Файл конфигурации VSFTPD.CONF

Описание

vsftpd.conf — это конфигурационный файл vsftpd. vsftpd.conf используется для управления различными аспектами поведения vsftpd. vsftpd по-умолчанию ищет этот файл здесь — /etc/vsftpd.conf. Тем не менее, вы можете всегда указать другое местоположение файла, указав параметр-ключ в командной строке для vsftpd. Параметр-ключ в командной строке — это путь файла настроек для vsftpd. Использовать различные файлы настроек полезно, так как вам может потребоваться использовать усовершенствованный демон inetd, например, такой как xinetd, для того, чтобы запустить vsftpd с различными файлами настроек, основываясь на настройках для каждого виртуального хоста.

 

ЛОГИЧЕСКИЕ ПАРАМЕТРЫ

Ниже следует список логических параметров. Значение для логического параметра может быть установлено в: YES или NO.

allow_anon_ssl
Применяется только если «ssl_enable» — включено. Если установлено в YES, то анонимным пользователям разрешено использовать защищённые SSL-соединения.
По-умолчанию: NO
allow_writeable_chroot
Если установлено в YES, то разрешается запись в домашнем каталоге локальным пользователям.
По-умолчанию: NO
anon_mkdir_write_enable
Если установлено в YES, то анонимным пользователям разрешено создавать новые каталоги при определённых условиях. Для того, чтобы это работало, должен быть включён параметр «write_enable», и у анонимного FTP-пользователя («anonymous») должны быть права на запись в родительском каталоге.
По-умолчанию: NO
anon_other_write_enable
Если установлено в YES, то анонимным пользователям разрешено выполнять операции записи, такие как удаление или переименование, не затрагивая операции загрузки на vsftpd и операции создания каталога. Обычно это не рекомендуется, но для полноты действий разрешается изменить значение.
По-умолчанию: NO
anon_upload_enable
Если установлено в YES, то анонимным пользователям разрешено загружать файлы на vsftpd при определённых условиях. Для того, чтобы это работало, должен быть включён параметр write_enable, и у анонимного FTP-пользователя («anonymous») должны быть права на запись в каталог, который будет использоваться для загрузки. Этот параметр также требуется для загрузки на vsftpd от виртуальных пользователей; по-умолчанию виртуальные пользователи обрабатываются с правами логина «anonymous» (то есть, максимально ограничеными).
По-умолчанию: NO
anon_world_readable_only
Когда включено, то анонимным пользователям разрешено только скачивать с vsftpd файлы, на которые установлены права для чтения для всех. Когда параметр включён, vsftpd распознаёт принадлежность прав на файлы ftp-пользователям, особенно в каталоге загрузок на ftp через vsftpd.
По-умолчанию: YES
anonymous_enable
Контролирует, разрешить анонимный вход под логином «anonymous» или нет? Если включено, то в таком случае, и логин «ftp», и логин «anonymous» — будут распознаваться как логин «anonymous».
По-умолчанию: YES
ascii_download_enable
Когда включено, при закачках с vsftpd будет соблюдаться режим передачи данных ASCII.
По-умолчанию: NO
ascii_upload_enable
Когда включено, при загрузках на vsftpd будет соблюдаться режим передачи данных ASCII.
По-умолчанию: NO
async_abor_enable
Когда включено, то будет включена специальная FTP-команда, известная как «async ABOR». Эту функциональную возможность используют только плохо осведомлённые FTP-клиенты. К тому же эта функциональная возможность неуклюжа при обработке, поэтому она по-умолчанию отключена. К сожалению, некоторые FTP-клиенты зависнут когда прерывается передача данных в случае, если эта функция будет не доступна, поэтому, при желании, вы можете её включить.
По-умолчанию: NO
background
Когда включено, и vsftpd запущен в режиме «listen», то vsftpd будет фонить в background слушающий процесс. т.е. управление будет немедленно возвращено в оболочку shell, которая запустила vsftpd.
По-умолчанию: NO
check_shell
Примечание! Эта опция будет работать только на сборках vsftpd без PAM (non-PAM). Если отключено, vsftpd не будет проверять «/etc/shells» на валидность пользовательской оболочки shell для локальных логинов.
По-умолчанию: YES
chmod_enable
Когда включено, разрешает использование команды «SITE CHMOD». ПРИМЕЧАНИЕ! Применяется только к локальным пользователям. Анонимные пользователи («anonymous») никогда не получат возможность использовать «SITE CHMOD».
По-умолчанию: YES
chown_uploads
Если включено, то все загруженные файлы на vsftpd от анонимных пользователей («anonymous») будут принадлежать владельцу — пользователю, указанному в параметре «chown_username». Это полезно с точек зрения администрирования, и, возможно, безопасности.
По-умолчанию: NO
chroot_list_enable
Если включено, то вы можете предоставить список локальных пользователей, которые после авторизации будут размещены в клетке chroot(), в своих домашних каталогах. Значение немного будет отличаться, если параметр «chroot_local_user» установлен в «YES». В этом случае, список становится списком пользователей, которые НЕ БУДУТ размещены в клетке chroot(). По-умолчанию, этот список содержится в файле «/etc/vsftpd.chroot_list», но вы можете указать другой файл, изменив местоположение в значении параметра «chroot_list_file».
