vsftpd.conf - конфигурационный файл для vsftpd
vsftpd.conf может использоваться для управления различными аспектами поведения vsftpd. По умолчанию vsftpd ищет этот файл по ge /etc/vsftpd.conf. Однако, данный путь может быть переопределен с помощью аргументов командной строки для vsftpd. Данное поведение полезно, так как вы можете захотеть использовать улучшенный демон inetd, такой как xinetd, для запуска vsftpd с различными конфигурационными файлами для каждого виртуального хоста.
Формат vsftpd.conf очень простой. Каждая строка является либо комментарием, либо директивой. Строки с комментариями начинаются с символа # и игнорируются. Строки с директивами имеют следующий формат:
параметр=значение
Учтите, между параметром, знаком "=" и значением не должно быть пробелов.
У каждого параметра есть предустановленное значение по умолчанию, которое может быть изменено в конфигурационном файле.
Ниже приведен список булевых параметров. Значение булевого параметра может быть установлено на YES или NO.
Данный параметр применим только при активном параметре ssl_enable. Если значение установлено на YES, анонимные пользователи смогут использовать безопасные SSL-подключения.
Значение по умолчанию: NO
Если значение установлено на YES, анонимные пользователи при определенных условиях смогут создавать новые каталоги. Чтобы это работало, должен быть включен параметр write_enable, а у анонимного пользователя ftp должны быть права на запись в родительский каталог.
Значение по умолчанию: NO
Если значение установлено на YES, анонимные пользователи, помимо загрузки файлов и создания каталогов, смогут производить и другие операции записи, такие как удаление и переименование. Данный параметр добавлен для полноты, но использовать его в целом не рекомендуется.
Значение по умолчанию: NO
Если значение установлено на YES, анонимные пользователи при определенных условиях смогут закачивать файлы. Чтобы это работало, должен быть включен параметр write_enable, а у анонимного пользователя ftp должны быть права на запись в желаемое место закачки. Также данный параметр нужен для возможности закачки у виртуальных пользователей, которые по умолчанию обрабатываются как анонимные (т.е. с максимумом ограничений).
Значение по умолчанию: NO
Когда данный параметр включен, анонимные пользователи смогут скачивать только файлы с правами чтения для всех остальных. Это признание того, что пользователь ftp может владеть файлами, особенно при наличии закачек.
Значение по умолчанию: YES
Данный параметр устанавливает, разрешен ли анонимный вход. Если параметр включен, имена пользователей ftp и anonymous распознаются как анонимные логины.
Значение по умолчанию: NO
Когда данный параметр включен, ASCII режим передачи будет поддерживаться для скачивания файлов.
Значение по умолчанию: NO
Когда данный параметр включен, ASCII режим передачи будет поддерживаться для закачки файлов.
Значение по умолчанию: NO
Когда данный параметр включен, будет задействована специальная ftp-команда, известная как "async ABOR". Данную возможность будут использовать только FTP-клиенты, не подчиняющиеся здравому смыслу. Также этой возможностью неудобно управлять, поэтому по умолчанию она отключена. К сожалению, некоторые FTP-клиенты зависают при отмене передачи, если данная возможность недоступна, поэтому ее возможно потребуется включить.
Значение по умолчанию: NO
Когда данный параметр включен, и vsftpd запущен в "слушающем" режиме, vsftpd запустит слушающий процесс в фоне, т.е. управление будет немедленно возвращено в оболочку, запустившую vsftpd.
Значение по умолчанию: NO
Внимание! Данный параметр действует только для версий vsftpd, скомпилированных без поддержки PAM. Если он отключен, vsftpd не будет проверять /etc/shells на наличие действительной пользовательской оболочки для входа в систему.
Значение по умолчанию: YES
Если данный параметр включен, он разрешает использование команды SITE CHMOD. Внимание! Это относится только к локальным пользователям. Анонимные пользователи не могут использовать SITE CHMOD.
Значение по умолчанию: YES
Если данный параметр включен, владелец всех файлов, закачанных анонимно, будет изменен на пользователя, указанного в значении параметра chown_username. Это полезно с точки зрения администрирования и, возможно, безопасности.
Значение по умолчанию: NO
Если данный параметр включен, вы можете задать список пользователей, которые при входе в систему будут помещаться в chroot()-песочницу в своем домашнем каталоге. Работа данного параметра меняется, если значение параметра chroot_local_user установлено на YES. В этом случае список становится списком пользователей, которые НЕ БУДУТ помещаться в chroot()-песочницу. По умолчанию, список хранится в файле /etc/vsftpd.chroot_list, но вы можете переопределить данное расположение с помощью параметра chroot_list_file.
Значение по умолчанию: NO
Если значение данного параметра установлено на YES (значение по умолчанию), локальные пользователи после входа в систему будут помещаться в chroot()-песочницу в своих домашних каталогах. Внимание! Данный параметр влияет на безопасность, особенно если у пользователей есть права на закачку файлов или доступ к оболочке. Включайте его, только если вы знаете, что делаете. Учтите, что данные проблемы с безопасностью не относятся только к vsftpd. Они присущи всем FTP-демонам, позволяющим помещать локальных пользователей в chroot()-песочницы.
