Для перевода я взял vsftpd.conf из пакета vsftpd-2.3.4.tbz FreeBSD 9.0-RELEASE. FreeBSD была выбрана исходя исключительно из личных предпочтений, однако все написанное подходит и для Linux'а, отличаясь лишь в части расположения файлов. При переводе, стараясь сделать описание более понятным, местами я отходил от оригинального текста, добавлял примеры. Скачать перевод: man-страница, html-версия.
ИМЯ
vsftpd.conf - конфигурационный фай для vsftpdОПИСАНИЕ
vsftpd.conf управляет поведением vsftpd. По умолчанию, vsftpd использует файл /usr/local/etc/vsftpd.conf. Однако, это поведение можно изменить, указав в командной строке vsftpd путь к другому конфигурационному файлу. Эта возможность полезна при использовании расширенной версии inetd, такой как xinetd, для запуска vsftpd с разными конфигурационными файлами для каждого виртуального хоста.ФОРМАТ
Формат vsftpd.conf очень прост. Каждая строка в файле либо комментарий, либо директива. Строка с комментарием начинается с # и игнорируется. Директива состоит из парыопция=значение
. При этом пробела между именем опции, символом = и её значением быть не должно. Каждая опция имеет значение по умолчанию, которое может быть изменено при компиляции в конфигурационном файле.БУЛЕВЫ ОПЦИИ
Ниже приведен список поддерживаемых булевых опций. Эти опции могут принимать значение YES или NO.- allow_anon_ssl
- Разрешить анонимным пользователям устанавливать защищенные SSL соединения. Действует только при включенной опции ssl_enable.
По умолчанию: NO
- anon_mkdir_write_enable
- Разрешить анонимным пользователям создавать новые каталоги. Действует при включенной опции write_enable и наличия у анонимного ftp-пользователя прав на запись в родительский каталог.
По умолчанию: NO
- anon_other_write_enable
- Разрешить анонимным пользователям удаление и переименование. Эта опция предоставлена для полноты и, в общем случае, включать ее не рекомендуется.
По умолчанию: NO
- anon_upload_enable
- Разрешить анонимным пользователям загружать файлы. Опция write_enable должна быть установлена в YES, а анонимный пользователь иметь права на запись в соответствующий каталог. Действие опции распространяется и на виртуальных пользователей, по умолчанию принимаемых за анонимных (т.е. с минимальными привилегиями).
По умолчанию: NO
- anon_world_readable_only
- Разрешить анонимным пользователям скачивать лишь те файлы, которые доступны всем на чтение. Стоит отметить, что пользователь ftp может владеть файлами, особенно при разрешенных загрузках.
По умолчанию: YES
- anonymous_enable
- Разрешить анонимный доступ. В качестве имени пользователя для анонимного входа используется ftp или anonymous.
По умолчанию: YES
- ascii_download_enable
- Предпочитать при скачивании ASCII-режим передачи данных.
По умолчанию: NO
- ascii_upload_enable
- Предпочитать при загрузках ASCII-режим передачи данных.
По умолчанию: NO
- async_abor_enable
- Разрешить использование специальной команды FTP, известной как "async ABOR". Ею пользуются "кривые" FTP-клиенты, "зависающие" при отмене передачи файлов, если данная команда будет недоступна.
По умолчанию: NO
- background
- Разрешить работу в фоновом режиме. При включении этой опции и запуске в "прослушивающем" режиме, vsftpd сразу переходит в фон и возвращает управление в вызвавший шелл.
По умолчанию: NO
- check_shell
- Проверять файл /etc/shells на корректность пользовательского шелла при локальных логинах. Эта опция действует только в non-PAM сборках vsftpd.
По умолчанию: YES
- chmod_enable
- Разрешить использование команды SITE CHMOD. Применяется только к локальным пользователям. Анонимные пользователи никогда не используют SITE CHMOD.
По умолчанию: YES
- chown_uploads
- Делать владельцем анонимно загруженных файлов пользователя, заданного опцией chown_username. Может быть полезно с точки зрения администрирования и, возможно, безопасности.