По-умолчанию: NO
chroot_local_user
Если установлено в YES, то локальные пользователи после авторизации будут (по-умолчанию) размещены в клетке chroot(), в свои домашние каталоги. Предупреждение: этот параметр подразумевает улучшение в безопасности, особенно по отношению к пользователям, которые имеют разрешение на загрузку на vsftpd, или доступ к shell. Включайте только если вы знаете что вы делаете. Заметьте, что эти улучшения в безопасности не зависят от vsftpd. Они применяются ко всем демонам FTP, которые предлагают помещать локальных пользователей в клетки chroot().
По-умолчанию: NO
connect_from_port_20
Включение этого параметра указывает исходящим с сервера соединениям использовать 20 порт (ftp-data). По соображением безопасности, некоторые клиенты могут настаивать на таком случае (чтобы параметр был установлен в YES). Наоборот, отключение этого параметра позволяет vsftpd запускаться с меньшими привилегиями.
По-умолчанию: NO (но демонстрационный файл настроек содержит YES)
debug_ssl
Если истина, то для диагностики OpenSSL-соединения будет сбрасываться дамп в файл журнала vsftpd.
По-умолчанию: NO
delete_failed_uploads
Если истина, любые неудачно загруженные файлы на vsftpd будут удалены.
По-умолчанию: NO
deny_email_enable
Если включено, вы можете предоставить список электронной почты email, которые используются в качестве пароля для логина «anonymous» при авторизации на ftp. Этот список будет запрещать вход на ftp для логина «anonymous» под определённым паролем, со значением электронной почты email из этого списка. По-умолчанию, файл, содержащий этот список — это «/etc/vsftpd.banned_emails», но вы можете указать другой файл в значении параметра «banned_email_file».
По-умолчанию: NO
dirlist_enable
Если установлено в NO, то все команды для просмотра содержимого текущего каталога («ls», «dir») выдадут «permission denied».
По-умолчанию: YES
dirmessage_enable
Если включено, то пользователям FTP-сервера можно показывать сообщения, когда они переходят в каталог. По-умолчанию каталог сканируется на наличие файла «.message», но вы можете указать другой файл, изменив расположение в значении параметра «message_file».
По-умолчанию: NO (но демонстрационный файл настроек содержит YES)
download_enable
Если установлено в NO, то все запросы на закачку с vsftpd выдадут «permission denied».
По-умолчанию: YES
dual_log_enable
Если включено, то параллельно генерируются два файла журнала, путь которых по-умолчанию в «/var/log/xferlog» и в «/var/log/vsftpd.log» соответственно. Первый из них — это старый формат журнала для ftp-передач в стиле wu-ftpd, который можно парсить стандартными утилитами. Последний из них — это собственный формат журнала в стиле vsftpd.
По-умолчанию: NO
force_dot_files
Если включено, то файлы и каталоги, начинающиеся с символа точки «.» будут показаны в списке файлов каталога, даже если флаг «a» не использовался ftp-клиентом. Этот параметр не затрагивает каталоги «.» и «..».
По-умолчанию: NO
force_anon_data_ssl
Применяется только если включён «ssl_enable». Если включено, то все клиенты под логином «anonymous» вынуждены будет использовать безопасное соединение SSL для того, чтобы записать или получить данные из соединения.
По-умолчанию: NO
force_anon_logins_ssl
Применяется только если включён «ssl_enable». Если включено, то все клиенты под логином «anonymous» будут вынуждены использовать безопасное соединение SSL для того, чтобы отправить пароль (в виде электронной почты email).
По-умолчанию: NO
force_local_data_ssl
Применяется только если включён «ssl_enable». Если включено, то все клиенты НЕ под логином «anonymous» вынуждены использовать безопасное соединение SSL для того, чтобы записать или получить данные из соединения.
По-умолчанию: YES
force_local_logins_ssl
Применяется только если включён «ssl_enable». Если включено, то все клиенты НЕ под логином «anonymous» будут вынуждены использовать безопасное соединение SSL для того, чтобы отправить пароль (в виде электронной почты email).
По-умолчанию: YES
guest_enable
Если включено, то все клиенты НЕ под логином «anonymous» будут распознаваться под логином «guest» (гостевой логин). Логин «guest» заносится в определённый пользовательский логин, который указан в значении параметра «guest_username».
По-умолчанию: NO
hide_ids
Если включено, то вся информация о пользователе (владельце) и о группе (владельце) в списке содержимого каталога будет заменена на «ftp».
По-умолчанию: NO
implicit_ssl
Если включено, то рукопожатие (начало протокола) SSL — это первое что ожидает клиентов на всех соединениях (протокол FTPS). Для того, чтобы поддерживать SSL явно и/или также обычный текст (plaint text), должен быть запущен отдельный слушающий процесс демона vsftpd.
По-умолчанию: NO
listen
Если включено, то демон vsftpd будет работать в «standalone» (автономном) режиме. Это означает, что vsftpd не должен запускаться от inetd. Вместо этого, vsftpd запускается отдельно от inetd, напрямую. vsftpd будет самостоятельно слушать и обрабатывать входящие соединения.