Значение по умолчанию: NO
Данный параметр устанавливает, будут ли подключения типа PORT использовать порт 20 (ftp-data) на серверной машине. Некоторые клиенты могут на этом настаивать по соображениям безопасности. В свою очередь, отключение данного параметра позволяет vsftpd работать с несколько более низкими привилегиями.
Значение по умолчанию: NO (но в образце конфигурационного файла установлено YES)
Если данный параметр включен, диагностика OpenSSL-соединений будет сбрасываться в файл журнала vsftpd. (Добавлено в версии 2.0.6).
Значение по умолчанию: NO
Если данный параметр включен, любые неудавшиеся закачки удаляются. (Добавлено в версии 2.0.7).
Значение по умолчанию: NO
Если данный параметр включен, вы можете составить список адресов электронной почты, при использовании которых в качестве пароля при анонимном входе в систему вход будет запрещен. По умолчанию данный список содержится в файле /etc/vsftpd.banned_emails, но данный путь может быть переопределен с помощью параметра banned_email_file.
Значение по умолчанию: NO
Если значение установлено на NO, все команды вывода содержимого каталога будут возвращать отказ в доступе.
Значение по умолчанию: YES
Если данный параметр включен, пользователи FTP-сервера могут получать сообщения при первом входе в новый каталог. По умолчанию каталог сканируется на наличие файла .message, но это поведение может быт переопределено в параметре message_file.
Значение по умолчанию: NO (но в образце конфигурационного файла установлено YES)
Если значение установлено на NO, все запросы на скачивание будут возвращать отказ в доступе.
Значение по умолчанию: YES
Если данный параметр включен, создается сразу два файла журнала, размещаемые по умолчанию в /var/log/xferlog и /var/log/vsftpd.log. Первый является стандартным журналом типа wu-ftpd, который может обрабатываться стандартными инструментами. Последний является журналом в собственном формате vsftpd.
Значение по умолчанию: NO
Если данный параметр включен, файлы и каталоги, начинающиеся с "." будут показаны в листингах каталогов, даже если клиент не использует флаг "a". Данное переопределение исключает записи "." и "..".
Значение по умолчанию: NO
Данный параметр применяется, только если включен параметр ssl_enable. Если параметр включен, все анонимные входы в систему будут использовать безопасное SSL-соединение для передачи данных по подключениям данных.
Значение по умолчанию: NO
Данный параметр применяется, только если включен параметр ssl_enable. Если данный параметр включен, для всех анонимных входов в систему принудительно используется безопасное SSL-соединение для передачи пароля.
Значение по умолчанию: NO
Данный параметр применяется, только если включен параметр ssl_enable. Если данный параметр включен, все неанонимные входы в систему будут использовать безопасное SSL-соединение для передачи данных по подключениям данных.
Значение по умолчанию: YES
Данный параметр применяется, только если включен параметр ssl_enable. Если данный параметр включен, для всех неанонимных входов в систему принудительно используется безопасное SSL-соединение для передачи пароля.
Значение по умолчанию: YES
Если данный параметр включен, все неанонимные входы в систему классифицируются как "гостевые". Гостевой вход сопоставляется с пользователем, указанным в параметре guest_username.
Значение по умолчанию: NO
Если данный параметр включен, вместо имен пользователей и групп в листингах каталогов будет указано "ftp".
Значение по умолчанию: NO
Если данный параметр включен, SSL-рукопожатие будет первым ожидаемым событием на всех подключениях (протокол FTPS). Для поддержки явного SSL и/или открытого текста, должен быть запущен отдельный слушающий процесс vsftpd.
Значение по умолчанию: NO
Если данный параметр включен, vsftpd будет работать в обособленном режиме. Это значит, что vsftpd не должен запускаться из inetd какого-либо вида. Вместо этого исполняемый файл vsftpd должен запускаться один раз напрямую. После этого vsftpd сам будет слушать и обрабатывать входящие подключения.
Значение по умолчанию: NO
Данный параметр аналогичен параметру listen, только vsftpd будет слушать IPv6-сокет, а не IPv4. Учтите, что прослушивание сокета на IPv6-адресе "любой" (::) будет по умолчанию принимать как IPv6, так и IPv4 подключения. Данный параметр взаимоисключаем с параметром listen.
Значение по умолчанию: NO
Данный параметр устанавливает, разрешены ли локальные входы в систему. Если разрешены, для входа можно использовать обычные учетные записи пользователей в etc/passwd (или в любом другом месте, прописанном в конфигурации PAM). Данный параметр должен быть включен, чтобы работали любые неанонимные входы, включая виртуальных пользователей.
Значение по умолчанию: NO
Когда данный параметр включен, все закачки происходят с блокировкой закачиваемого файла на запись. Все скачивания происходят с блокировкой скачиваемого файла для совместного чтения. ВНИМАНИЕ! Перед включением данного параметра, учтите, что вредоносные программы для чтения могут не давать дописывать данные в файл.
