默认值为NO，不过自带的简单配置文件中打开了该选项。 secure_chroot_dir= 这选项指向一个空目录，并且ftp用户对此目录无写权限。当vsftpd不需要访问文件系统时，这个目录将被作为一个安全的容器，

18、用户将被限制在此目录中。默认目录为/usr/share/empty。 244新增文件权限设定 anon_umask= 匿名用户新增文件的umask 数值。默认值为077。 file_open_mode= 上传档案的权限，与chmod 所使用的数值相同。如果希望上传的文件可以执行，设此值为0777。默认值为0666。local_umask= 本地用户新增档案时的umask 数值。默认值为077。不过，其他大多数的FTP服务器都是使用022。如果您的用户希望的话，可以修改为022。在自带的配置文件中此项就设为了022。 25提示信息 ftpd_banner=login banner string

19、此参数定义了login banner string（登录欢迎语字符串）。用户可以自行修改。预设值为无。当ftpd_banner设置后，将取代系统原来的欢迎词。 banner_file=/directory/vsftpd_banner_file此项指定一个文本文件，当使用者登入时，会显示此该文件的内容，通常为欢迎话语或是说明。默认值为无。与ftpd_banner相比，banner_file是文本文件的形式，而ftpd_banner是字串格式。banner_file选项将取代ftpd_banner选项。 dirmessage_enable=YES|NO 控制是否启用目录提示信息功能。YES启用，N

20、O不启用，默认值为YES。此功能启用后，当用户进入某一个目录时，会检查该目录下是否有message_file选项所指定的文档，若是有，则会出现此文档的内容，通常这个档案会放置欢迎话语，或是对该目录的说明。 message_file= 此选项，仅在dirmessage_enable选项激活方生效。默认值为.message。 26日志设置 xferlog_enable=YES|NO 控制是否启用一个日志文件，用于详细记录上传和下载。该日志文件由xferlog_file选项指定。默认值为NO，但简单配置文件中激活此选项。 xferlog_file= 这个选项设定记录传输日志的文件名。默认值为/var

21、/log/vsftpd.log。xferlog_std_format=YES|NO 控制日志文件是否使用xferlog的标准格式，如同wu-ftpd一样。使用xferlog格式，可以重新使用已经存在的传输统计生成器。然而，默认的日志格式更为可读性。默认值为NO，但自带的配置文件中激活了此选项。 log_ftp_protocol=YES|NO 当此选项激活后，所有的FTP请求和响应都被记录到日志中。提供此选项时，xferlog_std_format不能被激活。这个选项有助于调试。默认值为NO。 27其他设置 setproctitle_enable=YES|NO YES，VSFTPD将在系统进程列

22、表中显示每个会话(session)的状态。也就是说，进程报告将显示每个vsftpd会话在做什么(挂起、下载等)，如用ps -ef|grep ftp。出于安全的目的，可以考虑将此选项关闭。NO，进程报告只显示一个vsftpd进程在运行。默认值为NO。 text_userdb_names=YES|No 当使用者登入后使用ls -al 之类指令时，目录列表的用户和组信息域，默认是出现拥有者的UID，而不是该档案拥有者的名称。若是希望出现拥有者的名称，则将此功能开启。默认值为NO。 user_localtime=YES|NO 默认为NO。YES，VSFTPD显示目录列表时使用你本地时区的时间。默认是显

23、示GMT时间。同样，由ftp命令“MDTM”返回的时间值也受此选项影响。 check_shell=YES|NO 此选项仅对不使用PAM方式的VSFTPD生效。当此选项关闭后，当本地用户登录时，VSFTPD不会检查/etc/shells文件以寻找一个有效的用户shell。默认为YES。 nopriv_user= 指定一个用户，当VSFTPD不想要什么权限时，使用此用户身份。这用户最好是一个专用的用户，而不是用户nobody。在大多数的机器上，nobody用户被用于大量重要的事情。默认值为nobody。 pam_service_name= 指明VSFTPD使用用PAM验证服务时的PAM配置文件名。

24、默认值为ftp。三. 客户端的操作1. linux客户端(1) ftp#ftp 服务器地址ftp>ftp子命令说明:常用的ftp子命令有以下几种?|help 作用:显示ftp内部命令的帮助信息实例:ftp>？ftp>help lcd!命令参数 作用:在本机中执行shell命令后回ftp环境中实例:ftp>! cd /etc/sysconfiglcd dir作用:将本地工作目录切到dir实例:ftp>lcd /sbinopen 服务器地址端口作用:建立指定FTP服务器连接,可指定连接端口实例:ftp>open close 作用:中断与远

25、程服务器的FTP会话实例:ftp>closeasc作用:使用ascii类型传输方式实例:ftp>ascbin作用:使用二进制文件传输方式实例:ftp>bincd 目录名作用:进入远程主机目录实例:ftp>cd pubpwd作用:显示远程主机的当前工作目录ftp>pwdmkdir作用:在远程主机中建立目录实例:ftp>mkdir abcls作用:显示远程目录中的内容实例:ftp>lsget 远程文件名 本地文件名作用:下载远程主机的文件实例:ftp>get abc.txtmget 文件名 文件名 .作用:下载远程主机上的多个文件实例:ftp>

26、mget vs.txt ab.confreget 文件名作用:与get功能类似,但reget支持断点续传实例:ftp>reget abcput 本地文件作用:将本地文件传送到远程FTP服务器实例:ftp>put a1.txtmput 本地文件 本地文件.作用:将多个本地文件传送到远程FTP服务器实例:ftp>mput a1.txt a2.txtrename 旧文件名 新文件名作用:进行文件重命名操作实例:ftp>rename time timesdelete 文件名作用:删除远程FTP服务器中的指定文件实例:ftp>delete timemdelete 文件名作用