По-умолчанию: YES
listen_ipv6
Наподобие параметра «listen», но кроме того vsftpd будет слушать на IPv6-сокете вместо IPv4. Этот параметр и параметр «listen» являются взаимоисключающими.
По-умолчанию: NO
local_enable
Разрешить анонимный вход под локальными логинами или нет? Если включено, то для авторизации могут использоваться обычные нормальные учётные записи пользователей из «/etc/passwd» (или оттуда, куда ссылается ваша настройка PAM). Это должно быть включено для того, чтобы работал любой НЕ «anonymous» логин, включая и виртуальных пользователей.
По-умолчанию: NO
lock_upload_files
Когда включено, то все не до конца загруженные на vsftpd файлы блокируются (лочатся) от записи, блокировка снимается после того как они загрузятся на vsftpd. Все не до конца закачанные с vsftpd файлы лочатся от чтения (совместное чтение файла невозможно). ПРЕДУПРЕЖДЕНИЕ! Прежде, чем включить этот параметр, необходимо учитывать то, что недобросовестные пользователи, читающие (залоченный в будущем) файл могут перекрыть доступ пользователям, записывающим в один и тот же (уже залоченный) файл, которые, например, добавляют данные в (залоченный) файл.
По-умолчанию: YES
log_ftp_protocol
Когда включено, то все запросы и ответы по FTP регистрируются, предоставляя возможность не включать параметр «xferlog_std_format». Полезен для отладки.
По-умолчанию: NO
ls_recurse_enable
Когда включено, то этот параметр разрешит использовать «ls-R». Является незначительной угрозой безопасности, так как «ls-R» на верхнем уровне большого сайта может занять много ресурсов.
По-умолчанию: NO
mdtm_write
Когда включено, то этот параметр разрешит MDTM устанавливать время изменения файла (тема на обычную проверку прав доступа).
По-умолчанию: YES
no_anon_password
Когда включено, то vsftpd не будет просить пароль (в виде электронной почты email) от логина «anonymous» — пользователи под логином «anonymous» будут авторизовываться сразу без ввода пароля.
По-умолчанию: NO
no_log_lock
Когда включено, то vsftpd не будет лочить файл при записи в файл журнала. Этот параметр обычно не должен быть включён. Параметр существует как обходное решение для ошибок операционной системы, такой как Solaris / Veritas, комбинация файловой системы которых, при наблюдении, иногда показывала, что подвешивается при попытке заблокировать файлы журнала.
По-умолчанию: NO
one_process_model
Если у вас ядро Linux 2.4, возможно использование различных моделей безопасности, так включение этой опции позволяет использовать только один процесс на одно пользовательское подключение. Эта функциональная возможность является менее чистой моделью безопасности, но даёт производительность. Вам не нужно включать этот параметр, если вы точно не уверены что делаете, и сайт не поддерживает большое количество одновременно подключённых пользователей.
По-умолчанию: NO
passwd_chroot_enable
Если включено, совместно с параметром «chroot_local_user», то расположение клетки chroot() может быть указано, основываясь на каждом пользователе. Клетка каждого пользователя получена из строки с домашним каталогом файла «/etc/passwd». Возникновение /./ в строке домашнего каталога обозначает, что пользователь будет перемещён при авторизации в каталог в этом пути.
По-умолчанию: NO
pasv_addr_resolve
Установите в «YES», если вы хотите использовать hostname (в противоположность IP-адресу) в параметре «pasv_address».
По-умолчанию: NO
pasv_enable
Установите в «NO», если вы хотите запретить метод «PASV» для получения информации о соединении.
По-умолчанию: YES
pasv_promiscuous
Установите в «YES», если вы хотите отключить проверку защиты «PASV», которая гарантирует соединение из того же IP, что и управляющее соединение (иначе говоря, контролирующую подключения с одинаковыми IP-адресами). Включайте этот параметр только если уверены в том что делаете. Правильное использование этого параметра только в некоторых туннельных соединениях, возможно в FXP.
По-умолчанию: NO
port_enable
Установите в «NO», если вы хотите запретить метод «PORT» для получения информации о соединении.
По-умолчанию: YES
port_promiscuous
Установите в «YES», если вы хотите отключить проверку защиты «PORT», которая гарантирует, что данные исходящего соединения могут только соединиться с клиентом. Включайте этот параметр только если уверены в том что делаете!
По-умолчанию: NO
require_cert
Если установлено в YES, то все соединения SSL-клиента обязаны предоставлять клиентский сертификат. Степень проверки допуска по этому сертификату управляется параметром «validate_cert».
По-умолчанию: NO
require_ssl_reuse
Если установлено в YES, то все данные SSL-соединения обязаны показывать повторное использование сеанса SSL (которое доказывает, что соединения знают тот же самый основной секрет как управляющий канал). Хотя это — безопасное значение по умолчанию, оно может не работать со многими FTP-клиентами, таким образом, вам может быть потребуется его отключить.
