Файл конфигурации VSFTPD.CONF
Описание
vsftpd.conf — это конфигурационный файл vsftpd. vsftpd.conf используется для управления различными аспектами поведения vsftpd. vsftpd по-умолчанию ищет этот файл здесь — /etc/vsftpd.conf. Тем не менее, вы можете всегда указать другое местоположение файла, указав параметр-ключ в командной строке для vsftpd. Параметр-ключ в командной строке — это путь файла настроек для vsftpd. Использовать различные файлы настроек полезно, так как вам может потребоваться использовать усовершенствованный демон inetd, например, такой как xinetd, для того, чтобы запустить vsftpd с различными файлами настроек, основываясь на настройках для каждого виртуального хоста.
ЛОГИЧЕСКИЕ ПАРАМЕТРЫ
Ниже следует список логических параметров. Значение для логического параметра может быть установлено в: YES или NO.
- allow_anon_ssl
- Применяется только если «ssl_enable» — включено. Если установлено в YES, то анонимным пользователям разрешено использовать защищённые SSL-соединения.
По-умолчанию: NO - allow_writeable_chroot
- Если установлено в YES, то разрешается запись в домашнем каталоге локальным пользователям.
По-умолчанию: NO - anon_mkdir_write_enable
- Если установлено в YES, то анонимным пользователям разрешено создавать новые каталоги при определённых условиях. Для того, чтобы это работало, должен быть включён параметр «write_enable», и у анонимного FTP-пользователя («anonymous») должны быть права на запись в родительском каталоге.
По-умолчанию: NO - anon_other_write_enable
- Если установлено в YES, то анонимным пользователям разрешено выполнять операции записи, такие как удаление или переименование, не затрагивая операции загрузки на vsftpd и операции создания каталога. Обычно это не рекомендуется, но для полноты действий разрешается изменить значение.
По-умолчанию: NO - anon_upload_enable
- Если установлено в YES, то анонимным пользователям разрешено загружать файлы на vsftpd при определённых условиях. Для того, чтобы это работало, должен быть включён параметр write_enable, и у анонимного FTP-пользователя («anonymous») должны быть права на запись в каталог, который будет использоваться для загрузки. Этот параметр также требуется для загрузки на vsftpd от виртуальных пользователей; по-умолчанию виртуальные пользователи обрабатываются с правами логина «anonymous» (то есть, максимально ограничеными).
По-умолчанию: NO - anon_world_readable_only
- Когда включено, то анонимным пользователям разрешено только скачивать с vsftpd файлы, на которые установлены права для чтения для всех. Когда параметр включён, vsftpd распознаёт принадлежность прав на файлы ftp-пользователям, особенно в каталоге загрузок на ftp через vsftpd.
По-умолчанию: YES - anonymous_enable
- Контролирует, разрешить анонимный вход под логином «anonymous» или нет? Если включено, то в таком случае, и логин «ftp», и логин «anonymous» — будут распознаваться как логин «anonymous».
По-умолчанию: YES - ascii_download_enable
- Когда включено, при закачках с vsftpd будет соблюдаться режим передачи данных ASCII.
По-умолчанию: NO - ascii_upload_enable
- Когда включено, при загрузках на vsftpd будет соблюдаться режим передачи данных ASCII.
По-умолчанию: NO - async_abor_enable
- Когда включено, то будет включена специальная FTP-команда, известная как «async ABOR». Эту функциональную возможность используют только плохо осведомлённые FTP-клиенты. К тому же эта функциональная возможность неуклюжа при обработке, поэтому она по-умолчанию отключена. К сожалению, некоторые FTP-клиенты зависнут когда прерывается передача данных в случае, если эта функция будет не доступна, поэтому, при желании, вы можете её включить.
По-умолчанию: NO - background
- Когда включено, и vsftpd запущен в режиме «listen», то vsftpd будет фонить в background слушающий процесс. т.е. управление будет немедленно возвращено в оболочку shell, которая запустила vsftpd.
По-умолчанию: NO - check_shell
- Примечание! Эта опция будет работать только на сборках vsftpd без PAM (non-PAM). Если отключено, vsftpd не будет проверять «/etc/shells» на валидность пользовательской оболочки shell для локальных логинов.
По-умолчанию: YES - chmod_enable
- Когда включено, разрешает использование команды «SITE CHMOD». ПРИМЕЧАНИЕ! Применяется только к локальным пользователям. Анонимные пользователи («anonymous») никогда не получат возможность использовать «SITE CHMOD».
По-умолчанию: YES - chown_uploads
- Если включено, то все загруженные файлы на vsftpd от анонимных пользователей («anonymous») будут принадлежать владельцу — пользователю, указанному в параметре «chown_username». Это полезно с точек зрения администрирования, и, возможно, безопасности.
По-умолчанию: NO - chroot_list_enable
- Если включено, то вы можете предоставить список локальных пользователей, которые после авторизации будут размещены в клетке chroot(), в своих домашних каталогах. Значение немного будет отличаться, если параметр «chroot_local_user» установлен в «YES». В этом случае, список становится списком пользователей, которые НЕ БУДУТ размещены в клетке chroot(). По-умолчанию, этот список содержится в файле «/etc/vsftpd.chroot_list», но вы можете указать другой файл, изменив местоположение в значении параметра «chroot_list_file».
