反馈已提交

网络繁忙

vsftpd.conf配置手册

  • 文档创建者:Vic.zhang
  • 历史版本:11
  • 最近更新:HeroZ 于 2023-02-23
  • 1. 精简版

    anonymous_enable=NO # 禁止匿名用户登录,默认是允许
    local_enable=YES # 允许本地用户访问,默认就是 YES,不用改
    write_enable=YES # 允许写入,默认是 YES,不用改
    local_umask=022 # 默认的  umask 码,即上传后文件的权限掩码,不用改
    anon_upload_enable=NO #匿名用户不可以上传文件
    anon_mkdir_write_enable=NO #匿名用户不可以修改文件
    diremssage_enable=YES # 是否显示目录说明文件
    xferlog_enable=YES # 开启日志,默认是 YES,不用改
    xferlog_file=/var/log/vsftpd.log #设定 vsftpd 的服务日志保存路径,该文件默认不存在,必须要手动 touch 出来,命令:
    touch /var/log/vsftpd.log
    use_localtime=YES #使用本地时间而不是 GMT
    dual_log_enable=YES #用户登录日志
    connect_from_prot_20=YES # 设定连接端口 20
    xferlog_std_format=YES #记录日志使用标准格式
    idle_session_timeout=600 #登录之后超时 60 秒,登录之后一分钟不操作,就会断开连接,默认被注释掉,可根据个人情况修改
    chroot_local_user=NO # 允许ftp用户访问其上层目录
    chroot_list_enable=YES # 启用chroot_list_file
    chroot_list_file=/etc/vsftpd/chroot_list # 列表里是受限制的用户,不允许切换到上级目录
    listen=YES # 是否开启监听
    pam_service_name=vsftpd# 服务名称
    userlist_enable=YES #禁止登录 ftp 的用户名单,不用改允许由
    userlist_file #指定文件中的用户登录 FTP 服务器
    tcp_wrappers=YES #支持 tcp_wrappers,限制访问(/etc/hosts.allow,/etc/hosts.deny)

    2. 详解版

    2.1 布尔选项

    下面是布尔选项列表。布尔选项的值可以设置为 YES 或 NO。

    allow_anon_ssl

    仅在 ssl_enable 处于活动状态时适用 。如果设置为 YES,则允许匿名用户使用安全 SSL 连接。
    默认值:NO

    anon_mkdir_write_enable

    如果设置为 YES,则允许匿名用户在特定条件下创建新目录。为此, 必须激活选项 write_enable,并且匿名 ftp 用户必须具有父目录的写权限。
    默认值:NO

    anon_other_write_enable
    如果设置为 YES,则允许匿名用户执行除上载和创建目录之外的写入操作,例如删除和重命名,考虑完整性,这个一般不推荐使用。
    默认值:NO

    anon_upload_enable
    如果设置为 YES,则允许匿名用户在特定条件下上载文件。为此, 必须激活选项 write_enable,并且匿名 ftp 用户必须具有所需上载位置的写入权限。虚拟用户上传也需要此设置; 默认情况下,虚拟用户使用匿名(即最大限制)权限处理。
    默认值:NO

    anon_world_readable_only
    如果设置为 YES,文件的其他人必须有读的权限才允许下载,单单文件所有人为 ftp 且有读权限是无法下载的,必须其他人也有读权限,才允许下载;若为 NO 则只要 ftp 用户对文件有读权限即可下载。

    默认值:YES

    anonymous_enable
    控制是否允许匿名登录。如果启用,则用户名 ftp 和 anonymous 都将被识别为匿名登录。
    默认值:YES

    ascii_download_enable
    启用后,下载时将使用 ASCII 模式数据传输。
    默认值:NO

    ascii_upload_enable
    启用后,上传时将使用 ASCII 模式数据传输。
    默认值:NO

    async_abor_enable
    启用后,将启用称为“异步 ABOR”的特殊FTP命令。只有不明智的 FTP 客户端才会使用此功能。此外,此功能难以处理,因此默认情况下禁用。遗憾的是,除非此功能可用,否则某些FTP客户端将在取消传输时挂起,因此您可能希望启用它。
    默认值:NO

    background
    启用后,vsftpd以“listen”模式启动,vsftpd 将会在后台运行。当启动 vsftpd,控制将会马上返回 shell 窗口。
    默认值:NO