По-умолчанию: YES
run_as_launching_user
Установите в «YES», если вы хотите, чтобы vsftpd запускался от пользователя, который запустил vsftpd. Это полезно, в случае, если доступ root вам не доступен. ВАЖНОЕ ПРЕДУПРЕЖДЕНИЕ! НЕ включайте этот параметр, если вы полностью не знаете то, что вы делаете, поскольку наивное использование этой опции может создать огромные проблемы в безопасности. Когда эта опция установлена (даже если vsftpd запущен из под root), то vsftpd не сможет использовать технологию chroot для ограничения доступа к файлам. В худшем случае можно использовать параметр «deny_file», установленный в {/*, *..*}, но надёжность этого метода не может сравниться с chroot, и такой метод не должен использоваться. При использовании этого параметра, применяется много ограничений на другие параметры. Например, не будут работать параметры, требующие полномочий, такие как неанонимные логины, изменение владельца загруженных на vsftpd файлов, соединение из 20 порта, и прослушивание портов, менее чем 1024. Остальные параметры работают.
По-умолчанию: NO
secure_email_list_enable
Установите в YES, если вам нужно только задать список электронной почты email, которые используются в качестве паролей для логина «anonymous» при авторизации на ftp. Полезно как способ ограничения содержимого ftp без необходимости в виртуальных пользователях. Когда параметр установлен в «YES», то невозможно авторизоваться на vsftpd под логином «anonymous» и с любым паролем из списка, который находится в файле, указанном в значении параметра «email_password_file». Формат файла — один пароль в каждой отдельной строке, без пробелов. По-умолчанию имя файла — «/etc/vsftpd.email_passwords».
По-умолчанию: NO
session_support
Этот параметр задаёт, будет ли vsftpd поддерживать установленные сессии для логинов. Если vsftpd поддерживает сессии, он будет пробовать обновлять «utmp» и «wtmp». Он, также, откроет «pam_session», если используется PAM для аутентификации и закроет соединение только после отключения. Вы можете выключить эту функцию, если вам не нужно протоколирование соединений и вы хотите дать vsftpd больше возможностей загружаться с меньшим количеством процессов и/или с меньшими привелегиями. Учтите — «utmp» и «wtmp» поддерживаются только в сборке с PAM.
По-умолчанию: NO
setproctitle_enable
Если параметр установлен в «YES», то vsftpd будет пытаться показать информацию о состоянии соединения в списке системных процессов. Другими словами, имя процесса в списке процессов изменится, отражая состояние соединения vsftpd (idle, downloading, и т.д.). Вполне вероятно, вы захотите отключить этот параметр по соображениям безопасности.
По-умолчанию: NO
ssl_enable
Если параметр установлен в «YES», и vsftpd скомпилирован с поддержкой OpenSSL, то vsftpd будет поддерживать безопасные соединения через SSL. Это применяется к управляющим соединениям (включая авторизацию), а так же к соединениям для данных. Вам потребуется клиент с поддержкой SSL. Внимание! Остерегайтесь использования этого параметра. Установливайте этот параметр в «YES» только если это вам действительно нужно. vsftpd не гарантирует безопасности OpenSSL-библиотек. Установливая этот параметр в «YES», вы доверяете безопасности установленных OpenSSL-библиотек.
По-умолчанию: NO
ssl_request_cert
Если параметр установлен в «YES», то vsftpd будет запрашивать (но не требовать в обязательном порядке; смотрите «require_cert») сертификат для входящих SSL-соединений. Обычно это не должно доставлять неприятностей вообще, но у zOS от IBM, кажется, есть проблемы.
По-умолчанию: YES
ssl_sslv2
Применяется только, если параметр «ssl_enable» установлен в «YES». Если этот параметр установлен в «YES», то он разрешает соединения по протоколу SSL v2. Предпочтительнее использовать соединения по TLS v1.
По-умолчанию: NO
ssl_sslv3
Применяется только, если параметр «ssl_enable» установлен в «YES». Если этот параметр установлен в «YES», то он разрешает соединения по протоколу SSL v3. Предпочтительнее использовать соединения по TLS v1.
По-умолчанию: NO
ssl_tlsv1
Применяется только, если параметр «ssl_enable» установлен в «YES». Если этот параметр установлен в «YES», то он разрешает соединения по протоколу TLS v1. Предпочтительнее использовать соединения по TLS v1.
По-умолчанию: YES
strict_ssl_read_eof
Если параметр установлен в «YES», то загружаемые на vsftpd SSL-данные обязаны заканчиваться через SSL, а не через EOF на сокете. Этот параметр обязывает убедиться в том, что атакующий не завершил загрузку на vsftpd преждевременно с поддельным FIN TCP. К сожалению, параметр не установлен по-умолчанию в «YES», потому что в этом разбираются очень немного FTP-клиентов.
По-умолчанию: NO
strict_ssl_write_shutdown
Если параметр установлен в «YES», то скачиваемые с vsftpd SSL-данные обязаны заканчиваться через SSL, а не через EOF на сокете. По-умолчанию параметр установлен в «NO», так как не нашлось ни одного FTP-клиента, который бы это поддерживал. Потребность в использовании этого параметра незначительна. Всё, на что влияет этот параметр, является возможностью сервера удостовериться в том, подтвердил ли FTP-клиент окончание скачанного файла. FTP-клиенты в состоянии проверить целостность скачанных файлов даже без этого параметра.