По умолчанию: NO
- chroot_list_enable
- Выполнять chroot() в домашний каталог для пользователей, перечисленных в файле /usr/local/etc/vsftpd.chroot_list. Задать другой файл можно через опцию chroot_list_file. Если chroot_local_user=YES, то chroot() к перечисленным в файле пользователям, наоборот, не применяется.
По умолчанию: NO
- chroot_local_user
- Выполнять chroot() в домашний каталог для локальных пользователей. Внимание! Эта опция представляет угрозу для безопасности, особенно если пользователи могут загружать файлы или имеют shell-доступ. Включайте её только если понимаете что делаете. Это предупреждение относится и к другим FTP-демонам, применяющим chroot() к локальным пользователям.
По умолчанию: NO
- connect_from_port_20
- Использовать для передачи данных порт 20 (ftp-data), как этого требуют некоторые клиенты. Установка этой опции в NO позволяет запускать vsftpd с меньшими привилегиями.
По умолчанию: NO
- debug_ssl
- Сохранять диагностические сообщения OpenSSL в лог-файле vsftpd. (Добавлено в v2.0.6)
По умолчанию: NO
- delete_failed_uploads
- Удалять файлы, при загрузке которых возникли ошибки. (Добавлено в v2.0.7)
По умолчанию: NO
- deny_email_enable
- Запрещать вход анонимным пользователям, чей пароль (в виде email-адреса) указан в файле /usr/local/etc/vsftpd.banned_emails. Задать другой файл можно через опцию banned_email_file.
По умолчанию: NO
- dirlist_enable
- Разрешить просмотр содержимого каталогов.
По умолчанию: YES
- dirmessage_enable
- Показывать пользователям сообщение из файла .message, когда они заходят в какой-либо каталог. Можно указать другой файл с помощью опции message_file.
По умолчанию: NO
- download_enable
- Разрешить скачивать файлы.
По умолчанию: YES
- dual_log_enable
- Вести параллельно два лог-файла. Первый, по умолчанию /var/log/xferlog, в формате wu-ftpd, который можно разбирать стандартными инструментами. Второй, по умолчанию /var/log/vsftpd.log, в собственном формате vsftpd.
По умолчанию: NO
- force_dot_files
- Выводить файлы и каталоги, чьи имена начинаются с точки (кроме "." и "..") даже когда клиент не указал флаг "a".
По умолчанию: NO
- force_anon_data_ssl
- Принудительно использовать SSL-соединения для передачи файлов анонимных пользователей. Действует только при включенной опции ssl_enable.
По умолчанию: NO
- force_anon_logins_ssl
- Принудительно использовать SSL-соединения для передачи пароля при логине анонимных пользователей. Действует только при включенной опции ssl_enable.
По умолчанию: NO
- force_local_data_ssl
- Принудительно использовать SSL-соединения для передачи файлов не анонимных пользователей. Действует только при включенной опции ssl_enable.
По умолчанию: YES
- force_local_logins_ssl
- Принудительно использовать SSL-соединения для передачи пароля при логине не анонимных пользователей. Действует только при включенной опции ssl_enable.
По умолчанию: YES
- guest_enable
- Разрешить виртуальных пользователей. Опция guest_username задает локального пользователя, от имени которого работают виртуальные. Виртуальные пользователи не существуют в системе и не значатся в таких файлах как /etc/passwd. Это делает их использование более безопасным, т.к. такая учетная запись, будучи скомпрометированной, не может использоваться для других сервисов, например, ssh или smtp.
По умолчанию: NO
- hide_ids
- При просмотре содержимого каталога заменять информацию о владельце и группе на "ftp".
По умолчанию: NO
- implicit_ssl
- Использовать протокол Implicit FTPS, при этом процедура SSL рукопожатия начинается сразу после подключения клиента. Для применения Explicit FTPS (FTPES) или не зашифрованных соединений должен быть запущен отдельный процесс-слушатель vsftpd.
По умолчанию: NO
- listen
- Запускать vsftpd в режиме демона. В этом режиме vsftpd сам обслуживает входящие соединения и не может запускаться через супер-демона вроде inetd.
