控制匿名用戶登入時(shí)是否需要密碼，YES不需要，NO需要。默認(rèn)值為NO。
　　
　　deny_email_enable=YES|NO
　　此參數(shù)默認(rèn)值為NO。當(dāng)值為YES時(shí)，拒絕使用banned_email_file參數(shù)指定文件中所列出的e-mail地址進(jìn)行登錄的匿名用戶。即，當(dāng)匿名用戶使用banned_email_file文件中所列出的e-mail進(jìn)行登錄時(shí)，被拒絕。顯然，這對(duì)于阻擊某些Dos攻擊有效。當(dāng)此參數(shù)生效時(shí)，需追加banned_email_file參數(shù)
　　banned_email_file=/etc/vsftpd.banned_emails
　　指定包含被拒絕的e-mail地址的文件，默認(rèn)文件為/etc/vsftpd.banned_emails。
　　anon_root=
　　設(shè)定匿名用戶的根目錄，即匿名用戶登入后，被定位到此目錄下。主配置文件中默認(rèn)無(wú)此項(xiàng)，默認(rèn)值為/var/ftp/。
　　anon_world_readable_only=YES|NO
　　控制是否只允許匿名用戶下載可閱讀文檔。YES，只允許匿名用戶下載可閱讀的文件。NO，允許匿名用戶瀏覽整個(gè)服務(wù)器的文件系統(tǒng)。默認(rèn)值為YES。
　　anon_upload_enable=YES|NO
　　控制是否允許匿名用戶上傳文件，YES允許，NO不允許，默認(rèn)是不設(shè)值，即為NO。除了這個(gè)參數(shù)外，匿名用戶要能上傳文件，還需要兩個(gè)條件：一，write_enable參數(shù)為YES;二，在文件系統(tǒng)上，F(xiàn)TP匿名用戶對(duì)某個(gè)目錄有寫權(quán)限。
　　anon_mkdir_write_enable=YES|NO
　　控制是否允許匿名用戶創(chuàng)建新目錄，YES允許，NO不允許，默認(rèn)是不設(shè)值，即為NO。當(dāng)然在文件系統(tǒng)上，F(xiàn)TP匿名用戶必需對(duì)新目錄的上層目錄擁有寫權(quán)限。
　　anon_other_write_enable=YES|NO
　　控制匿名用戶是否擁有除了上傳和新建目錄之外的其他權(quán)限，如刪除、更名等。YES擁有，NO不擁有，默認(rèn)值為NO。
　　chown_uploads=YES|NO
　　是否修改匿名用戶所上傳文件的所有權(quán)。YES，匿名用戶所上傳的文件的所有權(quán)將改為另外一個(gè)不同的用戶所有，用戶由chown_username參數(shù)指定。此選項(xiàng)默認(rèn)值為NO。
　　chown_username=whoever
　　指定擁有匿名用戶上傳文件所有權(quán)的用戶。此參數(shù)與chown_uploads聯(lián)用。不推薦使用root用戶。
5.3.2、本地用戶
　　在使用FTP服務(wù)的用戶中，除了匿名用戶外，還有一類在FTP服務(wù)器所屬主機(jī)上擁有賬號(hào)的用戶。VSFTPD中稱此類用戶為本地用戶（local users），等同于其他FTP服務(wù)器中的real用戶。
　　local_enable=YES|NO
　　控制vsftpd所在的系統(tǒng)的用戶是否可以登錄vsftpd。默認(rèn)值為YES。
　　local_root=
　　定義所有本地用戶的根目錄。當(dāng)本地用戶登入時(shí)，將被更換到此目錄下。默認(rèn)值為無(wú)。
　　user_config_dir=
　　定義用戶個(gè)人配置文件所在的目錄。用戶的個(gè)人配置文件為該目錄下的同名文件。個(gè)人配置文件的格式與vsftpd.conf格式相同。例如定義user_config_dir=/etc/vsftpd/userconf，并且主機(jī)上有用戶xiaowang,lisi，那我們可以在user_config_dir的目錄新增名為xiaowang、lisi的兩個(gè)文件。當(dāng)用戶lisi 登入時(shí)，VSFTPD則會(huì)讀取user_config_dir下lisi這個(gè)文件中的設(shè)定值，應(yīng)用于用戶lisi。默認(rèn)值為無(wú)。
5.3.3、虛擬用戶
　　guest_enable=YES|NO
　　若是啟動(dòng)這項(xiàng)功能，所有的非匿名登入者都視為guest。默認(rèn)值為關(guān)閉。