    check_shell
    注意:此选项仅对非 PAM 构建的 vsftpd 有效。如果禁用,vsftpd 将不会检查 /etc/shells 是否有用于本地登录的用户 shell。
    默认值:YES

    chmod_enable
    启用后,允许使用 SITE CHMOD 命令。注意!这仅适用于本地用户。匿名用户永远不会使用 SITE CHMOD。
    默认值:YES

    chown_uploads
    如果启用,则所有匿名上载的文件的所有权都将更改为设置 chown_username 中指定的用户 。这个对管理非常有用,也许是安全的立场。
    默认值:NO

    chroot_list_enable
    当设置为YES,你需要提供一个本地用户列表,然后改变他们根目录的位置(登录进来的时候的目录)。这时候如果chroot_local_user设置为YES,情况有点稍稍不同
    在这种情况下,这个列表用户将不会通过chroot()限制目录,在默认情况下,这个包含用户列表文件路径为/etc/vsftpd.chroot_list,但是你可以通过chroot_list_file来设置。

    默认值:NO

    chroot_local_user
    如果设置为YES,在登录之后本地用户(默认)会被限制到其根目录下。警告:这个选项有安全影响,尤其是如果用户有上传权限或shell权限。仅在你知道你开启的原因时可开启。

    默认值:NO

    connect_from_port_20
    控制是否PORT(active)连接使用端口20。出于安全因素,有些客户端可能坚持使用这个情况。于此相反,关闭这个选项,以更小的权限 vsftpd 运行。

    默认值:NO(但是示例配置文件启用它)

    debug_ssl
    如果为 true,则将 OpenSSL 连接诊断将会保存到 vsftpd 日志文件。(在 v2.0.6 中添加)。
    默认值:NO

    delete_failed_uploads
    如果为 true,则删除任何上载失败的文件。(在 v2.0.7 中添加)。
    默认值:NO

    deny_email_enable
    如果激活,您可以提供匿名密码电子邮件响应列表,这会导致登录被拒绝。默认情况下,包含此列表中的文件是 /etc/vsftpd.banned_emails,,但是你可以通过 banned_email_file 进行重写设置。

    默认值:NO

    dirlist_enable
    如果设置为 NO,则所有目录列表命令都将拒绝权限。
    默认值:YES

    dirmessage_enable
    如果启用,FTP 服务器的用户首次进入新目录时可以显示消息。默认情况下,会扫描目录以查找文件 .message,但是可以通过 message_file 重写文件的路径。

    默认值:NO(但是示例配置文件启用它)

    download_enable
    如果设置为NO,则所有下载请求都将被禁止。
    默认值:YES

    dual_log_enable
    如果启用,则会并行生成两个日志文件,默认情况下为 /var/log/xferlog 和 /var/log/vsftpd.log。前者是一个 wu-ftpd 样式的传输日志,可以通过标准工具解析。后者是 vsftpd 自己的样式日志。
    默认值:NO

    force_dot_files
    如果激活,文件目录开始以 . 开始展示在目录列表中。即使客户端未使用“a”标志,也将显示在目录列表中。此覆盖不包括“.” 和“..”条目。
    默认值:NO

    force_anon_data_ssl
    仅 在激活 ssl_enable 时适用 。如果激活,所有匿名登录强制使用SSL连接发送和接收数据 。
    默认值:NO

    force_anon_logins_ssl
    仅 在激活ssl_enabl e时适用 。如果激活,所有匿名登录强制使用SSL连接发送密码。
    默认值:NO

    force_local_data_ssl
    仅 在激活ssl_enable 时适用 。如果激活,所有非匿名用户登录强制使用SSL连接,发送和接收数据。
    默认值:YES

    force_local_logins_ssl
    仅 在激活ssl_enable 时适用 。如果激活,所有非匿名用户登录强制采用SSL连接发送密码。
    默认值:YES

    guest_enable
    如果启用,则所有非匿名登录都被归类为“访客”登录。guest 虚拟机登录将重新映射到 guest_username 设置中指定的用户 。
    默认值:NO