По-умолчанию: NO
syslog_enable
Если параметр установлен в «YES», то любой лог выводится в системный лог, вместо файла «/var/log/vsftpd.log». Логирование осуществляется средствами FTPD.
По-умолчанию: NO
tcp_wrappers
Если параметр установлен в «YES», и vsftpd был скомпилирован с поддержкой «tcp_wrappers», то входящие соединения пройдут через контроль доступа «tcp_wrappers». Более того, есть механизм для настройки на основе IP. Если «tcp_wrappers» устанавливает переменную окружения «VSFTPD_LOAD_CONF», то vsftpd сессия будет пытаться загрузить файл настроек vsftpd, указанный в этой переменной.
По-умолчанию: NO
text_userdb_names
По-умолчанию, цифровые идентификаторы ID, показываются в полях пользователя и группы при выводе списка содержимого в каталоге. Вы можете получать текстовые имена, установив этот параметр в «YES». По-умолчанию параметр установлен в «NO», исходя из соображений производительности.
По-умолчанию: NO
tilde_user_enable
Если параметр установлен в «YES», то vsftpd будет пытаться определить пути, такие как «~chris/pics», т.е. тильда «~» перед именем пользователя. Учтите, что vsftpd будет всегда определять пути «~» и «~/что-то» (в таком случае тильда «~» определяется как начальный каталог при входе на vsftpd). Учтите, что пути пользователей будут определяться, только если файл «/etc/passwd» будет найден внутри _текущей_ клетки chroot().
По-умолчанию: NO
use_localtime
Если параметр установлен в «YES», то vsftpd будет отображать время в вашей локальной временной зоне в списке содержимого в каталоге. По-умолчанию отображается GMT. Этот параметр может затронуть также время, возвращаемое FTP-командой «MDTM».
По-умолчанию: NO
use_sendfile
Внутреннее значение, используемое для проверки относительной выгоды использования системного вызова sendfile() на вашей платформе.
По-умолчанию: YES
userlist_deny
Этот параметр работает, если параметр «userlist_enable» установлен в «YES». В случае, если вы установили значение параметра «userlist_deny» в «NO», тогда пользователи не смогут авторизоваться на vsftpd, до тех пор, пока они не будут явно указаны в файле, указанном в значении параметра «userlist_file». При запрете входа под определённом логином, запрет на авторизацию в vsftpd будет показан прежде, чем у пользователя vsftpd спросит пароль.
По-умолчанию: YES
userlist_enable
Если параметр установлен в «YES», то vsftpd загрузит список пользователей из файла, указанном в значении параметра «userlist_file». Если пользователь попытается авторизоваться в vsftpd, используя имя из этого файла, то вход будет запрещён прежде, чем у него спросят пароль. Этот параметр может быть полезен для предотвращения передачи пустых паролей. Смотрите также «userlist_deny».
По-умолчанию: NO
validate_cert
Если параметр установлен в «YES», то все полученные SSL-сертификаты от клиентов должны пройти проверку «OK». Самостоятельно подписанные сертификаты не проходят проверку «OK».
По-умолчанию: NO
virtual_use_local_privs
Если параметр установлен в «YES», то виртуальными пользователями будут использоваться те же привелегии, что и локальными пользователями. По-умолчанию, виртуальные пользователи, используют те же привелегии, что и анонимные пользователи, которые обычно гораздо более ограничены (подразумевается разрешение на запись).
По-умолчанию: NO
write_enable
Параметр задаёт, может ли любая FTP-команда делать изменения в файловой системе или нет. Эти команды: «STOR», «DELE», «RNFR», «RNTO», «MKD», «RMD», «APPE» и «SITE».
По-умолчанию: NO
xferlog_enable
Если параметр установлен в «YES», то лог-файл будет содержать детальную информацию о загрузках на vsftpd и закачках с vsftpd. По-умолчанию, этот файл находится в «/var/log/vsftpd.log», но путь к файлу может быть изменён установкой значения параметра «vsftpd_log_file».
По-умолчанию: NO
xferlog_std_format
Если параметр установлен в «YES», то лог-файл будет записан в стандартном формате «xferlog», как используется в «wu-ftpd». Это используется в имеющихся генераторах статистики. Тем не менее, формат по-умолчанию более читаемый. По-умолчанию файл находится в «/var/log/xferlog», но путь к файлу может быть изменён установкой значения параметра «xferlog_file».
По-умолчанию: NO

 

ЧИСЛОВЫЕ ПАРАМЕТРЫ

Ниже следует список числовых параметров. Значение числового параметра не должно быть отрицательным числом. Для удобства настроек «umask» поддерживаются восьмеричные числа. Для указания восьмеричного числа, используйте «0», как первую цифру числа.

accept_timeout
Значение timeout, в секундах, которое отводится удалённому ftp-клиенту для установки соединения при помощи «PASV»
По-умолчанию: 60
anon_max_rate
Максимальная разрешённая скорость передачи данных, в «байтах в секунду», для анонимных пользователей.
По-умолчанию: 0 (неограничено)
anon_umask
Значение «umask», для создания файлов, применяемое к анонимным пользователям. ПРИМЕЧАНИЕ! Если вы хотите указать восьмеричные значения, помните о префиксе «0», иначе значение будет принято как десятеричное число.