По умолчанию: NO
- listen_ipv6
- Эта опция похожа на listen, за исключением того, что для входящих соединений vsftpd вместо IPv4-сокета использует IPv6-сокет. Не может использоваться вместе с listen.
По умолчанию: NO
- local_enable
- Разрешить вход локальным пользователям. Учетные записи берутся из /etc/passwd (или используется PAM). Значение YES разрешает работу не анонимных и виртуальных пользователей.
По умолчанию: NO
- lock_upload_files
- Выставлять блокировку на запись для загружаемых файлов и разделяемую блокировку на чтение для скачиваемых. Внимание! Злоумышленник может специально читать файл, чтобы не дать загружающему дописать в него.
По умолчанию: YES
- log_ftp_protocol
- Записывать все FTP запросы и ответы в лог (полезно при отладке). При этом опция xferlog_std_format должна быть выключена, а xferlog_enable включена.
По умолчанию: NO
- ls_recurse_enable
- Разрешить использование "ls -R". Это создает незначительную угрозу безопасности, т.к. выполнение "ls -R" для каталога с большим количеством подкаталогов и файлов, может потребовать много ресурсов.
По умолчанию: NO
- mdtm_write
- Разрешить команде MDTM устанавливать время модификации файла (полезно для проверки доступа).
По умолчанию: YES
- no_anon_password
- Не спрашивать пароль у анонимных пользователей.
По умолчанию: NO
- no_log_lock
- Не блокировать лог-файлы при записи. Как привило, эта опция выключена и нужна лишь при наличии ошибок в операционной системе. Так например попытка установить блокировку на лог-файлы в Solaris с файловой системой Veritas может привести к зависанию.
По умолчанию: NO
- one_process_model
- Использовать один процесс на одно соединение. Эта модель безопасности для ядер Linux 2.4 более производительна, однако менее безопасна. Не включайте эту опцию, если не понимаете что делаете и если вашему серверу не нужна поддержка огромного количества одновременных соединений.
По умолчанию: NO
- passwd_chroot_enable
- Использовать chroot() относительно пользовательского домашнего каталога, указанного в /etc/passwd. Требует включения опции chroot_local_user. Чтобы запереть пользователя в каталоге ниже домашнего, после него нужно добавить "/./". Например:
# pw usermod user -d /home/user/ftp/./..
запирает пользователя user в /home/user/ftp, сохраняя /home/user как его домашний каталог.
По умолчанию: NO
- pasv_addr_resolve
- Преобразовывать в IP-адрес имя узла (через DNS), заданное в pasv_address.
По умолчанию: NO
- pasv_enable
- Разрешить пассивный режим работы (использовать команду PASV при установлении соединения для передачи данных).
По умолчанию: YES
- pasv_promiscuous
- Разрешить установку соединения для передачи данных с другого IP-адреса, нежели управляющее соединение. Это необходимо лишь в некоторых случаях при организации безопасных туннелей или поддержке FXP. Включайте эту опцию только если понимаете что делаете!
По умолчанию: NO
- port_enable
- Разрешить команду PORT при установлении соединения для передачи данных.
По умолчанию: YES
- port_promiscuous
- Не проверять команду PORT, с целью убедиться, что исходящее соединение установлено именно с клиентом. Включайте только если знаете что делаете!
По умолчанию: NO
- require_cert
- Требовать для всех SSL соединений наличия клиентского сертификата. Проверка подлинности сертификата, управляется опцией validate_cert. (Добавлено в 2.0.6)
По умолчанию: NO
- require_ssl_reuse
- Требовать от всех SSL соединений для передачи данных повторного использования SSL-сессии, что подтверждает использование такого же общего секрета (master secret) как и при установлении управляющего соединения. Многие FTP-клиенты могут не работать, если эта опция включена. Более подробное обсуждение смотрите здесь. (Добавлено в v2.1.0)
По умолчанию: YES
- run_as_launching_user
- Работать с правами запустившего пользователя. Эта опция полезна, когда root-доступ нежелателен или недоступен. Однако, её использование накладывает ограничения на некоторые параметры. Например, не будут работать опции, требующие особых привилегий, такие как не анонимные логины, изменение владельца загруженных файлов, соединение по 20 порту и прослушивание портов с номером меньше 1024. Кроме того, при включении этой опции vsftpd не использует chroot для ограничения доступа к файлам, даже если запущен от имени root’а. Использование опции deny_file со значением {/*,*..*}, как альтернативы chroot, является не лучшим вариантом. ВНИМАНИЕ! Включайте эту опцию только если точно знаете что делаете!