    hide_ids
    如果启用,目录列表中的所有用户和组信息将显示为“ftp”。
    默认值:NO

    implicit_ssl
    如果启用,则 SSL 握手是所有连接(FTPS 协议)的第一件事。为了支持显式 SSL 和/或 纯文本,还单独运行着 vsftpd 侦听器进程。
    默认值:NO

    listen
    如果启用,vsftpd 将以独立模式运行。这意味着不能从某种类型的 inetd 运行 vsftpd。相反,vsftpd 可执行文件直接运行一次。然后,vsftpd 将负责监听和处理传入的连接。
    默认值:YES

    listen_ipv6
    与 listen 参数一样,除了 vsftpd 将侦听 IPv6 套接字而不是 IPv4 套接字。此参数和 listen 参数是互斥的。
    默认值:NO

    local_enable
    控制是否允许本地登录。如果启用,则可以使用 /etc/passwd 中的普通用户帐号(或 PAM 配置引用的任何位置)登录。必须启用此功能才能使任何非匿名登录工作,包括虚拟用户。
    默认值:NO

    lock_upload_files
    启用后,所有上载都会对上载文件进行写锁定。所有下载都对下载文件进行共享读锁定。警告!警告:在开启这个之前,恶意读者可能会恶意占用写(例如想向文件中添加内容的操作)。

    默认值:YES

    log_ftp_protocol
    启用后,将记录所有FTP请求和响应,前提是未启用 xferlog_std_format 选项。对调试很有用。
    默认值:NO

    ls_recurse_enable
    启用后,此设置将允许使用“ls -R”。这是一个小的安全风险,因为大型站点顶层的ls -R可能会消耗大量资源。
    默认值:NO

    mdtm_write
    启用后,此设置将允许 MDTM 设置文件修改时间(支持一般例行检查)。
    默认值:YES

    no_anon_password
    启用后,这会阻止 vsftpd 请求匿名密码 - 匿名用户将直接登录。
    默认值:NO

    no_log_lock
    启用后,这会阻止 vsftpd 在写入日志文件时进行文件锁定。通常不应启用此选项。它的存在是为了解决操作系统错误,例如Solaris / Veritas 文件系统组合,有时会出现试图锁定日志文件的挂起。
    默认值:NO

    one_process_model
    如果您有 Linux 2.4 内核,则可以使用不同的安全模型,每个连接只使用一个进程。它是一种不太纯粹的安全模型,但会提高您的性能。除非您知道自己在做什么,并且您的网站支持大量同时连接的用户,否则您真的不想启用它。
    默认值:NO

    passwd_chroot_enable
    如果启用,它与 chroot_local_user 一起使用,对于 chroot() 限制每个用户目录。每个用户限制取自它们根目录字符串(在 /etc/passwd 中)。在根目录字符串出现/./限制在特定路径位置下。默认值:NO

    pasv_addr_resolve
    如果要在 pasv_address 选项中使用主机名(而不是 IP 地址),请设置为 YES 。
    默认值:NO

    pasv_enable
    当设置为NO,你不允许采用PASV(被动方法)去获取数据连接。

    默认值:YES

    pasv_promiscuous
    如果要禁用 PASV 安全检查,请设置为 YES,以确保数据连接源自与控制连接相同的IP地址。只有在你知道自己在做什么的情况下才能启用 对此的唯一合法用途是采用某种形式的安全隧道方案,或者可能是为了促进 FXP 支持。
    默认值:NO

    port_enable
    如果要禁止使用PORT方法获取数据连接,请设置为 NO。
    默认值:YES

    port_promiscuous
    如果要禁用 PORT 安全检查,则设置为 YES,以确保传出数据连接只能连接到客户端。只有在你知道自己在做什么的情况下才能启用
    默认值:NO

    require_cert
    如果设置为yes,则需要所有SSL客户端连接来提供客户端证书。应用于此证书的验证程度由 validate_cert 控制 (在v2.0.6中添加)。
    默认值:NO

    require_ssl_reuse
    如果设置为 yes,则需要所有 SSL 数据连接以展示 SSL 会话重用(这证明它们知道与控制通道相同的主密钥)。虽然这是一个安全的默认设置,但它可能会破坏许多FTP客户端,因此您可能希望禁用它。
    默认值:YES