По-умолчанию: NO - chroot_local_user
- Если установлено в YES, то локальные пользователи после авторизации будут (по-умолчанию) размещены в клетке chroot(), в свои домашние каталоги. Предупреждение: этот параметр подразумевает улучшение в безопасности, особенно по отношению к пользователям, которые имеют разрешение на загрузку на vsftpd, или доступ к shell. Включайте только если вы знаете что вы делаете. Заметьте, что эти улучшения в безопасности не зависят от vsftpd. Они применяются ко всем демонам FTP, которые предлагают помещать локальных пользователей в клетки chroot().
По-умолчанию: NO - connect_from_port_20
- Включение этого параметра указывает исходящим с сервера соединениям использовать 20 порт (ftp-data). По соображением безопасности, некоторые клиенты могут настаивать на таком случае (чтобы параметр был установлен в YES). Наоборот, отключение этого параметра позволяет vsftpd запускаться с меньшими привилегиями.
По-умолчанию: NO (но демонстрационный файл настроек содержит YES) - debug_ssl
- Если истина, то для диагностики OpenSSL-соединения будет сбрасываться дамп в файл журнала vsftpd.
По-умолчанию: NO - delete_failed_uploads
- Если истина, любые неудачно загруженные файлы на vsftpd будут удалены.
По-умолчанию: NO - deny_email_enable
- Если включено, вы можете предоставить список электронной почты email, которые используются в качестве пароля для логина «anonymous» при авторизации на ftp. Этот список будет запрещать вход на ftp для логина «anonymous» под определённым паролем, со значением электронной почты email из этого списка. По-умолчанию, файл, содержащий этот список — это «/etc/vsftpd.banned_emails», но вы можете указать другой файл в значении параметра «banned_email_file».
По-умолчанию: NO - dirlist_enable
- Если установлено в NO, то все команды для просмотра содержимого текущего каталога («ls», «dir») выдадут «permission denied».
По-умолчанию: YES - dirmessage_enable
- Если включено, то пользователям FTP-сервера можно показывать сообщения, когда они переходят в каталог. По-умолчанию каталог сканируется на наличие файла «.message», но вы можете указать другой файл, изменив расположение в значении параметра «message_file».
По-умолчанию: NO (но демонстрационный файл настроек содержит YES) - download_enable
- Если установлено в NO, то все запросы на закачку с vsftpd выдадут «permission denied».
По-умолчанию: YES - dual_log_enable
- Если включено, то параллельно генерируются два файла журнала, путь которых по-умолчанию в «/var/log/xferlog» и в «/var/log/vsftpd.log» соответственно. Первый из них — это старый формат журнала для ftp-передач в стиле wu-ftpd, который можно парсить стандартными утилитами. Последний из них — это собственный формат журнала в стиле vsftpd.
По-умолчанию: NO - force_dot_files
- Если включено, то файлы и каталоги, начинающиеся с символа точки «.» будут показаны в списке файлов каталога, даже если флаг «a» не использовался ftp-клиентом. Этот параметр не затрагивает каталоги «.» и «..».
По-умолчанию: NO - force_anon_data_ssl
- Применяется только если включён «ssl_enable». Если включено, то все клиенты под логином «anonymous» вынуждены будет использовать безопасное соединение SSL для того, чтобы записать или получить данные из соединения.
По-умолчанию: NO - force_anon_logins_ssl
- Применяется только если включён «ssl_enable». Если включено, то все клиенты под логином «anonymous» будут вынуждены использовать безопасное соединение SSL для того, чтобы отправить пароль (в виде электронной почты email).
По-умолчанию: NO - force_local_data_ssl
- Применяется только если включён «ssl_enable». Если включено, то все клиенты НЕ под логином «anonymous» вынуждены использовать безопасное соединение SSL для того, чтобы записать или получить данные из соединения.
По-умолчанию: YES - force_local_logins_ssl
- Применяется только если включён «ssl_enable». Если включено, то все клиенты НЕ под логином «anonymous» будут вынуждены использовать безопасное соединение SSL для того, чтобы отправить пароль (в виде электронной почты email).
По-умолчанию: YES - guest_enable
- Если включено, то все клиенты НЕ под логином «anonymous» будут распознаваться под логином «guest» (гостевой логин). Логин «guest» заносится в определённый пользовательский логин, который указан в значении параметра «guest_username».
По-умолчанию: NO - hide_ids
- Если включено, то вся информация о пользователе (владельце) и о группе (владельце) в списке содержимого каталога будет заменена на «ftp».
По-умолчанию: NO - implicit_ssl
- Если включено, то рукопожатие (начало протокола) SSL — это первое что ожидает клиентов на всех соединениях (протокол FTPS). Для того, чтобы поддерживать SSL явно и/или также обычный текст (plaint text), должен быть запущен отдельный слушающий процесс демона vsftpd.
По-умолчанию: NO - listen
- Если включено, то демон vsftpd будет работать в «standalone» (автономном) режиме. Это означает, что vsftpd не должен запускаться от inetd. Вместо этого, vsftpd запускается отдельно от inetd, напрямую. vsftpd будет самостоятельно слушать и обрабатывать входящие соединения.
