VSFtp配置文檔翻譯(一)(轉)

<b>VSFtp配置文檔翻譯(一)(轉)</b>

FROM  Marion

作者：彭席漢     http://blog.chinaunix.net/u1/33677

名稱

Vsftpd.conf    --     vsftpd的配置檔案

Vsftpd.conf用于控制vsftpd守護程式的各項功能。預設狀态下，vsftpd的配置檔案是/etc/vsftpd.conf。但是它可以通過傳遞一個指令行參數給vsftpd來修改，這個指令行參數就是vsftpd配置檔案的路徑。這個功能很有用，因為你可能希望使用進階inetd例如xinetd來啟動vsftpd，并且每個虛拟主機具有不同的配置檔案。

Vsftpd.conf的格式非常簡單。每一行或者是注釋或者是指令。注釋行以#開頭并且被忽視。一個指令行具有如下的格式：

option=value

特别要注意的是“option”，“=”以及“value”之間不允許出現任何空格。

每項設定都有一個預設值，可以通過配置檔案進行修改。

以下是boolean選項的一個清單。Boolean選項的值可以被設定為YES或者NO。

allow_anon_ssl

隻有當ssl_enable選項激活才能啟動此選項。如果被設定成YES，匿名使用者将被允許

使用安全SSL連接配接。

預設：NO

anon_mkdir_write_enable

如果被設定成YES，匿名使用者在特定的條件下允許建立新的目錄。要使此選項有效，選項write_enable必須被激活，并且匿名ftp使用者在父目錄下必須有寫的權限。

anon_upload_enable

如果被設定成YES，匿名使用者在特定的條件下被允許上傳檔案。要使此選項生效，write_enable選項必須被激活，并且匿名ftp使用者在上傳目錄下必須具有寫的權限。對于要上傳的虛拟使用者來說這個設定也是必須的；預設狀态下，虛拟使用者賦以匿名使用者的優先級。

anon_world_readable_only

當此選項被激活，匿名使用者隻允許下載下傳全局可讀的檔案。這就意味着ftp使用者擁有自己的檔案，尤其是在上傳的場合下。

預設：YES

anonymous_enable

控制是否允許匿名使用者登入。如果被激活，“ftp”和“anonymous”都被視為匿名登入。

ascii_download_enable

       當被激活，下載下傳時将以ASCII模式的資料傳輸。

       預設：NO

ascii_upload_enable

       當被激活，上傳時将以ASCII模式的資料傳輸。

async_abor_enable

當被激活，一個名為“async ABOR”的特殊指令将被激活。隻有當不正常的用戶端才會使用這個功能。還有就是這個功能非常不好用，是以預設狀态下它是被禁止掉的。不幸的是，如果沒有這個功能，一些FTP用戶端在取消傳輸時會挂掉，是以你可能想激活它。

background

當被激活，并且vsftpd以“監聽”的模式啟動，vsftpd将在背景運作監聽程序。也就是說控制端立即傳回到啟動vsftpd的shell。

check_shell

注意！此選項隻對non-PAM編譯的vsftpd有效。如果此選項被禁止，對于本地使用者登入，vsftpd将不會去檢查/etc/shells以判斷它是否有一個合法的使用者shell。

chmod_enable

當被激活，就可以使用SITE CHMOD指令。注意！此選項僅應用于本地使用者。匿名使用者不允許使用SITE CHMOD指令。

chown_uploads

如果激活，所有的匿名使用者上傳的檔案的所有者将會被改變為由chown_username選項确定的使用者。從管理者也許還有安全的角度看，這個選項是有用的。

chroot_list_enable

如果被激活，你要提供一份本地使用者的清單，他們被鎖定在虛根（進入FTP後，PWD一下，看到的目前目錄就是虛根。是FTP的根目錄，并非FTP伺服器系統的根目錄）。如果chroot_local_user選項被設定成YES，該選項的含義稍微有點不同。在這種情況下，使用者清單列出的是不被鎖定在虛根下的使用者。預設狀态下，包含這張清單的檔案是/etc/vsftpd.chroot_list，但是你可以通過chroot_list_file選項來修改它。