    run_as_launching_user
    如果您希望 vsftpd 作为启动 vsftpd 的用户运行,则设置为 YES。在根访问不可用的情况下,这很有用。大规模警告!除非您完全知道自己在做什么,否则不要启用此选项,因为天真地使用此选项会产生大量安全问题。具体来说,当设置此选项时,vsftpd不会/不能使用chroot技术来限制文件访问(即使由 root启动)。一个糟糕的替代品可能是使用 deny_file 设置如{/*,*..*},但这种可靠性无法与chroot相比,不应该依赖。如果使用此选项,许多限制将会应用。例如,需要权限的选项(例如非匿名登录,上载所有权更改,从端口20连接以及小于 1024 的侦听端口)预计不起作用。其他选项可能会受到影响。
    默认值:NO

    secure_email_list_enable
    如果您只想接受匿名登录的指定电子邮件密码列表,请设置为 YES。这非常有用,可以在不需要虚拟用户的情况下限制对低安全性内容的访问。启用后,将禁止匿名登录,除非在 email_password_file 设置指定的文件中列出了提供的密码 。文件格式是每行一个密码,没有额外的空格。默认文件名为 /etc/vsftpd.email_passwords。
    默认值:NO

    session_support
    这可以控制 vsftpd 是否尝试维护登录会话。如果 vsftpd 正在维护会话,它将尝试更新 utmp 和 wtmp。如果使用 PAM 进行身份验证,它也会打开 pam_session,并且只有在注销时关闭它。如果您不需要会话日志记录,您可能希望禁用此功能,并希望为 vsftpd 提供更多机会以更少的进程和/或更少的权限运行。

    注 : utmp 和 wtmp 支持仅在启用 PAM 的构建中提供。
    默认值:NO

    setproctitle_enable
    如果启用,vsftpd 将尝试在系统进程列表中显示会话状态信息。换句话说,报告的进程名称将更改以反映 vsftpd 会话正在执行的操作(空闲,下载等)。出于安全考虑,您可能希望将其关闭。
    默认值:NO

    ssl_enable
    如果启用,并且 vsftpd 是针对 OpenSSL 编译的,则 vsftpd 将通过 SSL 支持安全连接。这适用于控制连接(包括登录)以及数据连接。您还需要一个支持 SSL 的客户端。

    注意:请注意启用此选项。只有在需要时才启用它。vsftpd 无法保证 OpenSSL 库的安全性。通过启用此选项,您声明您信任已安装的 OpenSSL 库的安全性。
    默认值:NO

    ssl_request_cert
    如果启用,vsftpd 会要求(但不一定需要;见 require_cert)一个证书上的传入 SSL 连接。通常这 不应该造成任何麻烦,但  IBM zOS 似乎有问题。(v2.0.7中的新功能)。
    默认值:YES

    ssl_sslv2
    仅 在激活 ssl_enable 时适用 。如果启用,此选项将允许 SSL v2 协议连接。TLS v1 连接是首选。
    默认值:NO

    ssl_sslv3
    仅 在激活 ssl_enable 时适用 。如果启用,此选项将允许 SSL v3 协议连接。TLS v1 连接是首选。
    默认值:NO

    ssl_tlsv1
    仅 在激活 ssl_enable 时适用 。如果启用,此选项将允许 TLS v1 协议连接。TLS v1 连接是首选。
    默认值:YES

    strict_ssl_read_eof
    如果启用,则需要通过 SSL 终止 SSL 数据上载,而不是套接字上的 EOF。需要此选项以确保攻击者未使用伪造的 TCP FIN 过早终止上载。不幸的是,默认情况下它没有启用,因为很少有客户端能够正确使用它。(v2.0.7 中的新功能)。
    默认值:NO

    strict_ssl_write_shutdown
    如果启用,则需要通过 SSL 终止 SSL 数据下载,而不是套接字上的 EOF。默认情况下这是关闭的,因为我无法找到执行此操作的单个FTP客户端。这是次要的。它影响的是我们判断客户是否确认完全收到该文件的能力。即使没有此选项,客户端也能够检查下载的完整性。(v2.0.7 中的新功能)。
    默认值:NO

    syslog_enable
    如果启用,那么将转到/var/log/vsftpd.log的任何日志输出都将转到系统日志。记录在 FTPD 工具下完成。
    默认值:NO