По-умолчанию: YES - listen_ipv6
- Наподобие параметра «listen», но кроме того vsftpd будет слушать на IPv6-сокете вместо IPv4. Этот параметр и параметр «listen» являются взаимоисключающими.
По-умолчанию: NO - local_enable
- Разрешить анонимный вход под локальными логинами или нет? Если включено, то для авторизации могут использоваться обычные нормальные учётные записи пользователей из «/etc/passwd» (или оттуда, куда ссылается ваша настройка PAM). Это должно быть включено для того, чтобы работал любой НЕ «anonymous» логин, включая и виртуальных пользователей.
По-умолчанию: NO - lock_upload_files
- Когда включено, то все не до конца загруженные на vsftpd файлы блокируются (лочатся) от записи, блокировка снимается после того как они загрузятся на vsftpd. Все не до конца закачанные с vsftpd файлы лочатся от чтения (совместное чтение файла невозможно). ПРЕДУПРЕЖДЕНИЕ! Прежде, чем включить этот параметр, необходимо учитывать то, что недобросовестные пользователи, читающие (залоченный в будущем) файл могут перекрыть доступ пользователям, записывающим в один и тот же (уже залоченный) файл, которые, например, добавляют данные в (залоченный) файл.
По-умолчанию: YES - log_ftp_protocol
- Когда включено, то все запросы и ответы по FTP регистрируются, предоставляя возможность не включать параметр «xferlog_std_format». Полезен для отладки.
По-умолчанию: NO - ls_recurse_enable
- Когда включено, то этот параметр разрешит использовать «ls-R». Является незначительной угрозой безопасности, так как «ls-R» на верхнем уровне большого сайта может занять много ресурсов.
По-умолчанию: NO - mdtm_write
- Когда включено, то этот параметр разрешит MDTM устанавливать время изменения файла (тема на обычную проверку прав доступа).
По-умолчанию: YES - no_anon_password
- Когда включено, то vsftpd не будет просить пароль (в виде электронной почты email) от логина «anonymous» — пользователи под логином «anonymous» будут авторизовываться сразу без ввода пароля.
По-умолчанию: NO - no_log_lock
- Когда включено, то vsftpd не будет лочить файл при записи в файл журнала. Этот параметр обычно не должен быть включён. Параметр существует как обходное решение для ошибок операционной системы, такой как Solaris / Veritas, комбинация файловой системы которых, при наблюдении, иногда показывала, что подвешивается при попытке заблокировать файлы журнала.
По-умолчанию: NO - one_process_model
- Если у вас ядро Linux 2.4, возможно использование различных моделей безопасности, так включение этой опции позволяет использовать только один процесс на одно пользовательское подключение. Эта функциональная возможность является менее чистой моделью безопасности, но даёт производительность. Вам не нужно включать этот параметр, если вы точно не уверены что делаете, и сайт не поддерживает большое количество одновременно подключённых пользователей.
По-умолчанию: NO - passwd_chroot_enable
- Если включено, совместно с параметром «chroot_local_user», то расположение клетки chroot() может быть указано, основываясь на каждом пользователе. Клетка каждого пользователя получена из строки с домашним каталогом файла «/etc/passwd». Возникновение /./ в строке домашнего каталога обозначает, что пользователь будет перемещён при авторизации в каталог в этом пути.
По-умолчанию: NO - pasv_addr_resolve
- Установите в «YES», если вы хотите использовать hostname (в противоположность IP-адресу) в параметре «pasv_address».
По-умолчанию: NO - pasv_enable
- Установите в «NO», если вы хотите запретить метод «PASV» для получения информации о соединении.
По-умолчанию: YES - pasv_promiscuous
- Установите в «YES», если вы хотите отключить проверку защиты «PASV», которая гарантирует соединение из того же IP, что и управляющее соединение (иначе говоря, контролирующую подключения с одинаковыми IP-адресами). Включайте этот параметр только если уверены в том что делаете. Правильное использование этого параметра только в некоторых туннельных соединениях, возможно в FXP.
По-умолчанию: NO - port_enable
- Установите в «NO», если вы хотите запретить метод «PORT» для получения информации о соединении.
По-умолчанию: YES - port_promiscuous
- Установите в «YES», если вы хотите отключить проверку защиты «PORT», которая гарантирует, что данные исходящего соединения могут только соединиться с клиентом. Включайте этот параметр только если уверены в том что делаете!
По-умолчанию: NO - require_cert
- Если установлено в YES, то все соединения SSL-клиента обязаны предоставлять клиентский сертификат. Степень проверки допуска по этому сертификату управляется параметром «validate_cert».
По-умолчанию: NO - require_ssl_reuse
- Если установлено в YES, то все данные SSL-соединения обязаны показывать повторное использование сеанса SSL (которое доказывает, что соединения знают тот же самый основной секрет как управляющий канал). Хотя это — безопасное значение по умолчанию, оно может не работать со многими FTP-клиентами, таким образом, вам может быть потребуется его отключить.