chroot_local_user

如果被設定成YES，本地使用者在登入後将被鎖定在虛根的home目錄下。警告：此選項有安全的預示，尤其是當使用者具有上傳和shell通路的權限。隻有當你了解你正在做什麼的情況下，激活此選項。要指出的是這些安全預示不是vsftpd所特有的，它們應用于所有的把本地使用者鎖定虛根下的FTP daemon中。

connect_from_port

此選項控制PORT類型的資料連接配接是否使用伺服器上的20号端口（ftp-data）。由于安全性的原因，一些客戶堅持使用這個端口。相反，禁止這個選項将使vsftpd運作起來燒了一點特殊性。

deny_email_enable

如果激活，你要提供匿名使用者的密碼e-mail表以拒絕以這些密碼登入的使用者。預設狀态下，包含這張表的檔案是/etc/vsftpd.banned_emails，但是你可以通過設定banned_email_file來修改它。

dirlist_enable

       如果設定成NO，所有的清單指令将被拒絕。

       Default:YES

dirmessage_enable

如果被激活，當FTP伺服器的使用者第一次進入一個新目錄後将顯示資訊。預設狀态下，會在這個目錄下查找.message檔案，但是也可以通過設定message_file選項來修改它。

download_enable

       如果設定成NO，所有的下載下傳請求将被拒絕。

       預設：YES

dual_log_enable

如果被激活，可以同時産生兩個日志檔案，預設是/var/log/xferlog和/var/log/vsftpd.log。前者是wu-ftpd各式的日志，可以被标準的工具解析。後者是vsftpd專用格式日志。

force_dot_files

如果被激活，即使“a”标志沒有被客戶使用也會顯示以“.”開頭的檔案和目錄。但是不會顯示“.”和“..”。

force_anon_data_ssl

隻有當激活ssl_enable選項後才能啟用。如果被激活，所有的匿名登入必須使用一個安全的SSL連接配接來發送和接受資料。

force_anon_logins_ssl

隻有當ssl_enable選項被激活後才能應用此選項。如果被激活，所有的匿名登入在發送密碼時必須使用安全SSL連接配接。

force_local_data_ssl

隻有當ssl_enable選項被激活後才能應用此選項。如果被激活，所有的非匿名登入必須使用一個安全的SSL連接配接來發送和接受資料。

force_local_login_ssl

隻有當ssl_enable選項被激活後才能應用此選項。如果被激活，所有非匿名登入在發送密碼的時候必須使用安全SSL連接配接。

guest_enable

如果被激活，所有的非匿名登入被視為“guest”登入。這個guest登入将被映射為guest_username設定裡指定的使用者。

hide_ids

       如果被激活，在目錄清單裡的使用者群組資訊将被顯示為“ftp”。

listen

如果被激活，vsftpd将運作在獨立（standalone）模式下。這就意味着vsftpd不可以從inetd之類的服務中啟動。相反，vsftpd直接執行一次後，它自己将會負責監聽和處理連接配接請求。

listen_ipv6

類似于listen參數，隻不過vsftpd将監聽IPv6的套接字而不是IPv4的。這個參數與listen參數是互斥的。

local_enable

這個參數控制是否允許本地使用者登入。如果被激活，在/etc/passwd裡的普通使用者帳号被用來登入。要使非匿名登入包括虛拟使用者登入生效必須激活此選項。

       lock_upload_files

當被激活，所有的上傳檔案都會具有一個寫鎖。所有的下載下傳檔案都會具有一個共享的讀鎖。警告！在激活此選項之前，要注意的是惡意的讀使用者會讓對檔案進行添加的寫使用者處于饑餓狀态。