Значение по умолчанию: YES
Когда данный параметр включен, все FTP-запросы заносятся в журнал, если параметр ferlog_std_format не включен. Это полезно для отладки.
Значение по умолчанию: NO
Когда данный параметр включен, разрешено использование команды "ls -R". Это представляет собой небольшой риск для безопасности, так как выполнение ls -R на верхнем уровне большого сайта может затрачивать большое количество ресурсов.
Значение по умолчанию: NO
Когда данный параметр включен, MDTM сможет проставлять время изменения файлов (с обычными проверками доступа).
Значение по умолчанию: YES
Когда данный параметр включен, vsftpd не будет запрашивать анонимный пароль, анонимные пользователи смогут сразу входить в систему.
Значение по умолчанию: NO
Когда данный параметр включен, vsftpd не будет ставить блокировку при записи в файлы журналов. Данный параметр в целом не стоит включать. Он существует для обхода ошибок операционных систем, таких как сочетание ОС Solaris с файловой системой Veritas, иногда приводящее к зависаниям при попытке блокировки файлов журнала.
Значение по умолчанию: NO
Если вы используете ядро Linux 2.4, можно использовать другую модель безопасности, использующую только один процесс для каждого подключения. Эта модель безопасности обладает меньшей полнотой, но дает выигрыш в производительности. Вам не стоит включать данный параметр, если вы не знаете, что вы делаете, а ваш сайт поддерживает огромное количество одновременно подключенных пользователей.
Значение по умолчанию: NO
Если данный параметр включен вместе с параметром chroot_local_user, можно указать расположение chroot()-песочницы отдельно для каждого пользователя. Песочница для каждого пользователя создается в его домашнем каталоге, путь к которому берется из /etc/passwd. Комбинация /./ в строке пути домашнего каталога, указывает на точное расположение песочницы в пути.
Значение по умолчанию: NO
Установите значение параметра на YES, если вы хотите использовать имя хоста (вместо IP-адреса) в параметре pasv_address.
Значение по умолчанию: NO
Установите значение данного параметра на NO, если вы хотите запретить получение соединения для передачи данных методом PASV.
Значение по умолчанию: YES
Установите значение данного параметра на YES, если вы хотите отключить проверку безопасности PASV, которая гарантирует, что подключение для передачи данных идет с того же IP-адреса, что и управляющее подключение. Включайте этот параметр. только если вы знаете, что делаете! Единственное разумное применение для того - это какая-нибудь схема с безопасным туннелированием, или, возможно, обеспечение поддержки FXP.
Значение по умолчанию: NO
Установите значение данного параметра на NO, если вы хотите запретить получение соединения для передачи данных методом PORT.
Значение по умолчанию: YES
Установите значение данного параметра на YES, если вы хотите отключить проверку безопасности PORT, которая гарантирует, что исходящие соединения для передачи данных могут подключаться только к клиенту. Включайте данный параметр, только если вы знаете, что делаете!
Значение по умолчанию: NO
Если значение данного параметра установлено на YES, от всех клиентских подключений по SLL требуется сертификат клиента. Степень валидации применимо к данному сертификату устанавливается параметром validate_cert. (Добавлено в версии 2.0.6).
Значение по умолчанию: NO
Если значение данного параметра установлено на YES, от всех SSL-подключений для передачи данных требуется повторное использование SSL-сессии (что подтверждает тот факт, что им известен тот же главный секрет, что и управляющему каналу). Несмотря на то, что это значение по умолчанию, обеспечивающее безопасность, оно может поломать многие FTP-клиенты, поэтому вам может потребоваться отключить его. Обсуждение последствий приведено по ссылке https://zstock.ru/shlang-slivnoy-ph-dlya-indesit-iwb-6085-cis-wisn-82-csi-wisl-105-cis (Добавлено в версии 2.1.0).
Значение по умолчанию: YES
Установите значение данного параметра на YES, если вы хотите запускать vsftpd от имени пользователя, запустившего vsftpd. Это полезно, когда отсутствуют права root. ВНИМАНИЕ! ВАЖНО! Включайте данный параметр, ТОЛЬКО если вы абсолютно точно знаете, что вы делаете, так как данный параметр может создать огромные проблемы с безопасностью! В частности, vsftpd не использует/не может использовать технологию chroot для ограничения доступа к файлам, когда включен данный параметр (даже при запуске от имени root). Отчасти это можно заменить таким значением параметра deny_file, как {/*,*..*}, но надежность такого решения несравнима с chroot, и на него не стоит полагаться. При использовании данного параметра применяется множество ограничений для других параметров. Например, скорее всего не будут работать параметры, требующие привилегий, таких как неанонимные входы в систему, смена владельца закачиваемых файлов, подключение с 20 порта и прослушивание портов с номерами менее 1024. Прочие параметры также могут быть затронуты.
Значение по умолчанию: NO
Установите значение данного параметра на YES, если вы хотите, чтобы в качестве паролей при анонимных входах в систему принимался только указанный список email-адресов. Это полезно как малозатратный способ ограничения доступа к содержимому с низким уровнем безопасности, не требующий использования виртуальных пользователей. Когда данный параметр включен, анонимные входы в систему запрещаются, если использованный пароль отсутствует в файле, указанном в значении параметра email_password_file. В файле записывается один пароль в строку без лишних пробелов. имя файла по умолчанию /etc/vsftpd.email_passwords.