По умолчанию: NO
- secure_email_list_enable
- Использовать для проверки пароля при анонимных логинах список e-mail адресов из файла, заданного опцией email_password_file. Полезно для ограничения доступа без создания виртуальных пользователей. По умолчанию используется файл /usr/local/etc/vsftpd.email_passwords, формат которого: один пароль на строку, никаких пробелов.
По умолчанию: NO
- session_support
- Включить поддержку сессий. При этом vsftpd будет пытаться обновлять wtmp и utmp. Если для авторизации используется PAM, то также будет предпринята попытка открыть pam_session при входе пользователя и закрыть её при выходе. Эту опцию можно отключить, если не требуется ведение лог-файла сессии или нужна возможность запускать vsftpd с меньшим количеством процессов и/или с меньшими привилегиями. Модификация wtmp и utmp работает только, если vsftpd собран с поддержкой PAM.
По умолчанию: NO
- setproctitle_enable
- Показывать информацию о состоянии сессии в списке процессов, выдаваемым, например, командой ps. Другими словами, имя процесса будет изменено, чтобы отражать состояние сессии vsftpd (idle, downloading и т.д.). Из соображений безопасности, возможно, эту опцию лучше оставить выключенной.
По умолчанию: NO
- ssl_enable
- Использовать SSL для всех соединений, если vsftpd был собран с библиотекой OpenSSL. Эта опция действует как на управляющие соединения (включая логин), так и на соединения для передачи данных. Клиент также должен поддерживать SSL. ВНИМАНИЕ! Включайте эту опцию только если это вам действительно нужно, т.к. vsftpd не может дать никаких гарантий по поводу безопасности OpenSSL. Включая её, вы полагаетесь на библиотеку OpenSSL, установленную в вашей системе.
По умолчанию: NO
- ssl_request_cert
- Запрашивать (но не требовать, см. require_cert) сертификат при входящих SSL соединениях. Как правило, это ни у кого не вызывает проблем, кроме IBM zOS. (Добавлено в 2.0.7)
По умолчанию: YES
- ssl_sslv2
- Разрешить соединения по протоколу SSL v2. Действует только когда опция ssl_enable установлена в YES. Предпочтительнее использовать соединения по протоколу TLS V1.
По умолчанию: NO
- ssl_sslv3
- Разрешить соединения по протоколу SSL v3. Действует только когда опция ssl_enable установлена в YES. Предпочтительнее использовать соединения по протоколу TLS V1.
По умолчанию: NO
- ssl_tlsv1
- Разрешить соединения по протоколу TLS v1. Действует только когда опция ssl_enable установлена в YES. Предпочтительнее использовать соединения по протоколу TLS V1.
По умолчанию: YES
- strict_ssl_read_eof
- Завершать загрузку через SSL, а не через EOF принятый через сокет. Это даёт возможность убедиться, что атакующий не завершил загрузку подделанным TCP FIN. К сожалению по умолчанию выключено, потому что лишь не многие клиенты правильно обрабатывают эту опцию. (Добавлено в 2.0.7)
По умолчанию: NO
- strict_ssl_write_shutdown
- Завершать скачивание через SSL, а не через EOF принятый на сокете. Это даёт клиенту возможность убедиться в том, что он принял файл целиком, хотя он может проверить целостность файла и без этой опции. По умолчанию опция выключена, т.к. автор не нашёл ни одного клиента работающего с ней правильно. (Добавлено в 2.0.7)
По умолчанию: NO
- syslog_enable
- Все диагностические сообщения вместо файла /var/log/vsftpd.log перенаправлять в syslog, используя категорию FTPD.