По-умолчанию: 077
chown_upload_mode
Права на файл для операции chown() над анонимно загруженными файлами на vsftpd.
По-умолчанию: 0600
connect_timeout
Значение timeout, в секундах, которое отводится удалённому ftp-клиенту для ответа на команду «PORT»
По-умолчанию: 60
data_connection_timeout
Значение timeout, в секундах, которое отводится удалённому ftp-клиенту для приёма данных без прогресса. Если срабатывает событие по timeout, то удалённый клиент сбрасывается.
По-умолчанию: 300
delay_failed_login
Число секунд для паузы перед записью в лог после неуспешной авторизации в vsftpd.
По-умолчанию: 1
delay_successful_login
Число секунд для паузы после успешной авторизации в vsftpd.
По-умолчанию: 0
file_open_mode
Права, с которыми будут создаваться загружаемые на vsftpd файлы. Значения umask преобладают над этим значением. Если потребуется, чтобы загружаемые на vsftpd файлы были исполняемыми, то можно изменить значение этого параметра на «0777».
По-умолчанию: 0666
ftp_data_port
Номер порта, для исходящих соединений типа «PORT» (параметр актуален до тех пор, пока параметр «connect_from_port_20» установлен в «YES»)
По-умолчанию: 20
idle_session_timeout
Значение timeout, в секундах, которое отводится удалённому ftp-клиенту для ввода очередной FTP-команды. Если срабатывает событие по timeout, то удалённый клиент сбрасывается.
По-умолчанию: 300
listen_port
если vsftpd запущен в standalone (автономном) режиме, то этот порт будет слушать входящие FTP-соединения.
По-умолчанию: 21
local_max_rate
Максимальная разрешённая скорость передачи данных, в «байтах в секунду», для локальных аутентифицированных пользователей.
По-умолчанию: 0 (неограничено)
local_umask
Значение «umask», для создания файлов, применяемое к локальным пользователям. ПРИМЕЧАНИЕ! Если вы хотите указать восьмеричные значения, помните о префиксе «0», иначе значение будет принято как десятеричное число.
По-умолчанию: 077
max_clients
Если vsftpd запущен в standalone (автономном) режиме, то этот параметр указывает максимальное количество FTP-клиентов, которое может быть подключено. Любые, дополнительно подключившиеся пользователи, получат сообщение об ошибке.
По-умолчанию: 0 (неограничено)
max_login_fails
После этого числа попыток авторизации, сессия уничтожается.
По-умолчанию: 3
max_per_ip
Если vsftpd запущен в standalone (автономном) режиме, то этот параметр указывает максимальное число FTP-клиентов, которые могут подключиться с одного IP-адреса. Любые, дополнительно подключившиеся пользователи, получат сообщение об ошибке.
По-умолчанию: 0 (неограничено)
pasv_max_port
Максимальное значение порта, для соединения типа «PASV». Может использоваться для указания диапазона портов фаерволу.
По-умолчанию: 0 (используется любой порт)
pasv_min_port
Минимальное значение порта, для соединения типа «PASV». Может использоваться для указания диапазона портов фаерволу.
По-умолчанию: 0 (используется любой порт)
trans_chunk_size
Возможно, и не потребуется менять это значение, но попробуйте установить значение «8192» для более гладкого лимита пропускной способности.
По-умолчанию: 0 (позволить vsftpd подобрать значение)

СТРОКОВЫЕ ПАРАМЕТРЫ

Ниже следует список строковых параметров.

anon_root
Этот параметр указывает каталог, на который vsftpd попытается изменить, после анонимной авторизации на vsftpd. При ошибке, тихо игнорируется.
По-умолчанию: (ничего)
banned_email_file
Параметр содержит имя файла, в котором находится список запрещённых паролей в виде электронных адресов e-mail для логина «anonymous». Этот файл проверяется в случае, если параметр deny_email_enable установлен в «YES».
По-умолчанию: «/etc/vsftpd.banned_emails»
banner_file
Параметр содержит имя файла, в котором содержится текст, который отображается когда кто-то подключился к серверу. Если параметр установлен, то он отменяет параметр «ftpd_banner».
По-умолчанию: (ничего)
ca_certs_file
Параметр содержит имя файла, из которого загружаются сертификаты «Certificate Authority» (CA) для проверки подлинности сертификатов от FTP-клиентов. К сожалению, по-умолчанию путь до файла с SSL-сертификатами CA не используется, так как vsftpd использует ограничения доступа к файлам в различных местах файловой системы (из-за chroot).
По-умолчанию: (ничего)
chown_username
Параметр содержит пользователя, которому принадлежат права на анонимно загруженные на vsftpd файлы. Этот параметр работает только если параметр «chown_uploads» установлен в «YES».
По-умолчанию: root
chroot_list_file
Параметр содержит имя файла, в котором находится список локальных пользователей, которые будут помещаться в их домашний каталог клетки chroot(). Этот параметр работает только если параметр «chroot_list_enable» установлен в «YES». ПРИМЕЧАНИЕ! Если параметр «chroot_local_user» установлен в «YES», то список станет списком пользователей, которые НЕ МОГУТ находиться в клетках chroot().