Значение по умолчанию: NO
Данный параметр устанавливает, будет ли vsftpd пытаться поддерживать сессии для входов в систему. Если vsftpd поддерживает сессии, он будет пытаться обновить utmp и wtmp. Он также откроет сессию PAM для аутентификации, и закроет ее только после выхода из системы. Вам может понадобиться отключить этот параметр, если вам не нужно журналирование сессии, и вы хотите дать vsftpd больше возможностей работать с меньшим количеством запущенных процессов и/или меньшими привилегиями. Учтите, что поддержка utmp и wtmp присутствует только в сборках с поддержкой PAM.
Значение по умолчанию: NO
Если данный параметр включен, vsftpd попытается выводить информацию о сессии в листинге системного процесса. Другими словами, отображаемое имя процесса будет изменено и станет отражать, что делает сессия vsftpd (простой, скачивание и т.д.). Вам, вероятно, следует оставить данный параметр отключенным из соображений безопасности.
Значение по умолчанию: NO
Если данный параметр включен и vsftpd был скомпилирован с поддержкой OpenSSL, vsftpd будет поддерживать безопасные подключения по SSL. Это касается как управляющего подключения (включая вход в систему), так и подключений для передачи данных. Вам также понадобится клиент с поддержкой SSL. ВАЖНО!!! Используйте данный параметр с осторожностью и включайте его только при необходимости! vsftpd не дает никаких гарантий в отношении безопасности библиотек OpenSSL. Включая данный параметр, вы выражаете доверие безопасности установленных у вас бибилиотек OpenSSL.
Значение по умолчанию: NO
Если данный параметр включен, vsftpd будет запрашивать (но не обязательно требовать, см. require_cert) сертификат для входящих SSL-соединений. В обычных условиях, от этого не должно быть никаких проблем, но, похоже, они есть у IBM zOS.
Значение по умолчанию: YES
Применяется только при включенном параметре ssl_enable. Если данный параметр включен, будет разрешено использовать подключения по протоколу SSL v2. Предпочтение отдается подключениям TLS v1.2+.
Значение по умолчанию: NO
Применяется только при включенном параметре ssl_enable. Если данный параметр включен, будет разрешено использовать подключения по протоколу SSL v3. Предпочтение отдается подключениям TLS v1.2+.
Значение по умолчанию: NO
Применяется только при включенном параметре ssl_enable. Если данный параметр включен, будет разрешено использовать подключения по протоколу TLS v1.0. Предпочтение отдается подключениям TLS v1.2+.
Значение по умолчанию: NO
Применяется только при включенном параметре ssl_enable. Если данный параметр включен, будет разрешено использовать подключения по протоколу TLS v1.1. Предпочтение отдается подключениям TLS v1.2+.
Значение по умолчанию: NO
Применяется только при включенном параметре ssl_enable. Если данный параметр включен, будет разрешено использовать подключения по протоколу TLS v1.2. Предпочтение отдается подключениям TLS v1.2+.
Значение по умолчанию: YES
Применяется только при включенном параметре ssl_enable. Если данный параметр включен, будет разрешено использовать подключения по протоколу TLS v1.3. Предпочтение отдается подключениям TLS v12+.
Значение по умолчанию: YES
Если данный параметр включен, закачка данных должна прекращаться через SSL, а не EOF на сокете. Данный параметр требуется, чтобы атакующий не мог преждевременно прекратить закачку фальшивым флагом TCP FIN. К сожалению, по умолчанию он не включен, потому что только немногие клиенты правильно его понимают. (Добавлено в версии 2.0.7).
Значение по умолчанию: NO
Если данный параметр включен, скачивание данных должно прекращаться через SSL, а не EOF на сокете. Данный параметр по умолчанию выключен, так как не я не смог найти ни один FTP-клиент, который бы это поддерживал. Он не важен. Все, что он дает - это возможность понять, подтвердил ли клиент полное получение файла. Даже без этого параметра клиент может проверить целостность закачки. (Добавлено в версии 2.0.7).
Значение по умолчанию: NO
Если данный параметр включен, любая запись, которая должна вноситься в журнал /var/log/vsftpd.log, вместо этого будет внесена в журнал системы. Журналирование ведется с помощью FTPD.
Значение по умолчанию: NO
Если данный параметр включен, и vsftpd был скомпилирован с поддержкой tcp_wrappers, входящие соединения будут проходить через контроль доступа tcp_wrappers. В дополнение к этому имеется механизм для отдельных конфигураций для каждого IP-адреса. Если tcp_wrappers определяет переменную среды VSFTPD_LOAD_CONF, сессия vsftpd попробует загрузить файл конфигурации vsftpd, указанный в этой переменной.
Значение по умолчанию: NO
По умолчанию в полях пользователя и группы в листингах каталогов показываются цифровые идентификаторы. Вы можете выводить текстовые имена, если включите данный параметр. По умолчанию он выключен из соображений быстродействия.