По умолчанию: NO
- tcp_wrappers
- Пропускать входящие соединения через TCP Wrappers, если vsftpd был скомпилирован с их поддержкой. Кроме того, не следует забывать про механизм конфигурации отдельно для каждого IP-адреса. Используя TCP Wrappers в переменной окружения VSFTPD_LOAD_CONF можно задать конфигурационный файл, который vsftpd загрузит при старте сессии.
По умолчанию: NO
- text_userdb_names
- Выводить при просмотре каталога имена пользователей и групп вместо их идентификаторов. Для увеличения производительности по умолчанию эта опция выключена.
По умолчанию: NO
- tilde_user_enable
- При обработке путей заменять тильду, за которой идет имя пользователя (например ~chris), на домашний каталог этого пользователя, основываясь на файле /etc/passwd, если последний будет найден внутри текущего chroot(). Однако, просто тильда всегда заменяется на домашний каталог текущего пользователя.
По умолчанию: NO
- use_localtime
- При просмотре каталога выводить местное время. По умолчанию используется GMT. Эта опция также влияет и на значения, возвращаемые командой MDTM.
По умолчанию: NO
- use_sendfile
- Использовать системный вызов sendfile() для ускорения работы.
По умолчанию: YES
- userlist_deny
- Запретить вход пользователям, перечисленным в файле, задаваемым опцией userlist_file. Действует только после включения опции userlist_enable. Если опция userlist_deny отключена, то, наоборот, только пользователям перечисленным в файле будет разрешен вход. Когда вход запрещен, соединение разрывается еще до запроса пароля.
По умолчанию: YES
- userlist_enable
- Использовать список пользователей из файла, задаваемого опцией userlist_file. Попытка войти, используя имя пользователя из этого списка, будет пресечена еще до запроса пароля. Это может быть полезно для предотвращения передачи паролей в открытом виде. Смотрите также опцию userlist_deny.
По умолчанию: NO
- validate_cert
- Проверять все SSL сертификаты. Сертификат подписанный его создателем не принимается. (Добавлено в v2.0.6)
По умолчанию: NO
- virtual_use_local_privs
- Назначать виртуальным пользователям те же привилегии, что и локальным. По умолчанию, виртуальные пользователи имеют те же привилегии, что и анонимные, т.е. более ограничены (особенно что касается записи).
По умолчанию: NO
- write_enable
- Разрешить FTP команды изменяющие файловую систему (такие как STOR, DELE, RNFR, RNTO, MKD, RMD, APPE и SITE).
По умолчанию: NO
- xferlog_enable
- Помещать в лог-файл детальный отчет о скачиваниях и загрузках. Расположение этого файла задаётся опцией vsftpd_log_file (по умолчанию используется файл /var/log/vsftpd.log).
По умолчанию: NO
- xferlog_std_format
- Сохранять лог-файл в формате xferlog, используемый в wu-ftpd. Расположение этого файла задаётся опцией xferlog_file (по умолчанию используется файл /var/log/xferlog). Формат xferlog позволяет использовать имеющиеся генераторы статистики, но формат по умолчанию более читаемый.
По умолчанию: NO
ЧИСЛОВЫЕ ОПЦИИ
Ниже перечислены числовые опции. Допустимые значения этих опций - положительные целые числа. Если первая цифра числа ноль, то число трактуется как восьмеричное (удобно для задания значений umask).- accept_timeout
- Таймаут в секундах, даваемый клиенту после установления соединения на передачу команды PASV.
По умолчанию: 60
- anon_max_rate
- Максимальная скорость передачи данных (байт в секунду) для анонимных клиентов.
По умолчанию: 0 (не ограничено)
- anon_umask
- Значение umask, используемое при создании файлов анонимными пользователями. Для задания восьмеричного числа первой цифрой должен быть ноль, иначе число трактуется как десятичное.