По-умолчанию: «/etc/vsftpd.chroot_list»
cmds_allowed
Параметр содержит разделённый запятыми список, в котором указаны разрешённые FTP-команды (post login. «USER», «PASS» и «QUIT» всегда разрешены в pre-login). Остальные команды отвергаются. Использование этого параметра является довольно мощным методом закрытия FTP-сервера. Например: cmds_allowed=PASV,RETR,QUIT. Если команда указана также в списке cmds_denied, то запрет имеет больший приоритет.
По-умолчанию: (ничего)
cmds_denied
Параметр содержит разделённый запятыми список, в котором указаны запрещённые FTP-команды (post login. «USER», «PASS» и «QUIT» всегда разрешены в pre-login). Если команда указывается в двух списках — в этом параметре и в «cmds_allowed», то тогда, отказ имеет приоритет.
По-умолчанию: (ничего)
deny_file
Параметр может быть использован для установки шаблона имён файлов (и имён каталогов, и т.д.), к которым нельзя получить доступ. Попадающие под шаблон файлы и каталоги не скрыты, но любое действие с ними (скачивание с vsftpd файла, смена каталога и т.д.) будет запрещено. Параметр достаточно прост и не должен использоваться для серьёзного контроля доступа — предпочтительнее использовать права в файловой системе. Тем не менее, данный параметр может оказаться полезным в некоторых ситуациях с настройкой виртуальных пользователей. Особенно, когда известно, что имя файла может быть доступно под несколькими названиями (возможно из-за символических или жёстких ссылок), то следует быть внимательным с блокировкой доступа ко всем именам. Доступ будет запрещён в случае, если имя файла или каталога будет содержать строку, полученную из «hide_file», указанной в параметре «hide_file» или, если они будут совпадать с регулярным выражением, указанным в параметре «hide_file». Заметьте, что шаблоны регулярных выражений для совпадений в vsftpd — всего лишь простая реализация, которая является подмножеством полнофункциональных регулярных выражений. Из-за этого, вам потребуется аккуратно и как можно более тщательнее проверить любое применение этого параметра. Для любой важной политики безопасности рекомендуется использовать права в файловой системе из-за их большей надёжности. В синтаксисе регулярных выражений поддерживается любое количество операторов «*», «?» и невложенных {,}. Совпадение в регулярных выражениях поддерживает только последний компонент из полного пути до файла, т.н. «a/b/?» — поддерживается, а «a/b/?» — нет. Например: deny_file={*.mp3,*.mov,.private}.
По-умолчанию: (ничего)
dsa_cert_file
Параметр содержит путь в файловой системе до сертификата DSA для использования в шифрованных SSL-соединениях.
По-умолчанию: (ничего — достаточно сертификата RSA)
dsa_private_key_file
Параметр содержит путь в файловой системе до закрытого ключа DSA для использования в шифрованных SSL-соединениях. Если этот параметр не установлен, то подразумевается, что закрытый ключ находится в одном и том же файле, с сертификатом.
По-умолчанию: (ничего)
email_password_file
Параметр может использоваться для указания на альтернативный файл для параметра «secure_email_list_enable».
По-умолчанию: /etc/vsftpd.email_passwords
ftp_username
Имя пользователя, которое будет использоваться для обработки анонимного FTP. Домашний каталог этого пользователя — это корень пространства анонимного FTP.
По-умолчанию: ftp
ftpd_banner
Этот строковой параметр позволяет указать строку, которая будет отображаться в виде приветствия демоном vsftpd, при первом подключении к нему, вместо параметра «banner_file», в котором содержится текст приветствия.
По-умолчанию: (ничего — отображается баннер vsftpd по-умолчанию)
guest_username
Смотрите логический параметр «guest_enable» для описания гостевого логина. Этот параметр — имя настоящего пользователя, которому присваивается гостевой логин.
По-умолчанию: ftp
hide_file
Параметр может быть использован для установки шаблона имён файлов (и имён каталогов, и т.д.), которые должны быть скрыты из просмотра содержимого в каталоге. И, тем не менее, не смотря на то, что они являются скрытыми, они полностью абсолютно доступны для тех, кто знает какие фактические названия (файлов, каталогов) использовать. Файлы и каталоги будут скрыты, если их имена будут содержать строку, полученную из «hide_file», или, если их имена попадают под шаблон регулярного выражения, указанного в «hide_file». Заметьте, что шаблоны регулярных выражений для совпадений в vsftpd — всего лишь простая реализация, которая является подмножеством полнофункциональных регулярных выражений. Для более подробной информации о шаблонах для совпадения в регулярных выражениях смотрите параметр «deny_file». Например: hide_file={*.mp3,.hidden,hide*,h?}.
По-умолчанию: (ничего)
listen_address
Если vsftpd работает в standalone (автономном) режиме, то адрес (из всех локальных интерфейсов) по-умолчанию для прослушивания входящих соединений может быть указан в этом параметре. Указывается в виде числового IP-адреса.