По-умолчанию: YES - run_as_launching_user
- Установите в «YES», если вы хотите, чтобы vsftpd запускался от пользователя, который запустил vsftpd. Это полезно, в случае, если доступ root вам не доступен. ВАЖНОЕ ПРЕДУПРЕЖДЕНИЕ! НЕ включайте этот параметр, если вы полностью не знаете то, что вы делаете, поскольку наивное использование этой опции может создать огромные проблемы в безопасности. Когда эта опция установлена (даже если vsftpd запущен из под root), то vsftpd не сможет использовать технологию chroot для ограничения доступа к файлам. В худшем случае можно использовать параметр «deny_file», установленный в {/*, *..*}, но надёжность этого метода не может сравниться с chroot, и такой метод не должен использоваться. При использовании этого параметра, применяется много ограничений на другие параметры. Например, не будут работать параметры, требующие полномочий, такие как неанонимные логины, изменение владельца загруженных на vsftpd файлов, соединение из 20 порта, и прослушивание портов, менее чем 1024. Остальные параметры работают.
По-умолчанию: NO - secure_email_list_enable
- Установите в YES, если вам нужно только задать список электронной почты email, которые используются в качестве паролей для логина «anonymous» при авторизации на ftp. Полезно как способ ограничения содержимого ftp без необходимости в виртуальных пользователях. Когда параметр установлен в «YES», то невозможно авторизоваться на vsftpd под логином «anonymous» и с любым паролем из списка, который находится в файле, указанном в значении параметра «email_password_file». Формат файла — один пароль в каждой отдельной строке, без пробелов. По-умолчанию имя файла — «/etc/vsftpd.email_passwords».
По-умолчанию: NO - session_support
- Этот параметр задаёт, будет ли vsftpd поддерживать установленные сессии для логинов. Если vsftpd поддерживает сессии, он будет пробовать обновлять «utmp» и «wtmp». Он, также, откроет «pam_session», если используется PAM для аутентификации и закроет соединение только после отключения. Вы можете выключить эту функцию, если вам не нужно протоколирование соединений и вы хотите дать vsftpd больше возможностей загружаться с меньшим количеством процессов и/или с меньшими привелегиями. Учтите — «utmp» и «wtmp» поддерживаются только в сборке с PAM.
По-умолчанию: NO - setproctitle_enable
- Если параметр установлен в «YES», то vsftpd будет пытаться показать информацию о состоянии соединения в списке системных процессов. Другими словами, имя процесса в списке процессов изменится, отражая состояние соединения vsftpd (idle, downloading, и т.д.). Вполне вероятно, вы захотите отключить этот параметр по соображениям безопасности.
По-умолчанию: NO - ssl_enable
- Если параметр установлен в «YES», и vsftpd скомпилирован с поддержкой OpenSSL, то vsftpd будет поддерживать безопасные соединения через SSL. Это применяется к управляющим соединениям (включая авторизацию), а так же к соединениям для данных. Вам потребуется клиент с поддержкой SSL. Внимание! Остерегайтесь использования этого параметра. Установливайте этот параметр в «YES» только если это вам действительно нужно. vsftpd не гарантирует безопасности OpenSSL-библиотек. Установливая этот параметр в «YES», вы доверяете безопасности установленных OpenSSL-библиотек.
По-умолчанию: NO - ssl_request_cert
- Если параметр установлен в «YES», то vsftpd будет запрашивать (но не требовать в обязательном порядке; смотрите «require_cert») сертификат для входящих SSL-соединений. Обычно это не должно доставлять неприятностей вообще, но у zOS от IBM, кажется, есть проблемы.
По-умолчанию: YES - ssl_sslv2
- Применяется только, если параметр «ssl_enable» установлен в «YES». Если этот параметр установлен в «YES», то он разрешает соединения по протоколу SSL v2. Предпочтительнее использовать соединения по TLS v1.
По-умолчанию: NO - ssl_sslv3
- Применяется только, если параметр «ssl_enable» установлен в «YES». Если этот параметр установлен в «YES», то он разрешает соединения по протоколу SSL v3. Предпочтительнее использовать соединения по TLS v1.
По-умолчанию: NO - ssl_tlsv1
- Применяется только, если параметр «ssl_enable» установлен в «YES». Если этот параметр установлен в «YES», то он разрешает соединения по протоколу TLS v1. Предпочтительнее использовать соединения по TLS v1.
По-умолчанию: YES - strict_ssl_read_eof
- Если параметр установлен в «YES», то загружаемые на vsftpd SSL-данные обязаны заканчиваться через SSL, а не через EOF на сокете. Этот параметр обязывает убедиться в том, что атакующий не завершил загрузку на vsftpd преждевременно с поддельным FIN TCP. К сожалению, параметр не установлен по-умолчанию в «YES», потому что в этом разбираются очень немного FTP-клиентов.
По-умолчанию: NO - strict_ssl_write_shutdown
- Если параметр установлен в «YES», то скачиваемые с vsftpd SSL-данные обязаны заканчиваться через SSL, а не через EOF на сокете. По-умолчанию параметр установлен в «NO», так как не нашлось ни одного FTP-клиента, который бы это поддерживал. Потребность в использовании этого параметра незначительна. Всё, на что влияет этот параметр, является возможностью сервера удостовериться в том, подтвердил ли FTP-клиент окончание скачанного файла. FTP-клиенты в состоянии проверить целостность скачанных файлов даже без этого параметра.