По умолчанию: 077
- chown_upload_mode
- Права доступа, устанавливаемые на загруженные анонимными пользователями файлы. (Добавлено в v2.0.6)
По умолчанию: 0600
- connect_timeout
- Таймаут в секундах, даваемый клиенту на установление соединения в ответ на команду PORT сервера.
По умолчанию: 60
- data_connection_timeout
- Таймаут передачи данных (в секундах). Задает время, на которое передача данных может быть приостановлена. По истечению таймаута, соединение с клиентом закрывается.
По умолчанию: 300
- delay_failed_login
- Задержка в секундах перед сообщением о неудавшемся логине.
По умолчанию: 1
- delay_successful_login
- Задержка в секундах после успешного логина.
По умолчанию: 0
- file_open_mode
- Права доступа с которыми создаются загруженные файлы. К этому значению затем применяется umask. Значение 0777 позволяет сделать загруженные файлы исполняемыми.
По умолчанию: 0666
- ftp_data_port
- Номер порта, используемый сервером для передачи данных и указываемый в команде PORT. При этом (неудачно названная) опция connect_from_port_20 должна быть выключена.
По умолчанию: 20
- idle_session_timeout
- Максимальная пауза (в секундах) между FTP командами клиента, по истечению которой соединение с клиентом разрывается.
По умолчанию: 300
- listen_port
- Порт для входящих FTP соединений, который прослушивает vsftpd запущенный в режиме демона.
По умолчанию: 21
- local_max_rate
- Максимальная скорость передачи данных для локальных пользователей.
По умолчанию: 0 (не ограничено)
- local_umask
- Значение umask для новых файлов локальных пользователей. Для задания восьмеричного числа первой цифрой должен быть ноль, иначе число трактуется как десятичное.
По умолчанию: 077
- max_clients
- Максимально допустимое число обслуживаемых клиентов при запуске vsftpd как демона. Остальные клиенты, при попытке подключиться, получат сообщения об ошибке.
По умолчанию: 0 (не ограничено)
- max_login_fails
- Количество попыток входа, после которого сессия будет закрыта.
По умолчанию: 3
- max_per_ip
- Максимальное число клиентов, которые могут подключиться с одного IP-адреса. Остальные клиенты, при попытке подключиться, получат сообщения об ошибке. Опция работает при запуске vsftpd в режиме демона.
По умолчанию: 0 (не ограничено)
- pasv_max_port
- Максимальный номер порта, используемый в пассивном режиме для передачи данных. Может использоваться для ограничения используемого диапазона портов, чтобы упростить настройку фаервола.
По умолчанию: 0 (любой порт)
- pasv_min_port
- Минимальный номер порта, используемый в пассивном режиме для передачи данных. Может использоваться для ограничения используемого диапазона портов, чтобы упростить настройку фаервола.
По умолчанию: 0 (любой порт)
- trans_chunk_size
- Размер порции данных, используемой при передаче. Влияет на плавность ограничения скорости. Рекомендуемые значения этой опции в районе 8192.
По умолчанию: 0 (vsftpd сам выберет подходящее значение)
СТРОКОВЫЕ ОПЦИИ
Ниже перечислены строковые опции.- anon_root
- Каталог, в который vsftpd пытается перейти после входа анонимного пользователя. Возникшая при этом ошибка игнорируется.
По умолчанию: (нет)
- banned_email_file
- Файл, со списком паролей (в виде email-адресов) анонимных пользователей, вход с которыми запрещен. Используется при включении опции deny_email_enable.
По умолчанию: /usr/local/etc/vsftpd.banned_emails
- banner_file
- Текстовый файл, содержимое которого отображается вместо строки, задаваемой опцией ftpd_banner когда кто-нибудь подключается к серверу.
По умолчанию: (нет)
- ca_certs_file
- Файл, из которого загружаются сертификаты "Certificate Authority" (CA) для проверки подлинности клиентских сертификатов. Чтобы удовлетворить требования клиентов, использующих TLSv1.0 (например FTP-клиент z/OS), им сообщается о загруженных сертификатах. К сожалению, по умолчанию файлы с SSL-сертификатами CA не используются из-за ограничения доступа к файловой системе (chroot). (Добавлено в v2.0.6)
По умолчанию: (нет)
- chown_username
- Пользователь, становящийся владельцем анонимно загруженных файлов. Работает при включенной опции chown_uploads.
