vsftpd：非常安全的ftp服务端程序

• • 主程序：/usr/sbin/vsftpd
  • 主配置文件：/etc/vsftpd/vsftpd.conf
  • CentOS 6 
    • /etc/rc.d/init.d/vsftpd
    • chkconfig vsftpd on
  • CentOS 7 
    • /usr/lib/systemd/system/vsftpd.service
    • systemctl enable vsftpd.service
• 配置过程详解 
  • /etc/vsftpd/vsftpd.conf, 可以使用man vsftpd.conf查看指令的定义
  • 匿名用户 
    • anonymous_enable=yes 是否允许匿名用户登入
    • anon_upload_enable=yes 是否允许匿名用户上传文件, 同时需要开启write_enable=yes
    • write_enable=yes 如果匿名用户要上传，必须是write_enable=YES，这是一个全局配置
    • anon_mkdir_write_enable=yes 使得匿名用户能够在有目录中有写权限的基础上能够创建目录
    • anon_other_write_enable=yes 匿名用户的删除和重命名权限
  • 本地用户 
    • local_enable=yes 开放本地用户登入，并且所有的非匿名用户登入必须开启这个指令才能登入
    • local_umake=022 指定本地用户上传权限的掩码
    • dirmessage_enable=YES 用户第一次进入目录时，.massage文件里面的信息会显示给用户，可以使用message_file指定文件的路径，而不使用默认的.message，但是lftp程序无法看到消息提示，ftp程序可以
  • 数据传输日志的相关日志 
    • xferlog_enable=YES
    • xferlog_std_format
    • xferlog_file=/var/log/vsftpd.log 指定访问日志的存放路径
  • 数据传输模式 
    • connect_from_port_20：是否启用被动模式
  • 修改匿名用户上传文件的属主 
    • chown_uploads：是否修改
    • chown_username：启用chown_uploads指令时，将文件属主修改为此命令指定的用户，默认为root
    • chown_upload_mode：匿名用户上传文件完成后文件的权限默认为600
  • 设定会话的超时时长 
    • idle_session_timeout ：空闲会话的超时时长，默认是300秒
    • connect_timeout：服务器连接客户端的超时时长
    • data_connection_timeout：数据传输的超时时长
  • 命令连接的监听端口 
    • listen_port ：默认是21
  • 当匿名用户连接到ftp服务端是否显示banner信息，只有ftp客户端可以，lftp不行 
    • ftpd_banner=Welcome to blah FTP service.
  • 设置连接及传输速率 
    • local_max_rate：本地用户的传输速率，默认是0，表示无限制
    • max_clients：最大并发连接数，最多允许多少个客户端连接
    • max_per_ip：每个IP允许的最大连接数
    • anno_max_rate：本地用户的传输速率，默认是0，表示无限制
  • 禁锢本地用户 
    • chroot_local_user=YES：禁锢所有本地的用户，将用户锁定在其家目录下
      • 注意：要求用户不能够对家目录有写权限，如果具有写权限的话，那么本地用户登入ftp的时候就会连接拒绝了（禁锢所有的本地用户和禁锢白名单不能同时开启）
    • chroot_list_enable=yes : 是否开启禁锢的白名单
    • chroot_list_file=/etc/vsftpd/chroot_list：如果写在这个文件里面的本地用户都会被禁锢，而没有在这个文件里面的本地用户不会被禁锢
  • /etc/vsftpd/ftpusers：指定哪些本地用户无法登入 
    • 是本地用户的黑名单，如果在这个名单里面的用户无法登入
  • userlist_enable ：是否开启本地用户登入认证 
    • 如果userlist_enable=YES，vsftpd将加载一个由userlist_file指定的用户列表文件，此文件中的用户是否能够访问vsftpd服务取决于userlist_deny这个指令，且用户写在/etc/vsftpd/user_list文件中
      • 如果userlist_deny=yes，表示此列表为黑名单，表示列表中的用户不能登入
      • 如果userlist_deny=no，表示此列表为白名单, 表示只有列表中的本地用户才能登入