vsftpd系列--1--全局設定

####/etc/vsftpd/vsftpd.conf

#一般伺服器系統設定項目：

max_clients=50    //最多允許50個用戶端同時連接配接

max_per_ip=5     //每個ip最多可同時建立5個連接配接

use_localtime=yes    //使用本地時間

xferlog_enable=yes    //使用xferlog來記錄使用者上傳和下載下傳的記錄，格式為wu-ftpd 類型的傳輸日志

#xferlog_file=/etc/log/xferlog    //該項為系統預設設定，可不添加 

#dual_log_enable=yes    

#vsftpd_log_file=/var/log/vsftpd.log    //日志檔案

connect_from_port_20=yes    //開啟從20端口進行資料傳輸

listen=yes    //當vsftpd以stand alone運作時，需要啟動此項，若配置以super deamon方式運作，則設定成no

#listen_port=21    //設定伺服器的控制端口，該項為系統的預設設定

banner_file=/etc/vsftpd/welcome.txt    //設定使用者登入伺服器時的歡迎資訊

pam_service_name=vsftpd    //若啟用pam子產品進行驗證，則需要設定此項

tcp_wappers=yes    //啟動tcp_wappers防火牆限制，主要與/etc/hosts.allow和/etc/hosts.deny有關

pasv_enable=yes    //啟用伺服器的被動式連接配接

pasv_min_port=64000    //被動式連接配接時伺服器啟動的端口範圍的最小值

pasv_max_port=64100     //被動式連接配接時伺服器啟動的端口範圍的最大值

##pam通路控制

相關檔案：

----1./etc/pam.d/vsftpd ：用于設定pam子產品限制檔案内的使用者無法使用vsftpd，預設為/etc/vsftpd/ftpusers

----2./etc/vsftpd/ftpusers：此檔案内的ftp賬号不能登入vsftpd，預設将系統賬号全部加入，一行一個賬号

##vsftpd通路控制

----1./etc/vsftpd/user_list：是vsftpd自定義的阻擋通路項目。與pam功能相同。

該通路控制與vsftpd.conf的配置項有關，若要啟動，則需要添加以下2設定項

userlist_enable=yes    //啟用user_list來限制通路

userlist_deny=yes    //當設定成yes時，在user_list檔案内的賬号不能通路ftp;當設定成no時，隻允許user_list檔案内的賬号通路ftp.

##主目錄控制

----1./etc/vsftpd/chroot_list：該檔案預設不存在，需要自己建立。在此檔案内賬号會被限制在其主目錄下，而不能到其他目錄去。

要使此控制生效，與vsftpd.conf的配置有關，若要啟動，則需添加以下設定項：

chroot_local_user=yes    //預設為no.若要使實體使用者全部被chroot，則需要啟動此項。即将實體使用者登入後目錄限制在ftp的主目錄

chroot_list_enable=yes    //啟用chroot_list

chroot_list_file=/etc/vsftpd/chroot_list    //當chroot_local_user=yes時，在/etc/vsftpd/chroot_list中的賬号不會被限制，可以切換到 

                                                              //系統的其他目錄，當為預設即no時，在此檔案中的賬号會被限制，不在的可切換到其他目錄

匿名使用者被chroot後，其主目錄為ftp使用者的主目錄/var/ftp;而實體使用者被chroot後，其主目錄為/home/xxx/

##檔案系統iptables限制

----1.加入iptables的ip_nat_ftp和ip_conntrack_ftp子產品.用于在主動式連接配接中使防火牆能夠分析目标是port21的連接配接資訊，

        若接收到ftp伺服器的主動連接配接，就能夠将該資料包導向後方主機了。

vim /etc/sysconfig/iptables-config

iptables_modules="ip_nat_ftp ip_conntrack_ftp"

----2.将端口20,21和在vsftpd.conf中設定的pasv連接配接的端口放行

iptables -i input -p tcp --dport 20:21 --sport 1024:65534 -j accept

ptables -i input -p tcp --dport 65400:654100 --sport 1024:65534 -j accept

整理自：鳥哥的linux私房菜伺服器篇