По умолчанию: root
- chroot_list_file
- Файл со списком локальных пользователей, которые будут заперты в их домашних каталогах. Работает при включенной опции chroot_list_enable. При включенной опции chroot_local_user перечисленные в файле пользователи, наоборот, не будут заперты в домашних каталогах.
По умолчанию: /usr/local/etc/vsftpd.chroot_list
- cmds_allowed
- Разделенный запятыми список разрешенных FTP-команд после входа пользователя. До входа команды USER, PASS, QUIT и прочие всегда разрешены. Не включенные в список команды не обрабатываются сервером. Использование этой опции является мощным методом ограничения доступа к серверу, например:
cmds_allowed=PASV,RETR,QUIT
.
По умолчанию: (нет)
- cmds_denied
- Разделенный запятыми список запрещенных FTP-команд после входа пользователя. До входа команды USER, PASS, QUIT и прочие всегда разрешены. Список запрещенных команд приоритетнее списка разрешенных (см. cmds_allowed).
По умолчанию: (нет)
- deny_file
- Шаблон имён файлов (а также каталогов и т.д.) к которым запрещен доступ. Если файл имеет несколько имён (например через жесткие или символические ссылки), то для блокировки доступа под шаблон должны попадать все имена. Однако такие файлы не скрываются, но любая попытка что-нибудь с ними сделать (скачать, перейти в каталог и т.п.) не будет иметь успеха. Опция deny_file не должна использоваться для управления доступом - для этого есть (более надежные) права файловой системы, но иногда, при настройке виртуальных пользователей, она может пригодиться. Шаблон может содержать как строку, так и регулярное выражение. Регулярное выражение является простой реализацией подмножества полнофункциональных регулярных выражений и поэтому должно тщательно проверяться. В нем поддерживается любое количество не вложенных {,} и операторов *, ?, которые должны располагаться в последнем компоненте пути (т.е "a/b/?" - поддерживается, а "a/?/с" - нет). Пример использования:
deny_file={*.mp3,*.mov,.private}
.
По умолчанию: (нет)
- dsa_cert_file
- Файл с сертификатом DSA, который используется для зашифрованных SSL-соединений.
По умолчанию: (нет - достаточно сертификата RSA)
- dsa_private_key_file
- Файл с закрытым ключом DSA, используемым для зашифрованных SSL-соединений. Если не задан, то предполагается, что закрытый ключ находится в том же файле, что и сертификат.
По умолчанию: (нет)
- email_password_file
- Файл со списком e-mail адресов (один на строку), используемый для проверки пароля при анонимных логинах. Применяется после включения опции secure_email_list_enable.
По умолчанию: /usr/local/etc/vsftpd.email_passwords
- ftp_username
- Имя пользователя, используемое при анонимных логинах. Домашний каталог этого пользователя становится корневым.
По умолчанию: ftp
- ftpd_banner
- Строка, выводимая как приветствие при подключении к серверу.
По умолчанию: (нет - отображается баннер vsftpd по умолчанию)
- guest_username
- Локальный пользователь, от имени которого работают виртуальные пользователи (см. также guest_enable и local_enable).
По умолчанию: ftp
- hide_file
- Шаблон имён файлов (а также каталогов и т.д.), которые не будут отображаться при просмотре каталогов. Тем не менее, это не помешает клиенту получить доступ к файлу, если он знает его имя. Шаблон может содержать как строку, так и регулярное выражение. Регулярное выражение является простой реализацией подмножества полнофункциональных регулярных выражений (см. deny_file для описания поддерживаемого синтаксиса). Пример использования:
hide_file={*.mp3,.hidden,hide*,h?}
.
По умолчанию: (нет)
- listen_address
- Прослушиваемый IP-адрес при запуске vsftpd как демона. По умолчанию прослушиваются все доступные сетевые интерфейсы.