По-умолчанию: (ничего)
listen_address6
Параметр подобен параметру «listen_address», но указывается адрес по-умолчанию для прослушивания входящих IPv6-соединений (которые используются если параметр «listen_ipv6» установлен в «YES»). Указывается в виде стандартного формата IPv6-адреса.
По-умолчанию: (ничего)
local_root
Параметр содержит каталог, в который vsftpd попытается изменить, после локальной (т.е. не анонимной) авторизации на vsftpd. При ошибке, тихо игнорируется.
По-умолчанию: (ничего)
message_file
Параметр указывает на имя файла, который отображается при переходе в новый каталог. Содержимое файла отображается у удалённого пользователя. Параметр будет работать, только если «dirmessage_enable» установлена в «YES».
По-умолчанию: .message
nopriv_user
Имя пользователя, которое используется vsftpd, когда vsftpd хочет быть полностью непривилегированным. Заметьте, что параметр должен содержать скорее имя пользователя, чем «nobody». На большинстве машин пользователь «nobody» не должен использоваться для большинства важных вещей.
По-умолчанию: nobody
pam_service_name
Строка содержит имя сервиса PAM, которым будет пользоваться vsftp.
По-умолчанию: ftp
pasv_address
Параметр содержит IP-адрес, который vsftpd будет выдавать в ответ на команду «PASV». Указывается в виде числового IP-адреса, если параметр «pasv_addr_resolve» не установлен в «YES», и, указанное вместо IP-адреса, имя хоста не сможет быть преобразовано в IP-адрес.
По-умолчанию: (ничего — адрес берётся из сокета входящего соединения)
rsa_cert_file
Параметр содержит путь в файловой системе до сертификата RSA для использования в шифрованных SSL-соединениях.
По-умолчанию: /usr/share/ssl/certs/vsftpd.pem
rsa_private_key_file
Параметр содержит путь в файловой системе до закрытого ключа RSA для использования в шифрованных SSL-соединениях. Если этот параметр не установлен, то подразумевается, что закрытый ключ находится в одном и том же файле, с сертификатом.
По-умолчанию: (ничего)
secure_chroot_dir
Параметр должен содержать имя пустого каталога. Так же этот каталог не должен быть доступен для записи ftp-пользователем. Каталог используется безопасной клеткой chroot() во время, когда vsftpd не требует доступ к файловой системе.
По-умолчанию: /usr/share/empty
ssl_ciphers
Параметр может быть использован для выбора SSL-шифра, который vsftpd будет принимать для защищенных SSL соединений. Для более подробной информации смотрите страницы руководства man ciphers. Ограничение шифром может быть использовано для улучшения безопасности, поскольку это предотвращает удалённые попытки отгадать шифр.
По-умолчанию: DES-CBC3-SHA
user_config_dir
Преобладающий параметр, который позволяет отменить любой параметр, описанный в странице руководства man vsftpd.conf, на пользовательском уровне. Использование простое и лучше всего показывается на примере. Если вы установили значение параметра «user_config_dir» в «/etc/vsftpd_user_conf», и затем зашли как пользователь «chris», то vsftpd применит установки в файле «/etc/vsftpd_user_conf/chris» в течении сессии пользователя chris. Формат файла описан в этом руководстве страниц man. ПОЖАЛУЙСТА ПОМНИТЕ о том, что эффективны не все настройки пользовательского уровня. Например, много настроек только для начала пользовательского соединения. Примеры параметров, которые не будут затрагиваться на пользовательском уровне: «listen_address», «banner_file», «max_per_ip», «max_clients», «xferlog_file», и т.д.
По-умолчанию: (ничего)
user_sub_token
Параметр полезен для взаимодействия с виртуальными пользователями. Параметр используется для автоматического задания домашнего каталога каждому виртуальному пользователю, основываясь на шаблоне. Например, если домашний каталог для настоящего пользователя, задаётся через «guest_username» как «/home/virtual/$USER», а «user_sub_token» установлен в «$USER», то затем как виртуальный пользователь «fred» авторизуется, он попадёт (обычно через chroot()) в каталог «/home/virtual/fred». Этот параметр будет работать, только если «local_root» будет содержать значение «user_sub_token»
По-умолчанию: (ничего)
userlist_file
Параметр содержит путь до файла, который будет считываться если параметр «userlist_enable» установлен в «YES»
По-умолчанию: /etc/vsftpd.user_list
vsftpd_log_file
Параметр содержит имя файла, в который будет записываться лог в стиле vsftpd. Лог будет писаться только если параметр «xferlog_enable» будет установлен в «YES», а параметр «xferlog_std_format» будет установлен в «NO». Либо будет писаться, если параметр «dual_log_enable» установлен в «YES». Одна сложность — если у вас параметр «syslog_enable» установлен в «YES», то в этот файл ничего записываться не будет, а лог попадет в системный лог.
По-умолчанию: /var/log/vsftpd.log
xferlog_file
Параметр содержит имя файла, в который будет записываться лог в стиле wu-ftp. Лог будет писаться только если параметры «xferlog_enable» и «xferlog_std_format» будут установлены в «YES». Либо будет писаться, если установлен параметр «dual_log_enable».
По-умолчанию: /var/log/xferlog
© IT-блог Жаконды All Rights Reserved.
Яндекс.Метрика