    tcp_wrappers的
    如果启用,并且 vsftpd 是使用 tcp_wrappers 支持编译的,则传入连接将通过 tcp_wrappers 访问控制提供。此外,还有一种基于每个IP的配置机制。如果 tcp_wrappers 设置 VSFTPD_LOAD_CON F环境变量,则 vsftpd 会话将尝试加载此变量中指定的 vsftpd 配置文件。
    默认值:NO

    text_userdb_names
    默认情况下,数字 ID 显示在目录列表的用户和组字段中。您可以通过启用此参数来获取文本名称。出于性能原因,它默认是关闭的。
    默认值:NO

    tilde_user_enable
    如果启用,vsftpd 将尝试解析路径名,例如~chris/pics,即代字号后跟用户名。请注意,vsftpd 将始终解析路径名〜和〜/something(在这种情况下,〜解析为初始登录目录)。注意~使用路径将只能解决这种情况,也就是如果文件 /etc/passwd 可以在当前限制目录中找到。

    默认值:NO

    use_localtime
    如果启用,vsftpd 将显示当前时区中包含时间的目录列表。默认为显示 GMT。MDTM FTP 命令返回的时间也受此选项的影响。
    默认值:NO

    use_sendfile
    一个内部设置,用于测试在平台上使用 sendfile() 系统调用的相对优势。

    默认值:YES

    userlist_deny
    如果 激活 userlist_enable,则检查此选项 。如果将此设置设置为 NO,则将拒绝用户登录,除非它们明确列在 userlist_file指定的文件中 。拒绝登录时,将在要求用户输入密码之前发出拒绝。
    默认值:YES

    userlist_enable
    如果启用,vsftpd 将从 userlist_file 给出的文件名加载用户名列表 。如果用户尝试使用此文件中的名称登录,则在要求输入密码之前,他们将被拒绝。这可能有助于防止传输明文密码。另请参见 userlist_deny。
    默认值:NO

    validate_cert
    如果设置为 yes,则收到的所有 SSL 客户端证书都必须验证 OK。自签名证书不构成 OK验证。(v2.0.6 中的新功能)。
    默认值:NO

    virtual_use_local_privs
    如果启用,虚拟用户将使用与本地用户相同的权限。默认情况下,虚拟用户与匿名用户权限一致。它很有更多的限制(尤其在写权限上)

    默认值:NO

    WRITE_ENABLE
    这可以控制是否允许任何更改文件系统的FTP命令。这些命令是:STOR,DELE,RNFR,RNTO,MKD,RMD,APPE 和 SITE。
    默认值:NO

    xferlog_enable
    如果启用,将维护一个日志文件,详细说明上载和下载。默认情况下,此文件将放在/var/log/vsftpd.log中,但可以使用配置设置 vsftpd_log_file 覆盖此位置 。
    默认值:NO(但是示例配置文件启用它)

    xferlog_std_format
    如果启用,传输日志文件将以标准 xferlog 格式写入,如 wu-ftpd 所使用。这很有用,因为您可以重用现有的传输统计信息生成器 但是,默认格式更具可读性。此样式的日志文件的缺省位置是 /var/log/xferlog,但您可以使用 xferlog_file 设置进行 更改。
    默认值:NO

    2.2 数字选项

    以下是数字选项列表。必须将数字选项设置为非负整数。支持八进制数,以方便 umask 选项。要指定八进制数,请使用 0 作为数字的第一个数字。

    accept_timeout
    远程客户端与 PASV 样式数据连接建立连接的超时(以秒为单位)。
    默认值:60

    anon_max_rate
    匿名客户端允许的最大数据传输速率(以字节/秒为单位)。
    默认值:0(无限制)

    anon_umask
    为匿名用户设置用于文件创建的 umask 的值。注意!如果要指定八进制值,请记住“0”前缀,否则该值将被视为基数为 10的整数!
    默认值:077

    chown_upload_mode
    文件模式强制改变匿名上传文件的所有者权限。(在 v2.0.6 中添加)。
    默认值:0600

    connect_timeout
    远程客户端响应 PORT 样式数据连接的超时(以秒为单位)。
    默认值:60

    data_connection_timeout
    超时(以秒为单位),大致是允许数据传输停止而没有进度的最长时间。如果超时被触发,客户端将会被踢掉。

    默认值:300

    delay_failed_login
    报告登录失败之前暂停的秒数。
    默认值:1

    delay_successful_login
    允许成功登录之前暂停的秒数。
    默认值:0

    file_open_mode
    用于创建上载文件的权限。Umasks 应用于此值之上。如果您希望上传的文件可执行,您可能希望更改为 0777。
    默认值:0666