По умолчанию: (нет)
- listen_address6
- Прослушиваемый IPv6-адрес при запуске vsftpd как демона. Аналогична опции listen_address, но требует включения listen_ipv6.
По умолчанию: (нет)
- local_root
- Каталог, в который vsftpd пытается перейти после входа локального (т.е. не анонимного) пользователя. Возникшая при этом ошибка игнорируется.
По умолчанию: (нет)
- message_file
- Имя файла, чьё содержимое показывается пользователю, когда он заходит в каталог. Требует включения опции dirmessage_enable.
По умолчанию: .message
- nopriv_user
- Имя пользователя, используемое когда vsftpd не нужны никакие привилегии. Предпочтительнее создать отдельного пользователя, а не использовать nobody, т.к. на многих машинах он выполняет важные функции.
По умолчанию: nobody
- pam_service_name
- Имя PAM-сервиса, который использует vsftpd.
По умолчанию: ftp
- pasv_address
- IP-адрес, посылаемый в ответ на команду PASV. Если опция pasv_addr_resolve включена, то можно указать имя узла, разрешаемое при запуске через DNS.
По умолчанию: (нет - адрес берётся из сокета входящего соединения)
- rsa_cert_file
- Файл с RSA-сертификатом, используемым для зашифрованных SSL-соединений.
По умолчанию: /usr/share/ssl/certs/vsftpd.pem
- rsa_private_key_file
- Файл с закрытым RSA-ключом, используемым для зашифрованных SSL-соединений. Если не задан, ожидается, что закрытый ключ находится в файле с сертификатом.
По умолчанию: (нет)
- secure_chroot_dir
- Каталог, используемый как безопасная "тюрьма" - в него выполняется chroot() когда vsftpd не требуется доступ к файловой системе. Каталог должен быть пустым и не доступен на запись пользователю ftp.
По умолчанию: /usr/share/empty
- ssl_ciphers
- SSL-шифры, используемые vsftpd для зашифрованных SSL-соединений (см. man-страницу ciphers для подробной информации). Ограничение используемых шифров, есть мера предосторожности от навязывания злоумышленником уязвимого шифра.
По умолчанию: DES-CBC3-SHA
- user_config_dir
- Каталог с пользовательскими конфигурационными файлами. Формат файлов должен соответствовать описываемому в этом руководстве. Назначение опции хорошо иллюстрирует пример. Если, допустим, user_config_dir имеет значение /usr/local/etc/vsftpd_user_conf, то после входа пользователя chris на время его сессии vsftpd применит параметры из файла /usr/local/etc/vsftpd_user_conf/chris. Однако, в этом файле имеет смысл задавать лишь опции относящиеся к сессии пользователя. Так, например, listen_address, banner_file, max_per_ip, max_clients, xferlog_file и аналогичные опции работать не будут.
По умолчанию: (нет)
- user_sub_token
- Шаблон, используемый для генерации домашних каталогов виртуальных пользователей. Например, если в опции guest_username указан пользователь с домашним каталогом /home/virtual/$USER, при этом user_sub_token имеет значение $USER, то когда виртуальный пользователь fred войдет, его домашним каталогом будет /home/virtual/fred, в котором он, как правило, запирается через chroot(). Кроме того путь, указанный в опции local_root должен включать в себя значение user_sub_token.
По умолчанию: (нет)
- userlist_file
- Файл, используемый при включении опции userlist_enable.
По умолчанию: /usr/local/etc/vsftpd.user_list
- vsftpd_log_file
- Расположение лог-файла в vsftpd-формате. Запись в файл происходит когда включена опция xferlog_enable и выключена xferlog_std_format, либо включена dual_log_enable. Однако, если включена опция syslog_enable, все данные будут направлены в системный журнал.
По умолчанию: /var/log/vsftpd.log
- xferlog_file
- Расположение лог-файла в формате wu-ftpd. Запись в файл происходит когда включены опции xferlog_enable и xferlog_std_format, либо dual_log_enable.
По умолчанию: /var/log/xferlog
Комментариев нет:
Отправить комментарий