Значение по умолчанию: NO
Если данный параметр включен, vsftpd будет пробовать открывать пути вида ~chris/pics, т.е. с тильдой и идущим за ней именем пользователя. Учтите, что vsftpd всегда будет открывать пути вида ~ и ~/ (в данном случае вместо ~ подставляется изначальный каталог входа в систему). Также учтите, что пути вида ~user будут открываться, только если в _текущей_ chroot()-песочнице может быть найден файл /etc/passwd.
Значение по умолчанию: NO
Если данный параметр включен, vsftpd будет показывать листинги каталогов с указанием времени в вашем локальном часовом поясе. По умолчанию отображается GMT. Данный параметр также затрагивает время, возвращаемое FTP-командой MDTM.
Значение по умолчанию: NO
Это внутренний параметр, предназначенный для тестирования относительной выгоды использования системного вызова sendfile() на вашей платформе.
Значение по умолчанию: YES
Данный параметр проверяется, если включен параметр userlist_enable. Если вы установите значение данного параметра на NO, пользователям будет отказано во входе в систему, если они не перечислены в явном виде в параметре userlist_file. Если во входе отказано, отказ выдается до запроса у пользователя пароля.
Значение по умолчанию: YES
Если данный параметр включен, vsftpd загрузит список имен пользователей из параметра userlist_file. Если пользователь попытается войти в систему, используя имя из этого файла, во входе будет отказано до запроса пароля. Это может быть полезно для предотвращения передачи паролей открытым текстом. См. также параметр userlist_deny.
Значение по умолчанию: NO
Если значение данного параметра установлено на YES, все клиентские SSL-сертификаты должны проходить валидацию со статусом OK. Самоподписанные сертификаты подобную валидацию не проходят. (Добавлено в версии 2.0.6).
Значение по умолчанию: NO
Если данный параметр включен, виртуальные пользователи будут иметь такие же привилегии, что и локальные. По умолчанию, виртуальные пользователи используют те же привилегии, что и анонимные, что накладывает больше ограничений (особенно в отношении доступа на запись).
Значение по умолчанию: NO
Данный параметр устанавливает, разрешены ли любые FTP-команды, вносящие изменения в файловую систему. Это команды STOR, DELE, RNFR, RNTO, MKD, RMD, APPE и SITE.
Значение по умолчанию: NO
Если данный параметр включен, будет вестись журнал с подробностями по скачанным и закачанным файлам. По умолчанию этот файл размещается в /var/log/vsftpd.log, но данное расположение можно переопределить с помощью параметра vsftpd_log_file.
Значение по умолчанию: NO (но в образце конфигурационного файла установлено YES)
Если данный параметр включен, журнал передач будет вестись в стандартном формате xferlog, используемом wu-ftpd. Это полезно, так как вы можете повторно использовать существующие генераторы статистики передач. Однако, формат по умолчанию более удобочитаем. Путь к данному журналу по умолчанию - /var/log/xferlog, но вы можете изменить его с помощью параметра xferlog_file.
Значение по умолчанию: NO
Ниже приведен список числовых параметров. В качестве значения числового параметра должно быть указано целое неотрицательное число. Для удобства работы с пользовательскими масками также поддерживаются восьмеричные значения. Для указания восьмеричного числа используйте 0 в качестве его первой цифры.
Максимальный срок ожидания в секундах при установлении удаленным клиентом соединения для передачи данных типа PASV.
Значение по умолчанию: 60
Максимальная разрешенная скорость передачи данных для анонимных клиентов, в байтах в секунду.
Значение по умолчанию: 0 (без ограничений)
Значение, устанавливаемое для пользовательской маски при создании файлов анонимными пользователями. Внимание! Если вы хотите указать восьмеричные значения, начинайте их с "0", иначе значение будет рассматриваться как десятичное!
Значение по умолчанию: 077
Права доступа, принудительно выставляемые на анонимные закачки при смене владельца с помощью chown(). (Добавлено в версии 2.0.6).
Значение по умолчанию: 0600
Максимальный срок ожидания в секундах, в течение которого клиент должен ответить на наше подключение для передачи данных типа PORT.
Значение по умолчанию: 60
Максимальный срок, в секундах, в течение которого разрешается простой при передачах данных без какого-либо прогресса. Если срок превышен, удаленный клиент принудительно отключается.
Значение по умолчанию: 300
Размер в секундах паузы перед сообщением о неудавшемся входе в систему.
Значение по умолчанию: 1
Размер в секундах паузы перед разрешением успешного входа в систему.
Значение по умолчанию: 0
Разрешения, с которыми создаются закачиваемые файлы. Поверх данного значения применяются пользовательские маски. Вам может понадобиться установить значение на 0777, если вы хотите, чтобы закачиваемые файлы были исполняемыми.
Значение по умолчанию: 0666
Порт, с которого открываются соединения типа PORT (если включен неудачно названный параметр connect_from_port_20).