    ftp_data_port
    PORT样式连接源自的端口(只要connect_from_port_20开启)。
    默认值:20

    idle_session_timeout
    超时(以秒为单位),即远程客户端在 FTP 命令之间可能花费的最长时间。如果超时触发,这个远程客户端将会踢掉。
    默认值:300

    listen_port
    如果vsftpd处于独立模式,则它将侦听传入 FTP 连接的端口。
    默认值:21

    local_max_rate
    本地身份验证用户允许的最大数据传输速率(以字节/秒为单位)。
    默认值:0(无限制)

    local_umask
    为本地用户设置用于文件创建的 umask 的值。注意!如果要指定八进制值,请记住“0”前缀,否则该值将被视为基数为 10的整数!
    默认值:077

    max_clients
    如果v sftpd 处于独立模式,则这是可以连接的最大客户端数。任何其他多余连接将会收到错误消息。
    默认值:0(无限制)

    max_login_fails
    在此多次登录失败后,会话被终止。
    默认值:3

    max_per_ip
    如果vsftpd处于独立模式,则这是可以从同一源 Internet 地址连接的最大客户端数。如果客户端超过此限制,则会收到错误消息。
    默认值:0(无限制)

    pasv_max_port
    为PASV样式数据连接分配的最大端口。可用于指定窄端口范围以协助防火墙。
    默认值:0(使用任何端口)

    pasv_min_port
    为 PASV 样式数据连接分配的最小端口。可用于指定窄端口范围以协助防火墙。
    默认值:0(使用任何端口)

    trans_chunk_size
    您可能不想更改此设置,但请尝试将其设置为 8192,以获得更加平滑的带宽限制器。
    默认值:0(让 vsftpd 选择合理的设置)

    2.3 字符串选项

    以下是字符串选项列表。
    anon_root
    此选项表示 vsftpd 在匿名登录后尝试切换的目录。如果失败将会忽略。
    默认值:(无)

    banned_email_file
    此选项是包含不允许的匿名电子邮件密码列表的文件的名称。如果 启用了选项 deny_email_enable,则会查询此文件 。
    默认值:/etc/vsftpd.banned_emails

    banner_file
    此选项是包含要在有人连接到服务器时显示的文本的文件的名称(欢迎语)。如果设置,它将覆盖 ftpd_banner 选项提供的标题字符串 。
    默认值:(无)

    ca_certs_file
    此选项是用于加载证书颁发机构证书的文件的名称,用于验证客户端证书。遗憾的是,由于 vsftpd 使用受限制的文件系统空间(chroot),因此未使用默认的 SSL CA 证书路径。(在v2.0.6中添加)。
    默认值:(无)

    chown_username
    这是获得匿名上传文件所有权的用户的名称。仅当设置了另一个选项 chown_uploads 时,此选项才有意义 。
    默认值:root

    chroot_list_file
    这选项包含一个文件路径,它包含本地用户列表,它(chroot())被放置到对应的根目录.这个选项会关联chroot_list_enable开启。如果chroot_local_user开启,那么文件列表将会变成将会不会限制(chroot())它根目录下。

    默认值:/etc/vsftpd.chroot_list

    cmds_allowed
    此选项指定允许的 FTP 命令的逗号分隔列表(登录后,USER,PASS,QUIT和其他在登录前允许的)。其他命令被拒绝。这是一种真正锁定FTP服务器的强大方法。示例:cmds_allowed = PASV,RETR,QUIT
    默认值:(无)

    cmds_denied
    此选项指定以逗号分隔的拒绝FTP命令列表(登录后,USER,PASS,QUIT和其他在登录前允许的)。如果此命令和 cmds_allowed 上都出现命令, 则拒绝优先。(在 v2.1.0 中添加)。
    默认值:(无)

