vsftpd是一款在Linux發(fā)行版中最受推崇的FTP服務(wù)器程序。特點(diǎn)是小巧輕快，安全易用。就是配置有點(diǎn)麻煩，vsftpd.conf文件配置比較簡單，我們可以設(shè)置下：

　　VSFTPD的設(shè)置選項

　　VSFTPD的配置文件/etc/vsftpd/vsftpd.conf是個文本文件。以“#”字符開始的行是注釋行。每個選項設(shè)置為一行，格式為“option=value”，注意“=”號兩邊不能留空白符。除了這個主配置文件外，還可以給特定用戶設(shè)定個人配置文件，具體介紹見后。

　　VSFTPD包中所帶的vsftpd.conf文件配置比較簡單，而且非常偏執(zhí)狂的(文檔自稱)。我們可以根據(jù)實(shí)際情況對其進(jìn)行一些設(shè)置，以使得VSFTPD更加可用。

　　1、安全措施

    1.1、用戶登錄控制

    　　pam_service_name=vsftpd

    　　指出VSFTPD進(jìn)行PAM認(rèn)證時所使用的PAM配置文件名，默認(rèn)值是vsftpd，默認(rèn)PAM配置文件是/etc/pam.d/vsftpd。

    　　/etc/vsftpd.ftpusers

    　　VSFTPD禁止列在此文件中的用戶登錄FTP服務(wù)器。這個機(jī)制是在/etc/pam.d/vsftpd中默認(rèn)設(shè)置的。

    　　userlist_enable=YES|NO

    　　此選項被激活后，VSFTPD將讀取userlist_file參數(shù)所指定的文件中的用戶列表。當(dāng)列表中的用戶登錄FTP服務(wù)器時，該用戶在提示輸入密碼之前就被禁止了。即該用戶名輸入后，VSFTPD查到該用戶名在列表，VSFTPD就直接禁止掉該用戶，不會再進(jìn)行詢問密碼等后續(xù)步聚。默認(rèn)值為NO。

    　　userlist_file=/etc/vsftpd.user_list

    　　指出userlist_enable選項生效后，被讀取的包含用戶列表的文件。默認(rèn)值是/etc/vsftpd.user_list。

    　　userlist_deny=YES|NO

    　　決定禁止還是只允許由userlist_file指定文件中的用戶登錄FTP服務(wù)器。此選項在userlist_enable 選項啟動后才生效。YES，默認(rèn)值，禁止文件中的用戶登錄，同時也不向這些用戶發(fā)出輸入口令的提示。NO，只允許在文件中的用戶登錄FTP服務(wù)器。

    　　tcp_wrappers=YES|NO

    　　在VSFTPD中使用TCP_Wrappers遠(yuǎn)程訪問控制機(jī)制，默認(rèn)值為YES。

    1.2、目錄訪問控制

    　　chroot_list_enable=YES|NO

    　　鎖定某些用戶在自家目錄中。即當(dāng)這些用戶登錄后，不可以轉(zhuǎn)到系統(tǒng)的其他目錄，只能在自家目錄(及其子目錄)下。具體的用戶在chroot_list_file參數(shù)所指定的文件中列出。默認(rèn)值為NO。

    　　chroot_list_file=/etc/vsftpd/chroot_list

    　　指出被鎖定在自家目錄中的用戶的列表文件。文件格式為一行一用戶。通常該文件是/etc/vsftpd/chroot_list。此選項默認(rèn)不設(shè)置。

    　　chroot_local_users=YES|NO

    　　將本地用戶鎖定在自家目錄中。當(dāng)此項被激活時，chroot_list_enable和chroot_local_users參數(shù)的作用將發(fā)生變化，chroot_list_file所指定文件中的用戶將不被鎖定在自家目錄。本參數(shù)被激活后，可能帶來安全上的沖突，特別是當(dāng)用戶擁有上傳、 shell訪問等權(quán)限時。因此，只有在確實(shí)了解的情況下，才可以打開此參數(shù)。默認(rèn)值為NO。

    　　passwd_chroot_enable

    　　當(dāng)此選項激活時，與chroot_local_user選項配合，chroot()容器的位置可以在每個用戶的基礎(chǔ)上指定。每個用戶的容器來源于/etc/passwd中每個用戶的自家目錄字段。默認(rèn)值為NO。

    1.3、文件操作控制

    　　hide_ids=YES|NO

    　　是否隱藏文件的所有者和組信息。YES，當(dāng)用戶使用"ls -al"之類的指令時，在目錄列表中所有文件的擁有者和組信息都顯示為ftp。默認(rèn)值為NO。

    　　ls_recurse_enable=YES|NO

    　　YES，允許使用"ls -R" 指令。這個選項有一個小的安全風(fēng)險，因為在一個大型FTP站點(diǎn)的根目錄下使用"ls -R"會消耗大量系統(tǒng)資源。默認(rèn)值為NO。

    　　write_enable=YES|NO

    　　控制是否允許使用任何可以修改文件系統(tǒng)的FTP 的指令，比如STOR、DELE、RNFR、RNTO、MKD、RMD、APPE 以及SITE。默認(rèn)值為NO，不過自帶的簡單配置文件中打開了該選項。

    　　secure_chroot_dir=

    　　這選項指向一個空目錄，并且ftp用戶對此目錄無寫權(quán)限。當(dāng)vsftpd不需要訪問文件系統(tǒng)時，這個目錄將被作為一個安全的容器，用戶將被限制在此目錄中。默認(rèn)目錄為/usr/share/empty。

    1.4、新增文件權(quán)限設(shè)定

    　　anon_umask=

    　　匿名用戶新增文件的umask 數(shù)值。默認(rèn)值為077。

    　　file_open_mode=

    　　上傳檔案的權(quán)限，與chmod 所使用的數(shù)值相同。如果希望上傳的文件可以執(zhí)行，設(shè)此值為0777。默認(rèn)值為0666。

    　　local_umask=

    　　本地用戶新增檔案時的umask 數(shù)值。默認(rèn)值為077。不過，其他大多數(shù)的FTP服務(wù)器都是使用022。如果您的用戶希望的話，可以修改為022。在自帶的配置文件中此項就設(shè)為了022。

通過上面的閱讀，大家對VSFTPD的設(shè)置選項的安全措施有了一定的了解，希望對大家有所幫助！

【編輯推薦】

• vsftpd已死 但是subsys被鎖 求真相
• 史上最全的 vsftpd 問題集（上篇）
• 史上最全的 vsftpd 問題集（下篇）
• 如何處理VSFTPD實(shí)驗500OOPS錯誤
• vsftpd.conf 術(shù)語解釋大全
• vsFTPd菜鳥變大蝦六大點(diǎn)
• vsftpd 傻瓜版安裝全流程