Значение по умолчанию: 20
Максимальный срок ожидания в секундах, который допускается между FTP-командами от удаленного клиента. Если срок превышен, удаленный клиент принудительно отключается.
Значение по умолчанию: 300
Если vsftpd работает в автономном режиме, он будет слушать этот порт на предмет входящих соединений.
Значение по умолчанию: 21
Максимально разрешенная скорость передачи данных для локальных аутентифицированных пользователей, в байтах в секунду.
Значение по умолчанию: 0 (без ограничений)
Значение пользовательской маски, установленной для локальных пользователей при создании файлов. Внимание! Если вы хотите указывать восьмеричные значения, не забудьте поставить в начале "0", иначе значение будет обработано как десятичное!
Значение по умолчанию: 077
Если vsftpd работает в автономном режиме, это максимальное количество клиентов, которые могут быть подключены. Любые дополнительные клиенты получат сообщение об ошибке при попытке подключения.
Значение по умолчанию: 0 (без ограничений)
После данного количества неудачных попыток входа в систему сессия принудительно закрывается.
Значение по умолчанию: 3
Если vsftpd работает в автономном режиме, это максимальное количество клиентов, которые могут подключаться с одного исходящего интернет-адреса. При превышении данного ограничения клиент получит сообщение об ошибке.
Значение по умолчанию: 0 (без ограничений)
Максимальный номер порта, который может быть выделен под подключения типа PASV. Может использоваться для задания узкого диапазона портов для упрощения работы межсетевого экрана.
Значение по умолчанию: 0 (использовать любой порт)
Минимальный номер порта, который может быть выделен под подключения типа PASV. Может использоваться для задания узкого диапазона портов для упрощения работы межсетевого экрана.
Значение по умолчанию: 0 (использовать любой порт)
Вам, наверное, не придется изменять данный параметр, но попробуйте установить значение на что-то вроде 8192, чтобы добиться гораздо более плавного ограничения пропускной способности.
Значение по умолчанию: 0 (vsftpd сам подберет разумное значение)
Ниже приведен список строковых параметров.
Данный параметр представляет собой каталог, в который vsftpd попробует перейти после анонимного входа в систему. Недопустимый каталог приведет к ошибке "500 OOPS" для клиентов.
Анонимный FTP по умолчанию использует привилегии пользователя "ftp" и его домашний каталог в качестве корневого. При первой установке пакета vsftpd данный пользователь будет создан с домашним каталогом по адресу "/srv/ftp". Если вы хотите использовать другую учетную запись пользователя, измените в файле /etc/vsftpd.conf значение "ftp_username". ВВы можете также поменять корневой каталог с помощью параметра anon_root.
Для правильной работы параметра anon_root домашний каталог пользователя ftp должен существовать. Например, если вы установите значение "anon_root=/srv/ftp_anon", но удалите домашний каталог "/srv/ftp", то клиенты будут получать ошибку "500 OOPS".
Значение по умолчанию: (отсутствует)
Значение данного параметра представляет собой имя файла, содержащего список запрещенных email-адресов, используемых в качестве паролей при анонимном входе в систему. Данный файл опрашивается, если включен параметр deny_email_enable.
Значение по умолчанию: /etc/vsftpd.banned_emails
Значение данного параметра представляет собой имя файла с текстом, который демонстрируется, когда кто-то подключается к серверу. Если оно задано, оно переопределяет строку, задаваемую параметром ftpd_banner.
Значение по умолчанию: (отсутствует)
Данный параметр представляет собой имя файла, из которого загружаются сертификаты удостоверяющего центра для валидации клиентских сертификатов. Загруженные сертификаты также предлагаются клиенту, чтобы обеспечить работу клиентов TLSv1.0, таких как FTP-клиент z/OS. К сожалению, пути по умолчанию к сертификатам удостоверяющего центра SSL не используются из-за того, что vsftpd использует ограниченные области файловой системы (chroot). (Добавлено в версии 2.0.6).
Значение по умолчанию: (отсутствует)
Это имя пользователя, который назначается в качестве владельца анонимно загруженных файлов. Данный параметр работает, только если установлен параметр chown_uploads.
Значение по умолчанию: root
Данный параметр представляет собой имя файла, содержащего список локальных пользователей, которые будут помещены в chroot()-песочницу в своих домашних каталогах. Данный параметр работает, только если включен параметр chroot_list_enable. Если включен параметр chroot_local_user, данный файл становится списком пользователей, которые НЕ БУДУТ помещаться в chroot()-песочницу.
Значение по умолчанию: /etc/vsftpd.chroot_list
В данном параметре указывается разделенный запятыми список разрешенных FTP-команд (после входа в систему. Команды USER, PASS, QUIT и другие всегда разрешены до входа в систему). Остальные команды отклоняются. Это мощный способ ограничения доступа к FTP-серверу. Пример: cmds_allowed=PASV,RETR,QUIT
Значение по умолчанию: (отсутствует)
В данном параметре указывается разделенный запятыми список запрещенных FTP-команд (после входа в систему. Команды USER, PASS, QUIT и другие всегда разрешены до входа в систему). Если команда присутствует и здесь, и в параметре cmds_allowed, приоритет отдается запрету. (Добавлено в в. 2.1.0).