По-умолчанию: NO - syslog_enable
- Если параметр установлен в «YES», то любой лог выводится в системный лог, вместо файла «/var/log/vsftpd.log». Логирование осуществляется средствами FTPD.
По-умолчанию: NO - tcp_wrappers
- Если параметр установлен в «YES», и vsftpd был скомпилирован с поддержкой «tcp_wrappers», то входящие соединения пройдут через контроль доступа «tcp_wrappers». Более того, есть механизм для настройки на основе IP. Если «tcp_wrappers» устанавливает переменную окружения «VSFTPD_LOAD_CONF», то vsftpd сессия будет пытаться загрузить файл настроек vsftpd, указанный в этой переменной.
По-умолчанию: NO - text_userdb_names
- По-умолчанию, цифровые идентификаторы ID, показываются в полях пользователя и группы при выводе списка содержимого в каталоге. Вы можете получать текстовые имена, установив этот параметр в «YES». По-умолчанию параметр установлен в «NO», исходя из соображений производительности.
По-умолчанию: NO - tilde_user_enable
- Если параметр установлен в «YES», то vsftpd будет пытаться определить пути, такие как «~chris/pics», т.е. тильда «~» перед именем пользователя. Учтите, что vsftpd будет всегда определять пути «~» и «~/что-то» (в таком случае тильда «~» определяется как начальный каталог при входе на vsftpd). Учтите, что пути пользователей будут определяться, только если файл «/etc/passwd» будет найден внутри _текущей_ клетки chroot().
По-умолчанию: NO - use_localtime
- Если параметр установлен в «YES», то vsftpd будет отображать время в вашей локальной временной зоне в списке содержимого в каталоге. По-умолчанию отображается GMT. Этот параметр может затронуть также время, возвращаемое FTP-командой «MDTM».
По-умолчанию: NO - use_sendfile
- Внутреннее значение, используемое для проверки относительной выгоды использования системного вызова sendfile() на вашей платформе.
По-умолчанию: YES - userlist_deny
- Этот параметр работает, если параметр «userlist_enable» установлен в «YES». В случае, если вы установили значение параметра «userlist_deny» в «NO», тогда пользователи не смогут авторизоваться на vsftpd, до тех пор, пока они не будут явно указаны в файле, указанном в значении параметра «userlist_file». При запрете входа под определённом логином, запрет на авторизацию в vsftpd будет показан прежде, чем у пользователя vsftpd спросит пароль.
По-умолчанию: YES - userlist_enable
- Если параметр установлен в «YES», то vsftpd загрузит список пользователей из файла, указанном в значении параметра «userlist_file». Если пользователь попытается авторизоваться в vsftpd, используя имя из этого файла, то вход будет запрещён прежде, чем у него спросят пароль. Этот параметр может быть полезен для предотвращения передачи пустых паролей. Смотрите также «userlist_deny».
По-умолчанию: NO - validate_cert
- Если параметр установлен в «YES», то все полученные SSL-сертификаты от клиентов должны пройти проверку «OK». Самостоятельно подписанные сертификаты не проходят проверку «OK».
По-умолчанию: NO - virtual_use_local_privs
- Если параметр установлен в «YES», то виртуальными пользователями будут использоваться те же привелегии, что и локальными пользователями. По-умолчанию, виртуальные пользователи, используют те же привелегии, что и анонимные пользователи, которые обычно гораздо более ограничены (подразумевается разрешение на запись).
По-умолчанию: NO - write_enable
- Параметр задаёт, может ли любая FTP-команда делать изменения в файловой системе или нет. Эти команды: «STOR», «DELE», «RNFR», «RNTO», «MKD», «RMD», «APPE» и «SITE».
По-умолчанию: NO - xferlog_enable
- Если параметр установлен в «YES», то лог-файл будет содержать детальную информацию о загрузках на vsftpd и закачках с vsftpd. По-умолчанию, этот файл находится в «/var/log/vsftpd.log», но путь к файлу может быть изменён установкой значения параметра «vsftpd_log_file».
По-умолчанию: NO - xferlog_std_format
- Если параметр установлен в «YES», то лог-файл будет записан в стандартном формате «xferlog», как используется в «wu-ftpd». Это используется в имеющихся генераторах статистики. Тем не менее, формат по-умолчанию более читаемый. По-умолчанию файл находится в «/var/log/xferlog», но путь к файлу может быть изменён установкой значения параметра «xferlog_file».
По-умолчанию: NO
ЧИСЛОВЫЕ ПАРАМЕТРЫ
Ниже следует список числовых параметров. Значение числового параметра не должно быть отрицательным числом. Для удобства настроек «umask» поддерживаются восьмеричные числа. Для указания восьмеричного числа, используйте «0», как первую цифру числа.
- accept_timeout
- Значение timeout, в секундах, которое отводится удалённому ftp-клиенту для установки соединения при помощи «PASV»
По-умолчанию: 60 - anon_max_rate
- Максимальная разрешённая скорость передачи данных, в «байтах в секунду», для анонимных пользователей.