    deny_file
    此选项可用于设置文件名(和目录名称等)的模式,这些模式不应以任何方式访问。受影响的项目不会被隐藏,但任何尝试对它们做任何事情(下载,更改到目录,影响目录内的某些内容等)都将被拒绝。此选项非常简单,不应用于严格的访问控制 - 应优先使用文件系统的权限。但是,此选项在某些虚拟用户设置中可能很有用。特别要注意的是,如果文件名可以通过各种名称访问(可能是由于符号链接或硬链接),那么必须注意拒绝访问所有名称。如果项目的名称包含hide_file给出的字符串,或者它们与hide_file指定的正则表达式匹配,则将拒绝访问项目。请注意,vsftpd' 正则表达式匹配代码是一个简单的实现,它是完整正则表达式功能的子集。因此,您需要仔细而详尽地测试此选项的任何应用程序。并且由于其更高的可靠性,建议您对任何重要的安全策略使用文件系统权限。支持的正则表达式语法是任意数量的* ,? 和 unnested {,}运算符。仅在路径的最后一个组件上支持正则表达式匹配,例如 a / b /?支持,但/?/ c 不支持。示例:deny_file = {*。mp3,*。mov,.private} 并且由于其更高的可靠性,建议您对任何重要的安全策略使用文件系统权限。支持的正则表达式语法是任意数量的* ,? 和unnested {,}运算符。仅在路径的最后一个组件上支持正则表达式匹配,例如 a / b /?支持,但/?/ c 不支持。示例:deny_file = {*.mp3,*.mov,.private} 并且由于其更高的可靠性,建议您对任何重要的安全策略使用文件系统权限。支持的正则表达式语法是任意数量的* ,? 和unnested {,}运算符。仅在路径的最后一个组件上支持正则表达式匹配,例如a / b /?支持,但/?/ c不支持。示例:deny_file = {*.mp3,*.mov,.private}
    默认值:(无)

    dsa_cert_file
    此选项指定用于 SSL 加密连接的 DSA 证书的位置。
    默认值:(无 - RSA 证书就足够了)

    dsa_private_key_file
    此选项指定用于 SSL 加密连接的 DSA 私钥的位置。如果未设置此选项,则预期私钥与证书位于同一文件中。
    默认值:(无)

    email_password_file
    此选项可用于提供secure_email_list_enable 设置使用的备用文件 。
    默认值:/etc/vsftpd.email_passwords

    ftp_username
    这是我们用于处理匿名 FTP 的用户的名称。该用户的主目录是匿名 FTP 区域的根目录。
    默认值:ftp

    ftpd_banner
    此字符串选项允许您在首次进入连接时覆盖 vsftpd 显示的问候语横幅。
    默认值:(无 - 显示默认的 vsftpd 横幅)

    guest_username
    有关 guest 虚拟机 登录的说明,请参阅 boolean 设置 guest_enable。此设置是访客用户映射到的真实用户名。
    默认值:ftp

    hide_file
    此选项可用于设置文件名(和目录名称等)的模式,这些模式应该从目录列表中隐藏。尽管被隐藏,但是知道实际使用的名称的客户可以完全访问文件/目录等。如果项目的名称包含 hide_file 给出的字符串,或者它们与 hide_file 指定的正则表达式匹配,则将隐藏这些项目。请注意,vsftpd 的正则表达式匹配代码是一个简单的实现,它是完整正则表达式功能的子集。有关 具体支持的正则表达式语法的详细信息,请参阅 deny_file。示例:hide_file = {*.mp3,.hidden,hide *,h?}
    默认值:(无)

    listen_address
    如果vsftpd处于独立模式,则此设置可能会覆盖(所有本地接口的)默认侦听地址。提供数字IP地址。
    默认值:(无)

    listen_address6
    与 listen_address 类似,但指定IPv6侦听器的默认侦听地址(如果设置了 listen_ipv6,则使用该地址)。格式是标准 IPv6 地址格式。
    默认值:(无)

    local_root
    此选项表示 vsftpd 在本地(即非匿名)登录后尝试更改的目录。失败被默默地忽略了。
    默认值:(无)

    message_file
    此选项是输入新目录时我们查找的文件的名称。内容显示给远程用户。仅当 启用了选项 dirmessage_enable 时,此选项才有意义 。
    默认值:.message

    nopriv_user
    这是 vsftpd 在完全没有特权的情况下使用的用户名。请注意,这应该是专用用户,而不是任何人。在大多数机器上,用户没有倾向于使用很多重要的东西。
    默认值:没人