Значение по умолчанию: (отсутствует)
Задайте значение LC_TIME для настройки отображения даты. Значение по умолчанию - "C" (т.е. LC_TIME=C) - это важно для команды "ls" в старых ftp-клиентах и curlftpfs. Если вы хотите видеть дату в своем национальном формате, например в русском, значение нужно указывать следующим образом: custom_lc_time=ru_RU.UTF-8
Значение по умолчанию: C
Данный параметр может использоваться для задания шаблона имен файлов (каталогов и т.д.), которые никоим образом не должны быть доступны. Затронутые объекты не скрываются, но в любых действиях с ними (скачивание, переход в каталог, изменение чего-либо в каталоге и т.д.) будет отказано. Этот параметр очень простой и не должен использоваться для серьезного контроля доступа, предпочтение следует отдавать разрешениям файловой системы. Однако, данный параметр может быть полезен в некоторых конфигурациях с виртуальными пользователями. В частности, следует учитывать, что файл может быть доступен с разными именами (например по символьным или жестким ссылкам), в таком случае доступ должен быть запрещен для всех имен. Будет запрещен доступ к объектам, чьи имена содержат строку, заданную в параметре hide_file, или соответствуют указанному в нем регулярному выражению. Учтите, что код vsftpd, проверяющий регулярные выражения, является простой реализацией с частичным набором функций. Из-за этого вам придется очень тщательно тестировать любое применение данного параметра. Для реализации любых важных политик безопасности рекомендуется использовать разрешения файловой системы, так как они надежнее. Синтаксис поддерживаемых регулярных выражений включает в себя любое количество операторов *, ? и невложенных {,}. Сопоставление регулярных выражений доступно только для последнего элемента пути, напр. a/b/? поддерживается, тогда как a/?/c - нет. Пример: deny_file={*.mp3,*.mov,.private}
Значение по умолчанию: (отсутствует)
Данный параметр позволяет скачивать только файлы с именами, совпадающими с указанным шаблоном. Если имя файла также совпадает с шаблоном в параметре deny_file, приоритет отдается запрету. Подробности по использованию и шаблону приведены в описании параметра deny_file.
Значение по умолчанию: (отсутствует)
Данный параметр указывает расположение DSA-сертификата для зашифрованных SSL-соединений.
Значение по умолчанию: (отсутствует, достаточно сертификата RSA)
Данный параметр указывает расположение закрытого ключа DSA для зашифрованных SSL-подключений. Если данный параметр не задан, ожидается, что закрытый ключ будет в том же файле, что и сертификат.
Значение по умолчанию: (отсутствует)
В значении данного параметра можно указать альтернативный файл для использования с параметром secure_email_list_enable.
Значение: /etc/vsftpd.email_passwords
Это имя пользователя, который будет использоваться для анонимного FTP. Домашним каталогом данного пользователя является корень области анонимного FTP.
Значение по умолчанию: ftp
Данный строковый параметр позволяет переопределить приветственный баннер, демонстрируемый vsftpd при первом подключении.
Значение по умолчанию: (отсутствует - отображается баннер vsftpd по умолчанию)
См. булевый параметр guest_enable на предмет того, что из себя представляет гостевой вход в систему. Данный параметр является реальным именем пользователя, с которым сопоставляются гостевые пользователи.
Значение по умолчанию: ftp
Данный параметр может использоваться для задания шаблонов имен файлов (каталогов и т.д.), которые должны быть скрыты из листингов каталогов. Несмотря на скрытие файлы/каталоги и т.д. остаются полностью доступны для клиентов, знающих их фактические имена. Будут скрыты объекты, чьи имена содержат строку, заданную в параметре hide_file, или соответствуют указанному в нем регулярному выражению. Учтите, что код vsftpd, проверяющий регулярные выражения, является простой реализацией с частичным набором функций. Подробности по поддерживаемому синтаксису регулярных выражений приведены в описании параметра deny_file. Пример: hide_file={*.mp3,.hidden,hide*,h?}
Значение по умолчанию: (отсутствует)
Если vsftpd работает в автономном режиме, с помощью данного параметра можно переопределить адрес прослушивания по умолчанию (для всех локальных интерфейсов). Укажите IP-адрес в числовом виде.
Значение по умолчанию: (отсутствует)
Аналогично параметру listen_address, но указывает адрес прослушивания по умолчанию для IPv6 (который используется, если установлен параметр listen_ipv6). Формат записи - обычный IPv6 адрес.
Значение по умолчанию: (отсутствует)
Данный параметр представляет собой каталог, в который vsftpd попробует перейти после локального (т.е. неанонимного) входа в систему. Неудачные попытки тихо игнорируются.
Значение по умолчанию: (отсутствует)
В данном параметре указывается имя файла, который ищется при создании нового каталога. Содержимое этого файла показывается удаленному пользователю. Данный параметр действует, только ели включен параметр dirmessage_enable.