По-умолчанию: 0 (неограничено) - anon_umask
- Значение «umask», для создания файлов, применяемое к анонимным пользователям. ПРИМЕЧАНИЕ! Если вы хотите указать восьмеричные значения, помните о префиксе «0», иначе значение будет принято как десятеричное число.
По-умолчанию: 077 - chown_upload_mode
- Права на файл для операции chown() над анонимно загруженными файлами на vsftpd.
По-умолчанию: 0600 - connect_timeout
- Значение timeout, в секундах, которое отводится удалённому ftp-клиенту для ответа на команду «PORT»
По-умолчанию: 60 - data_connection_timeout
- Значение timeout, в секундах, которое отводится удалённому ftp-клиенту для приёма данных без прогресса. Если срабатывает событие по timeout, то удалённый клиент сбрасывается.
По-умолчанию: 300 - delay_failed_login
- Число секунд для паузы перед записью в лог после неуспешной авторизации в vsftpd.
По-умолчанию: 1 - delay_successful_login
- Число секунд для паузы после успешной авторизации в vsftpd.
По-умолчанию: 0 - file_open_mode
- Права, с которыми будут создаваться загружаемые на vsftpd файлы. Значения umask преобладают над этим значением. Если потребуется, чтобы загружаемые на vsftpd файлы были исполняемыми, то можно изменить значение этого параметра на «0777».
По-умолчанию: 0666 - ftp_data_port
- Номер порта, для исходящих соединений типа «PORT» (параметр актуален до тех пор, пока параметр «connect_from_port_20» установлен в «YES»)
По-умолчанию: 20 - idle_session_timeout
- Значение timeout, в секундах, которое отводится удалённому ftp-клиенту для ввода очередной FTP-команды. Если срабатывает событие по timeout, то удалённый клиент сбрасывается.
По-умолчанию: 300 - listen_port
- если vsftpd запущен в standalone (автономном) режиме, то этот порт будет слушать входящие FTP-соединения.
По-умолчанию: 21 - local_max_rate
- Максимальная разрешённая скорость передачи данных, в «байтах в секунду», для локальных аутентифицированных пользователей.
По-умолчанию: 0 (неограничено) - local_umask
- Значение «umask», для создания файлов, применяемое к локальным пользователям. ПРИМЕЧАНИЕ! Если вы хотите указать восьмеричные значения, помните о префиксе «0», иначе значение будет принято как десятеричное число.
По-умолчанию: 077 - max_clients
- Если vsftpd запущен в standalone (автономном) режиме, то этот параметр указывает максимальное количество FTP-клиентов, которое может быть подключено. Любые, дополнительно подключившиеся пользователи, получат сообщение об ошибке.
По-умолчанию: 0 (неограничено) - max_login_fails
- После этого числа попыток авторизации, сессия уничтожается.
По-умолчанию: 3 - max_per_ip
- Если vsftpd запущен в standalone (автономном) режиме, то этот параметр указывает максимальное число FTP-клиентов, которые могут подключиться с одного IP-адреса. Любые, дополнительно подключившиеся пользователи, получат сообщение об ошибке.
По-умолчанию: 0 (неограничено) - pasv_max_port
- Максимальное значение порта, для соединения типа «PASV». Может использоваться для указания диапазона портов фаерволу.
По-умолчанию: 0 (используется любой порт) - pasv_min_port
- Минимальное значение порта, для соединения типа «PASV». Может использоваться для указания диапазона портов фаерволу.
По-умолчанию: 0 (используется любой порт) - trans_chunk_size
- Возможно, и не потребуется менять это значение, но попробуйте установить значение «8192» для более гладкого лимита пропускной способности.
По-умолчанию: 0 (позволить vsftpd подобрать значение)
СТРОКОВЫЕ ПАРАМЕТРЫ
Ниже следует список строковых параметров.
- anon_root
- Этот параметр указывает каталог, на который vsftpd попытается изменить, после анонимной авторизации на vsftpd. При ошибке, тихо игнорируется.
По-умолчанию: (ничего) - banned_email_file
- Параметр содержит имя файла, в котором находится список запрещённых паролей в виде электронных адресов e-mail для логина «anonymous». Этот файл проверяется в случае, если параметр deny_email_enable установлен в «YES».
По-умолчанию: «/etc/vsftpd.banned_emails» - banner_file
- Параметр содержит имя файла, в котором содержится текст, который отображается когда кто-то подключился к серверу. Если параметр установлен, то он отменяет параметр «ftpd_banner».
По-умолчанию: (ничего) - ca_certs_file
- Параметр содержит имя файла, из которого загружаются сертификаты «Certificate Authority» (CA) для проверки подлинности сертификатов от FTP-клиентов. К сожалению, по-умолчанию путь до файла с SSL-сертификатами CA не используется, так как vsftpd использует ограничения доступа к файлам в различных местах файловой системы (из-за chroot).
По-умолчанию: (ничего) - chown_username
- Параметр содержит пользователя, которому принадлежат права на анонимно загруженные на vsftpd файлы. Этот параметр работает только если параметр «chown_uploads» установлен в «YES».
По-умолчанию: root - chroot_list_file
- Параметр содержит имя файла, в котором находится список локальных пользователей, которые будут помещаться в их домашний каталог клетки chroot(). Этот параметр работает только если параметр «chroot_list_enable» установлен в «YES». ПРИМЕЧАНИЕ! Если параметр «chroot_local_user» установлен в «YES», то список станет списком пользователей, которые НЕ МОГУТ находиться в клетках chroot().