              預設：NO

log_ftp_protocol

當被激活，所有的FTP請求和響應在xferlog_std_format沒有被激活的情況下将被記錄，這些資訊對于調試有用。

       ls_recurse_enable

當被激活，這個設定允許使用“ls -R”指令。這有點安全風險，因為在一個大的站點的頂層目錄下使用“ls -R”指令将使用大量的資源。

       mdtm_write

              當被激活，将允許MDTM去設定檔案的修改次數（要受到通常的通路檢查限制）。

              預設：YES

       no_anon_password

              當被激活，vsftpd将不要求匿名使用者輸入密碼—匿名使用者将直接登入。

       no_log_lock

當被激活，在寫log檔案時将阻止vsftpd把檔案鎖住。此選項通常情況下不被激活。它存在于工作區作業系統中，例如Solaris/Veritas混合檔案系統，在這種情況下當試圖鎖住日志檔案時有時會出現挂起的現象。

one_process_model

如果你用的是Linux 2.4核心，可能就會用不同安全模式，即一個連接配接對應一個程序。它是一個不太嚴格的安全模型，但是會提高性能。如果你清楚自己做什麼，并且你的站點支援大量的同時通路，在這種情況下，你可能想激活此選項。

       passwd_chroot_enable

如果連同chroot_local_user一起被激活，那麼虛根使用者的位置根據不同的使用者而确定。每個使用者虛根位置是從/etc/passwd中的父目錄字元串中擷取的。

       pasv_addr_resolve

              如果你想在pasv_address選項中使用主機名，就要激活它。

       pasv_enable

              如果你要禁止PASV這種擷取資料連接配接的方法，要将此選項關掉。

              預設：

       pasv_promiscuous

如果你想關掉PASV安全檢查，就要設定此選項為YES。PASV安全檢查能確定來源于同一個IP位址的資料連接配接作為控制連接配接。隻有當你清楚你在作什麼的時候才能激活這個選項！僅在一些形式的安全隧道機制中使用，或者是為了更好的支援FXP。

       port_enable

              如果你想禁止通過PORT的方法獲得資料連接配接，将此選項設定成NO。

       port_promiscous

如果你想禁止PORT安全檢查，就要設定此選項為YES。這個PORT安全檢查確定對外出去的資料連接配接隻能用于用戶端。隻有當你清楚自己在作什麼的時候才能激活此選項。

       run_as_launching_user

如果你想以啟動vsftpd的使用者來運作vsftpd就要設定此選項為YES。這在不能以root使用者通路系統時非常有用。強烈警告！除非你非常清楚你正在做什麼，否則不要激活此選項，因為對這個選項的草率使用會導緻嚴重的安全問題。特别是，當設定了這個選項後，vsftpd沒有也不能使用虛根技術來限制檔案通路。可以用deny_file選項來替代，但是效果不好，可靠性不能與虛根技術相比，而且不可靠。如果使用了此選項，其他選項的應用就會産生很多限制。例如，需要優先權的選項如非匿名登入，改變上傳檔案擁有者，連接配接20端口以及從小于1024号的端口監聽都不會工作。其他選項也會受到影響。

       secure_email_list_enable

當匿名登入時，如果你想隻允許以設定的e-mail密碼表中的密碼登入，就要将此選項設定成YES。當對低安全級别的内容進行通路限制，這個選項是一個非常有用的低安全限制方法。而且不需要使用虛拟使用者。當此選項被激活後，匿名使用者如果不在email_password_file設定的檔案中将北拒絕登入。這個密碼檔案的格式是一行一個密碼，沒有多餘的空格。預設的檔案名是/etc/vsftpd.email_passwords。

       session_support

這個選項控制vsftpd是否對登入維護會話。如果vsftpd正在維護會話，它将試圖更新utmp以及wtmp。另外，如果使用PAM來鑒别時，此選項會打開一個pam_session，并且直到簽出時才關閉。如果不需要會話日志，你可能會關閉此選項，并且你希望讓vsftpd獲得更多的機會以更少的程序或者更少的權限來運作。注意：utmp和wtmp支援隻有當PAM激活了編譯才有效。

       setproctitle_enable

如果被激活，vsftpd将會在系統程序表中顯示會話狀态資訊。也就是說，報告的程序名将被改為顯示一個vsftpd會話正在進行什麼操作（空閑，下載下傳等）。出于安全目的，你最好關閉此選項。