Значение по умолчанию: .message
Это имя пользователя, который используется vsftpd для работы в полностью непривилегированном режиме. Учтите, что это должен быть отдельный пользователь, а не nobody. Пользователь nobody используется для достаточно большого количества важных задач на большинстве машин.
Значение по умолчанию: nobody
Эта строка представляет собой имя PAM-службы, которую будет использовать vsftpd.
Значение по умолчанию: vsftpd
Используйте данный параметр, чтобы переопределить IP-адрес, который vsftpd будет объявлять в ответ на команду PASV. Вводите числовой IP-адрес, если параметр pasv_addr_resolve не включен, в противном случае вы можете ввести имя хоста, которое будет преобразовано DNS-сервером при запуске.
Значение по умолчанию: (отсутствует - адрес берется из подключенного входящего сокета)
Данный параметр указывает расположение RSA-сертификата, который будет использоваться с зашифрованными SSL-соединениями.
Значение по умолчанию: /usr/share/ssl/certs/vsftpd.pem
Данный параметр указывает расположение закрытого ключа RSA для зашифрованных SSL-подключений. Если данный параметр не задан, ожидается, что закрытый ключ будет в том же файле, что и сертификат.
Значение по умолчанию: (отсутствует)
В качестве значения данного параметра следует задать имя пустого каталога. Также в этот каталог не должен иметь доступ на запись пользователь ftp. Этот каталог используется в качестве безопасной chroot()-песочницы, когда vsftpd не требуется доступ к файловой системе.
Значение по умолчанию: /var/run/vsftpd/empty
Данный параметр может использоваться для выбора SSL-шифров, которые vsftpd позволит использовать для зашифрованных SSL-подключений. Дальнейшие подробности приведены в руководстве по ciphers. Учтите, что ограничение состава доступных методов шифрования может быть полезной мерой предосторожности, так как оно не позволит злоумышленникам принудительно использовать шифр, в котором были обнаружены уязвимости.
Значение по умолчанию: DES-CBC3-SHA
Если данный параметр задан, SSL-подключения будут отклоняться, если имя хоста SNI при входящем установлении соединения совпадает с данным значением.
Значение по умолчанию: (отсутствует)
Данный параметр позволяет закачивать только файлы с именами, совпадающими с указанным шаблоном. Если имя файла также совпадает с шаблоном в параметре deny_file, приоритет отдается запрету. Подробности по использованию и шаблону приведены в описании параметра deny_file.
Значение по умолчанию: (отсутствует)
Данный мощный параметр позволяет переопределять любой параметр конфигурации, указанный в инструкции, для отдельных пользователей. Использование данного параметра простое, проще всего проиллюстрировать его примером. Если вы установите значение параметра user_config_dir на /etc/vsftpd_user_conf, а затем войдете под пользователем "chris", vsftpd на время работы сессии применит настройки в файле /etc/vsftpd_user_conf/chris. Формат данного файла такой же, как описано в данной инструкции. ВНИМАНИЕ! Не все параметры применяются на уровне пользователей. Например, многие параметры применяются до начала пользовательской сессии. Примеры параметров, которые ни на что не влияют на пользовательском уровне, включают в себя listen_address, banner_file, max_per_ip, max_clients, xferlog_file и т.д.
Значение по умолчанию: (отсутствует)
Данный параметр полезен при использовании с виртуальными пользователями. Он используется для автоматического создания на домашнего каталога для каждого виртуального пользователя на основе шаблона. Например, если в параметре guest_username указан домашний каталог реального пользователя /home/virtual/$USER, а значение параметра user_sub_token установлено на $USER, когда виртуальный пользователь fred войдет в систему, он окажется в каталоге /home/virtual/fred (обычно с помощью chroot()). Данный параметр также действует, если local_root содержит user_sub_token.
Значение по умолчанию: (отсутствует)
Данный параметр представляет собой имя файла, загружаемого когда включен параметр userlist_enable.
Значение по умолчанию: /etc/vsftpd.user_list
Данный параметр представляет собой имя файла, в который записывается журнал формата vsftpd. Этот журнал ведется, только когда задан параметр xferlog_enable, и значение параметра xferlog_std_format НЕ ЗАДАНО! Также данный журнал ведется, если установлен параметр dual_log_enable. Однако, если вы установили параметр syslog_enable, этот файл не пишется, а вывод вместо него направляется в системный журнал.
Значение по умолчанию: /var/log/vsftpd.log
Данный параметр представляет собой имя файла, в который пишется журнал передач формата wu-ftpd. Журнал передач ведется, только если заданы параметры xferlog_enable и xferlog_std_format. Также он ведется, если задан параметр dual_log_enable.
Значение по умолчанию: /var/log/xferlog
scarybeasts@gmail.com
Русский перевод этой страницы руководства: Игорь Чижов <support@astralinux.ru>
Этот перевод является бесплатной документацией; прочитайте Стандартную общественную лицензию GNU версии 3 или более позднюю, чтобы узнать об условиях авторского права. Мы не несем НИКАКОЙ ОТВЕТСТВЕННОСТИ.
Если вы обнаружите ошибки в переводе этой страницы руководства, пожалуйста, отправьте электронное письмо на .