По-умолчанию: «/etc/vsftpd.chroot_list» - cmds_allowed
- Параметр содержит разделённый запятыми список, в котором указаны разрешённые FTP-команды (post login. «USER», «PASS» и «QUIT» всегда разрешены в pre-login). Остальные команды отвергаются. Использование этого параметра является довольно мощным методом закрытия FTP-сервера. Например: cmds_allowed=PASV,RETR,QUIT. Если команда указана также в списке cmds_denied, то запрет имеет больший приоритет.
По-умолчанию: (ничего) - cmds_denied
- Параметр содержит разделённый запятыми список, в котором указаны запрещённые FTP-команды (post login. «USER», «PASS» и «QUIT» всегда разрешены в pre-login). Если команда указывается в двух списках — в этом параметре и в «cmds_allowed», то тогда, отказ имеет приоритет.
По-умолчанию: (ничего) - deny_file
- Параметр может быть использован для установки шаблона имён файлов (и имён каталогов, и т.д.), к которым нельзя получить доступ. Попадающие под шаблон файлы и каталоги не скрыты, но любое действие с ними (скачивание с vsftpd файла, смена каталога и т.д.) будет запрещено. Параметр достаточно прост и не должен использоваться для серьёзного контроля доступа — предпочтительнее использовать права в файловой системе. Тем не менее, данный параметр может оказаться полезным в некоторых ситуациях с настройкой виртуальных пользователей. Особенно, когда известно, что имя файла может быть доступно под несколькими названиями (возможно из-за символических или жёстких ссылок), то следует быть внимательным с блокировкой доступа ко всем именам. Доступ будет запрещён в случае, если имя файла или каталога будет содержать строку, полученную из «hide_file», указанной в параметре «hide_file» или, если они будут совпадать с регулярным выражением, указанным в параметре «hide_file». Заметьте, что шаблоны регулярных выражений для совпадений в vsftpd — всего лишь простая реализация, которая является подмножеством полнофункциональных регулярных выражений. Из-за этого, вам потребуется аккуратно и как можно более тщательнее проверить любое применение этого параметра. Для любой важной политики безопасности рекомендуется использовать права в файловой системе из-за их большей надёжности. В синтаксисе регулярных выражений поддерживается любое количество операторов «*», «?» и невложенных {,}. Совпадение в регулярных выражениях поддерживает только последний компонент из полного пути до файла, т.н. «a/b/?» — поддерживается, а «a/b/?» — нет. Например: deny_file={*.mp3,*.mov,.private}.
По-умолчанию: (ничего) - dsa_cert_file
- Параметр содержит путь в файловой системе до сертификата DSA для использования в шифрованных SSL-соединениях.
По-умолчанию: (ничего — достаточно сертификата RSA) - dsa_private_key_file
- Параметр содержит путь в файловой системе до закрытого ключа DSA для использования в шифрованных SSL-соединениях. Если этот параметр не установлен, то подразумевается, что закрытый ключ находится в одном и том же файле, с сертификатом.
По-умолчанию: (ничего) - email_password_file
- Параметр может использоваться для указания на альтернативный файл для параметра «secure_email_list_enable».
По-умолчанию: /etc/vsftpd.email_passwords - ftp_username
- Имя пользователя, которое будет использоваться для обработки анонимного FTP. Домашний каталог этого пользователя — это корень пространства анонимного FTP.
По-умолчанию: ftp - ftpd_banner
- Этот строковой параметр позволяет указать строку, которая будет отображаться в виде приветствия демоном vsftpd, при первом подключении к нему, вместо параметра «banner_file», в котором содержится текст приветствия.
По-умолчанию: (ничего — отображается баннер vsftpd по-умолчанию) - guest_username
- Смотрите логический параметр «guest_enable» для описания гостевого логина. Этот параметр — имя настоящего пользователя, которому присваивается гостевой логин.
По-умолчанию: ftp - hide_file
- Параметр может быть использован для установки шаблона имён файлов (и имён каталогов, и т.д.), которые должны быть скрыты из просмотра содержимого в каталоге. И, тем не менее, не смотря на то, что они являются скрытыми, они полностью абсолютно доступны для тех, кто знает какие фактические названия (файлов, каталогов) использовать. Файлы и каталоги будут скрыты, если их имена будут содержать строку, полученную из «hide_file», или, если их имена попадают под шаблон регулярного выражения, указанного в «hide_file». Заметьте, что шаблоны регулярных выражений для совпадений в vsftpd — всего лишь простая реализация, которая является подмножеством полнофункциональных регулярных выражений. Для более подробной информации о шаблонах для совпадения в регулярных выражениях смотрите параметр «deny_file». Например: hide_file={*.mp3,.hidden,hide*,h?}.
По-умолчанию: (ничего) - listen_address
- Если vsftpd работает в standalone (автономном) режиме, то адрес (из всех локальных интерфейсов) по-умолчанию для прослушивания входящих соединений может быть указан в этом параметре. Указывается в виде числового IP-адреса.
