===port 设定======================
connect_from_port_20
用法:YES/NO
若设为YES,则强迫ftp-data 的数据传送使用port 20.默认值为YES.
ftp_data_port
设定ftp 数据联机所使用的port.默认值为20.
listen_port
FTP server 所使用的port.默认值为21.
pasv_max_port
建立资料联机所可以使用port范围的上界,0表示任意。默认值为0.
pasv_min_port
建立资料联机所可以使用port范围的下界,0表示任意。默认值为0.
===其它========================
anon_root
使用匿名登入时,所登入的目录。默认值为无。
local_enable
用法:YES/NO
启动此功能则允许本机使用者登入。默认值为YES.
local_root
本机使用者登入时,将被更换到定义的目录下。默认值为无。
text_userdb_names
用法:YES/NO
当使用者登入后使用ls -al 之类的指令查询该档案的管理权时,默认值会出现拥有者的UID,而不是该档案拥有者的名称。若是希望出现拥有者的名称,则将此功能开启。默认值为NO.
pasv_enable
若是设为NO,则不允许使用PASV 的模式建立数据的联机。默认值为开启。
===更换档案所有权===================
chown_uploads
用法:YES/NO
若是启动,所有匿名上传数据的拥有者将被更换为chown_username 当中所设定的使用者。这样的选项对于安全及管理,是很有用的。默认值为NO.
chown_username
这里可以定义当匿名登入者上传档案时,该档案的拥有者将被置换的使用者名称。默认值为root.
===guest 设定======================
guest_enable
用法:YES/NO
若是启动这项功能,所有的非匿名登入者都视为guest.默认值为关闭。
guest_username
这里将定义guest 的使用者名称。默认值为ftp.
===anonymous 设定====================
anonymous_enable
用法:YES/NO
管控使否允许匿名登入,YES 为允许匿名登入,NO 为不允许。默认值为YES.
no_anon_password
若是启动这项功能,则使用匿名登入时,不会询问密码。默认值为NO.
anon_mkdir_write_enable
用法:YES/NO
如果设为YES,匿名登入者会被允许新增目录,当然,匿名使用者必须要有对上层目录的写入权。默认值为NO.
anon_other_write_enable
用法:YES/NO
如果设为YES,匿名登入者会被允许更多于上传与建立目录之外的权限,譬如删除或是更名。默认值为NO.
anon_upload_enable
用法:YES/NO
如果设为YES,匿名登入者会被允许上传目录的权限,当然,匿名使用者必须要有对上层目录的写入权。默认值为NO.
anon_world_readable_only
用法:YES/NO
如果设为YES,匿名登入者会被允许下载可阅读的档案。默认值为YES.
ftp_username
定义匿名登入的使用者名称。默认值为ftp.
deny_email_enable
若是启动这项功能,则必须提供一个档案/etc/vsftpd.banner_emails,内容为email address.若是使用匿名登入,则会要求输入email address,若输入的email address在此档案内,则不允许联机。默认值为NO.
===Standalone 选项====================
listen
用法:YES/NO
若是启动,则vsftpd将会以独立运作的方式执行,若是vsftpd独立执行,如RedHat Linux 9的默认值,则必须启动;若是vsftpd包含在xinetd之中,则必须关闭此功能,如RedHat Linux 8.在RedHat Linux 9中默认值为YES.
listen_address
若是vsftpd 使用standalone 的模式,可使用这个参数定义使用哪个IP address提供这项服务,若是主机上只有定义一个IP address,则此选项不需使用,若是有多个IP address,可定义在哪个IP address上提供ftp服务。若是不设定,则所有的IP address均会提供此服务。默认值为无。
max_clients
若是vsftpd使用standalone的模式,可使用这个参数定义最大的总联机数。超过这个数目将会拒绝联机,0表示不限。默认值为0.
max_per_ip
若是vsftpd使用standalone的模式,可使用这个参数定义每个ip address所可以联机的数目。超过这个数目将会拒绝联机,0表示不限。默认值为0.
实验一、设置Chroot——用户不能切换目录
因为默认情况下是可以切换目录的,所以是很不安全的……
1、限制所有用户不能切换目录
chroot_local_user=YES
2、设置指定的用户不能切换目录
chroot_local_user=NO
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd.chroot_list
实验二、用Vsftp.user_list访问控制
利用/etc/vsftpd.user_list
A、设置在/etc/vsftpd.user_list文件中用户不能访问,其它用户可以访问
userlist_enable=YES
userlist_deny=YES
userlist_file=/etc/vsftpd.user_list
B、设置在/etc/vsftpd.user_list文件中的用户能访问国,其它用户不可以访问。
userlist_enable=YES
userlist_deny=NO
userlist_file=/etc/vsftpd.user_list
实验三、简单虚拟用户
让abc用户不能登录系统,只能登入FTP
#adduser –g ftp –s /sbin/nologin abc
#passwd abc