　　guest_username=
　　定義VSFTPD的guest用戶在系統(tǒng)中的用戶名。默認(rèn)值為ftp。
5.4、安全措施
5.4.1、用戶登錄控制
　　pam_service_name=vsftpd
　　指出VSFTPD進(jìn)行PAM認(rèn)證時(shí)所使用的PAM配置文件名，默認(rèn)值是vsftpd，默認(rèn)PAM配置文件是/etc/pam.d/vsftpd。
　　/etc/vsftpd.ftpusers
　　VSFTPD禁止列在此文件中的用戶登錄FTP服務(wù)器。這個(gè)機(jī)制是在/etc/pam.d/vsftpd中默認(rèn)設(shè)置的。
　　userlist_enable=YES|NO
　　此選項(xiàng)被激活后，VSFTPD將讀取userlist_file參數(shù)所指定的文件中的用戶列表。當(dāng)列表中的用戶登錄FTP服務(wù)器時(shí)，該用戶在提示輸入密碼之前就被禁止了。即該用戶名輸入后，VSFTPD查到該用戶名在列表，VSFTPD就直接禁止掉該用戶，不會(huì)再進(jìn)行詢問(wèn)密碼等后續(xù)步聚。默認(rèn)值為NO。
　　userlist_file=/etc/vsftpd.user_list
　　指出userlist_enable選項(xiàng)生效后，被讀取的包含用戶列表的文件。默認(rèn)值是/etc/vsftpd.user_list。
　　userlist_deny=YES|NO
　　決定禁止還是只允許由userlist_file指定文件中的用戶登錄FTP服務(wù)器。此選項(xiàng)在userlist_enable 選項(xiàng)啟動(dòng)后才生效。YES，默認(rèn)值，禁止文件中的用戶登錄，同時(shí)也不向這些用戶發(fā)出輸入口令的提示。NO，只允許在文件中的用戶登錄FTP服務(wù)器。
　　
　　tcp_wrappers=YES|NO
　　在VSFTPD中使用TCP_Wrappers遠(yuǎn)程訪問(wèn)控制機(jī)制，默認(rèn)值為YES。
5.4.2、目錄訪問(wèn)控制
　　chroot_list_enable=YES|NO
　　鎖定某些用戶在自家目錄中。即當(dāng)這些用戶登錄后，不可以轉(zhuǎn)到系統(tǒng)的其他目錄，只能在自家目錄(及其子目錄)下。具體的用戶在chroot_list_file參數(shù)所指定的文件中列出。默認(rèn)值為NO。
　　chroot_list_file=/etc/vsftpd/chroot_list
　　指出被鎖定在自家目錄中的用戶的列表文件。文件格式為一行一用戶。通常該文件是/etc/vsftpd/chroot_list。此選項(xiàng)默認(rèn)不設(shè)置。
　　chroot_local_users=YES|NO
　　將本地用戶鎖定在自家目錄中。當(dāng)此項(xiàng)被激活時(shí)，chroot_list_enable和chroot_local_users參數(shù)的作用將發(fā)生變化，chroot_list_file所指定文件中的用戶將不被鎖定在自家目錄。本參數(shù)被激活后，可能帶來(lái)安全上的沖突，特別是當(dāng)用戶擁有上傳、shell訪問(wèn)等權(quán)限時(shí)。因此，只有在確實(shí)了解的情況下，才可以打開此參數(shù)。默認(rèn)值為NO。
　　passwd_chroot_enable
　　當(dāng)此選項(xiàng)激活時(shí)，與chroot_local_user選項(xiàng)配合，chroot()容器的位置可以在每個(gè)用戶的基礎(chǔ)上指定。每個(gè)用戶的容器來(lái)源于/etc/passwd中每個(gè)用戶的自家目錄字段。默認(rèn)值為NO。
5.4.3、文件操作控制
　　hide_ids=YES|NO
　　是否隱藏文件的所有者和組信息。YES，當(dāng)用戶使用"ls -al"之類的指令時(shí)，在目錄列表中所有文件的擁有者和組信息都顯示為ftp。默認(rèn)值為NO。
　　ls_recurse_enable=YES|NO
　　YES，允許使用"ls -R" 指令。這個(gè)選項(xiàng)有一個(gè)小的安全風(fēng)險(xiǎn)，因?yàn)樵谝粋€(gè)大型FTP站點(diǎn)的根目錄下使用"ls -R"會(huì)消耗大量系統(tǒng)資源。默認(rèn)值為NO。

最新評(píng)論