    pam_service_name
    此字符串是 vsftpd 将使用的 PAM 服务的名称。
    默认值:ftp

    pasv_address 设置
    使用此选项可覆盖 vsftpd 将响应 PASV 命令而通告的 IP 地址。提供数字 IP 地址,除非 启用了 pasv_addr_resolve,在这种情况下,您可以提供在启动时为您解析的 DNS 主机名。
    默认值:(无 - 地址来自传入的连接套接字)

    rsa_cert_file
    此选项指定用于 SSL 加密连接的 RSA 证书的位置。
    默认值:/usr/share/ssl/certs/vsftpd.pem

    rsa_private_key_file
    此选项指定用于 SSL 加密连接的 RSA 私钥的位置。如果未设置此选项,则预期私钥与证书位于同一文件中。
    默认值:(无)

    secure_chroot_dir
    这个选项的目录应该为空,这个目录不应该为用户写入。这个目录用于做为安全chroot()安全限制,它不要求文件系统访问权限。

    默认值:/ usr / share / empty

    ssl_ciphers
    此选项可用于选择 vsftpd 允许加密 SSL 连接的 SSL 密码。有关 更多详细信息,请参见 密码手册页。请注意,限制密码可能是一种有用的安全预防措施,因为它可以防止恶意远程方强制使用已发现问题的密码。
    默认值:DES-CBC3-SHA

    user_config_dir
    这个功能强大的选项允许基于每个用户覆盖手册页中指定的任何配置选项。用法很简单,最好用一个例子来说明。如果将 user_config_dir 设置为 /etc/vsftpd_user_conf 然后以用户“chris”身份登录,则 vsftpd 将 在会话期间应用文件 /etc/vsftpd_user_conf/chris中的设置。此文件的格式详见本手册页!请注意,并非所有设置都是基于每个用户有效。例如,许多设置仅在用户会话启动之前。不会影响每个用户的任何行为的设置示例包括 listen_address,banner_file,max_per_ip,max_clients,xferlog_file 等。
    默认值:(无)

    user_sub_token
    这个对于连接虚拟用户非常有用。它被用于为每个虚拟用户自动生成目录,对于虚拟用户基于模板。例如通过guest_username得到一个真实的目录是/home/virtual/$USER,那么user_sub_token将会替换$USER,当虚拟用户fred登录之后,那么最后目录是/home/virtual/fred。如果local_root包含user_sub_token这个选项才会有用。

    默认值:(无)

    userlist_file
    此选项是 userlist_enable 选项处于活动状态时加载的文件的名称 。
    默认值:/etc/vsftpd.user_list

    vsftpd_log_file
    此选项是我们编写 vsftpd 样式日志文件的文件的名称。仅当 设置了选项 xferlog_enable 并且未设置 xferlog_std_format时, 才会写入此日志 。或者,如果已设置选项dual_log_enable,则会写入 。另一个复杂因素 - 如果您设置了 syslog_enable,则不会写入此文件,而是将输出发送到系统日志。
    默认值:/var/log/vsftpd.log

    xferlog_file
    此选项是我们编写 wu-ftpd 样式传输日志的文件的名称。仅当 设置了 xferlog_enable 选项以及 xferlog_std_format 时才会写入传输日志 。或者,如果已设置选项 dual_log_enable,则会写入 。
    默认值:/var/log/xferlog

    附件列表


    主题: 部署集成
    • 有帮助
    • 没帮助
    • 只是浏览
    中文(简体)

    鼠标选中内容,快速反馈问题

    鼠标选中存在疑惑的内容,即可快速反馈问题,我们将会跟进处理。

    不再提示

    10s后关闭



    AI

    联系我们
    在线支持
    获取专业技术支持,快速帮助您解决问题
    工作日9:00-12:00,13:30-17:30在线
    页面反馈
    针对当前网页的建议、问题反馈
    售前咨询
    采购需求/获取报价/预约演示
    或拨打: 400-811-8890 转1
    qr
    热线电话
    咨询/故障救援热线:400-811-8890转2
    总裁办24H投诉:17312781526
    提交页面反馈
    仅适用于当前网页的意见收集,帆软产品问题请在 问答板块提问前往服务平台 获取技术支持