По-умолчанию: (ничего) - listen_address6
- Параметр подобен параметру «listen_address», но указывается адрес по-умолчанию для прослушивания входящих IPv6-соединений (которые используются если параметр «listen_ipv6» установлен в «YES»). Указывается в виде стандартного формата IPv6-адреса.
По-умолчанию: (ничего) - local_root
- Параметр содержит каталог, в который vsftpd попытается изменить, после локальной (т.е. не анонимной) авторизации на vsftpd. При ошибке, тихо игнорируется.
По-умолчанию: (ничего) - message_file
- Параметр указывает на имя файла, который отображается при переходе в новый каталог. Содержимое файла отображается у удалённого пользователя. Параметр будет работать, только если «dirmessage_enable» установлена в «YES».
По-умолчанию: .message - nopriv_user
- Имя пользователя, которое используется vsftpd, когда vsftpd хочет быть полностью непривилегированным. Заметьте, что параметр должен содержать скорее имя пользователя, чем «nobody». На большинстве машин пользователь «nobody» не должен использоваться для большинства важных вещей.
По-умолчанию: nobody - pam_service_name
- Строка содержит имя сервиса PAM, которым будет пользоваться vsftp.
По-умолчанию: ftp - pasv_address
- Параметр содержит IP-адрес, который vsftpd будет выдавать в ответ на команду «PASV». Указывается в виде числового IP-адреса, если параметр «pasv_addr_resolve» не установлен в «YES», и, указанное вместо IP-адреса, имя хоста не сможет быть преобразовано в IP-адрес.
По-умолчанию: (ничего — адрес берётся из сокета входящего соединения) - rsa_cert_file
- Параметр содержит путь в файловой системе до сертификата RSA для использования в шифрованных SSL-соединениях.
По-умолчанию: /usr/share/ssl/certs/vsftpd.pem - rsa_private_key_file
- Параметр содержит путь в файловой системе до закрытого ключа RSA для использования в шифрованных SSL-соединениях. Если этот параметр не установлен, то подразумевается, что закрытый ключ находится в одном и том же файле, с сертификатом.
По-умолчанию: (ничего) - secure_chroot_dir
- Параметр должен содержать имя пустого каталога. Так же этот каталог не должен быть доступен для записи ftp-пользователем. Каталог используется безопасной клеткой chroot() во время, когда vsftpd не требует доступ к файловой системе.
По-умолчанию: /usr/share/empty - ssl_ciphers
- Параметр может быть использован для выбора SSL-шифра, который vsftpd будет принимать для защищенных SSL соединений. Для более подробной информации смотрите страницы руководства man ciphers. Ограничение шифром может быть использовано для улучшения безопасности, поскольку это предотвращает удалённые попытки отгадать шифр.
По-умолчанию: DES-CBC3-SHA - user_config_dir
- Преобладающий параметр, который позволяет отменить любой параметр, описанный в странице руководства man vsftpd.conf, на пользовательском уровне. Использование простое и лучше всего показывается на примере. Если вы установили значение параметра «user_config_dir» в «/etc/vsftpd_user_conf», и затем зашли как пользователь «chris», то vsftpd применит установки в файле «/etc/vsftpd_user_conf/chris» в течении сессии пользователя chris. Формат файла описан в этом руководстве страниц man. ПОЖАЛУЙСТА ПОМНИТЕ о том, что эффективны не все настройки пользовательского уровня. Например, много настроек только для начала пользовательского соединения. Примеры параметров, которые не будут затрагиваться на пользовательском уровне: «listen_address», «banner_file», «max_per_ip», «max_clients», «xferlog_file», и т.д.
По-умолчанию: (ничего) - user_sub_token
- Параметр полезен для взаимодействия с виртуальными пользователями. Параметр используется для автоматического задания домашнего каталога каждому виртуальному пользователю, основываясь на шаблоне. Например, если домашний каталог для настоящего пользователя, задаётся через «guest_username» как «/home/virtual/$USER», а «user_sub_token» установлен в «$USER», то затем как виртуальный пользователь «fred» авторизуется, он попадёт (обычно через chroot()) в каталог «/home/virtual/fred». Этот параметр будет работать, только если «local_root» будет содержать значение «user_sub_token»
По-умолчанию: (ничего) - userlist_file
- Параметр содержит путь до файла, который будет считываться если параметр «userlist_enable» установлен в «YES»
По-умолчанию: /etc/vsftpd.user_list - vsftpd_log_file
- Параметр содержит имя файла, в который будет записываться лог в стиле vsftpd. Лог будет писаться только если параметр «xferlog_enable» будет установлен в «YES», а параметр «xferlog_std_format» будет установлен в «NO». Либо будет писаться, если параметр «dual_log_enable» установлен в «YES». Одна сложность — если у вас параметр «syslog_enable» установлен в «YES», то в этот файл ничего записываться не будет, а лог попадет в системный лог.
По-умолчанию: /var/log/vsftpd.log - xferlog_file
- Параметр содержит имя файла, в который будет записываться лог в стиле wu-ftp. Лог будет писаться только если параметры «xferlog_enable» и «xferlog_std_format» будут установлены в «YES». Либо будет писаться, если установлен параметр «dual_log_enable».
По-умолчанию: /var/log/xferlog