27、:删除远程FTP服务器中的多个文件实例:ftp>mdelete time vsftpdrmdir 目录名作用:删除远程FTP服务器中的指定目录实例:ftp>rmdir abcquit/bye作用:退出FTP会话实例:ftp>quit(2) lftp #lftp 服务器地址操作方法以上的ftp方法一致2. windows客户端(1) cuteftp(2) ftp(3) ie四. 配置案例案例一:要求:l 利用vsftpd配置一台支持匿名用户和本地用户登录,具体要求如下:l 允许匿名用户登录和本地用户登录l 禁止匿名用户上传l 允许本地用户上传和下载,且锁定本地用户主目录,允许用

28、户删除用户主目录的文件l 建立用户组ftpusers,同时建立用户ftp1,ftp2属于ftpusers组,并设置用户的主目录为/softl 设置/soft目录允许ftpusers组中的用户可以写入,但不能删除目录中的非自己拥有的文件l 本地用户的文件生成掩码为022l 空闲的会话时间为600秒,空闲数据连接时间为60秒,自动中断时间为30秒,自动激活时间为10秒l 本地用户的最大传输速率为50000b/s,匿名用户的最大传输速率为30000b/sl 客户端的连接端口为5000-6000（被动模式中使用）l 使用独占启动方式,侦听接口的21号端口l 禁止192.168.5

29、.128主机访问FTP服务器l 并发连接的客户数为300,每台客户机的最大连接为51. 安装相关软件包#rpm -ivh vsftpd-1.1.3-8.i386.rpm2.修改/etc/vsftpd/vsftpd.conf#vi /etc/vsftpd/vsftpd.conf修改如下:anonymous_enable=yeslocal_enable=yesanon_upload_enable=nowrite_enable=yeslocal_mask=022idle_session_timeout=600data_connection_timeout=60accept_timeout=30con

30、nect_timeout=10local_max_rate=50000anon_max_rate=30000pasv_min_port=5000pasv_max_port=6000chroot_local_user=yeslisten=yeslisten_address=listen_port=21max_clients=300max_per_ip=53.创建相关用户组和用户#mkdir /soft#chmod 1777 /soft#groupadd ftpusers#useradd -d /soft -g ftpusers ftp1#passwd ftp1#userad

31、d -d /soft -g ftpusers ftp2#passwd ftp24. 设置hosts.allow文件#vi /etc/hosts.allowvsftpd:28:DENY说明:vsftpd在独占启动方式下支持tcp_wrappers主机访问控制方式,tcp_wrappers的主要配置文件是/etc/hosts.allow和/etc/hosts.deny,它们的格式都是:守护进程名:主机表:ALLOW/DENY5. 启动服务#service vsftpd start案例二:要求:l 利用VSFTPD配置一台高安全级别的匿名FTP服务器,具体如下:l 只允许匿名用

32、户登录,不允许本地用户登录l 不允许匿名用户上传,不允许匿名用户有任何的写权限l 设置客户端连接时的端口为5000-6000l 设置匿名用户的最大传输速率为1MB/sl 设置空闲数据连接的中断时间为200秒l 设置客户端空闲时的自动中断时间为100秒和激活连接的时间为30秒l 设置FTP服务器采用xinetd启动方式l 设置FTP服务器的并发连接数为200l 设置每个主机的最大连接数5l 禁止主机访问FTP服务器l 配置安全日志配置过程:安装VSFTPD相关软件#rpm -ivh vsftpd-1.1.3-8.i386.rpm修改/etc/vsftpd/vsftpd.co

33、nf#vi /etc/vsftpd/vsftpd.conf修改内容如下:anonymous_enable=yeslocal_enable=noanon_upload_enable=noidle_session_timeout=600data_connection_timeout=200accept_timeout=100connect_timeout=30anon_max_rate=10000pasv_min_port=5000pasv_max_port=6000listen=no建立vsftpd服务的xinetd配置文件#vi /etc/xinetd.d/ftpdservice ftpd d

34、isable=no Flags=resueSocket_type=streamWait=noUser=rootServer=/usr/sbin/vsftpdInstances=200Per_source=5No_access=启动服务#ntsysv (选中ftpd服务)#service xinetd restart (或重启机器)案例三:l 利用VSFTPD配置一台支持虚拟用户登录的FTP服务器,具体要求如下:l 支持本地用户和虚拟用户登录,不允许匿名用户登录l 允许本地用户任意写入l 锁定本地用户的用户主目录l 建立虚拟用户vftp1,vftp2都对应本地用户guest

35、,且虚拟用户在用户主目录中可以写入,但不能删除l 设置客户端连接时的端口为5000-6000l 最大空闲会话时间长度为600秒l 设置空闲数据连接的中断时间为200秒l 设置客户端空闲时的自动中断时间为100秒和激活连接的时间为30秒l 本地用户的最大传输速率为2MB/sl 使用独占启动方式,侦听接口的21号端口l 设置服务器的并发连接总数为200l 每个客户机的并发连接总量为5l 允许/24网段内的主机访问配置过程:1. 安装相关软件#rpm -ivh vsftpd-1.1.3-8.i386.rpm2. 修改/etc/vsftpd/vsftpd.conf文件#vi /etc/vsftpd/vsftpd.conf修改内容如下:anonymous_enable=nolocal_enable=yesguest_enable=yesguest_username=guestwrite_enable=yeschroot_local_user=yespam_service_name=ftpidle_session_timeout=600data_connection_timeout=200accept_timeout=10