vsftpd.conf

Описание
В конфигурационном файле vsftpd.conf указыются параметры, управляющие поведением демона vsftpd. По умолчанию демон vsftpd считывает этот файл отсюда - /usr/local/etc/vsftpd.conf. Однако, вы можете переопределить параметры через аргументы командной строки. Через аргументы командной строки указывается путь к конфигурационному файлу vsftpd. Такое поведение полезно, потому что при желаниии вы можете использовать суперсервер inetd (или xinetd) для запуска vsftpd с различными конфигурационными файлами.
 
Формат
Формат конфигурационного файла очень прост. Каждая строка в нем - это либо комментарий, либо директива. Комментарии начинаются с символа # и игнорируются. Строки с директивами имеют следующий формат: опция=значение Любые пробелы между опцией, = и значением являются ошибкой. Каждый параметр по умолчанию можно переопределить через конфигураионный файл.
 
Boolean опции
Ниже приведен список boolean опций. Возможные значения для этих опций YES или NO.
allow_anon_ssl - применяется, только если ssl_enable включена. Если установлена в YES, тогда анонимным пользователям будет разрешено использовать SSL соединения. По умолчанию: NO
anon_mkdir_write_enable - если включена, то анонимным пользователям будет разрешено создавать новые директории. Чтобы это заработало, нужно чтобы опция write_enable была включена и анонимный пользователь имел права на запись в дочернюю директорию. По умолчанию: NO
anon_other_write_enable - если активирована, то анонимным пользователям будет разрешено, помимо загрузки файлов и создания директорий, выполнять другие операции записи, такие как удаление и переименование. Не рекомендуется включать данную опцию. По умолчанию: NO
anon_upload_enable - если активирована, то анонимным пользователям будет разрешено загружать файлы на сервер. Чтобы это работало, необходимо чтобы опция write_enable была включена и анонимные пользователи имели права на запись в места загрузки. Этот параметр необходим для виртуальных пользователей, чтобы они могли загружать файлы на сервер. По умолчанию виртуальные пользователи имеют привилегии анонимного пользователя. По умолчанию: NO
anon_world_readable_only - если включена, то анонимным пользователям можно будет загружать только файлы, к которым может получить доступ любой пользователь. По умолчанию: YES
anonymous_enable - данная опция определяет разрешено ли анонимным пользователям входить на сервер. Если включена, то логины ftp и anonymous распознаются как анонимные. По умолчанию: YES
ascii_download_enable - если включена, то сервер будет разрешать ASCII режим передачи данных. По умолчанию: NO
ascii_upload_enable - если включена, то сервер будет разрешать ASCII режим передачи данных для загрузки файлов на сервер. По умолчанию: NO
async_abor_enable - если включена, то сервером будет обрабатываться специальная команда FTP - "async ABOR". Только клиенты, в которых недостаточно хорошо реализован протокол FTP используют эту возможность. К сожалению, некоторые FTP клиенты будут зависать при отмене передачи, если эта возможность отключена, так что возможно вам придется включить ее. По умолчанию: NO
background - если включена и vsftpd запускается в "слушающем" режиме, тогда процесс vsftpd будет запущен в фоне, то есть управление будет возвращено оболочке, запустившей процесс vsftpd. По умолчанию: NO check_shell - внимание! Эта опция имеет эффект только для не-PAM сборок vsftpd. Если выключена, то vsftpd не будет проверять оболочку локального пользователя в /etc/shells. По умолчанию: YES
chmod_enable - если включена, то на сервере будет разрешено использовать команду SITE CHMOD. Внимание! Это приминимо только для локальных пользователей. Анонимные пользователи никогда не могут использовать данную команду. По умолчанию: YES
chown_uploads - если включена, то все файлы, загруженные анонимными пользователями, будут имень владельца, указанного в директиве chown_user. Это полезно с точки зрения администрирования, и возможно, с точки зрения безопасности. По умолчанию: NO
chroot_list_enable - если включена, то вы можете придоставить список локальных пользователей, которые будут заперты в своей домашней директории после входа на сервер. Эта директива имеет немного другой смысл, если chroot_local_user установлена в YES. В этом случае, пользователи, указанные в списке, не будут запираться в своей домашней директории. По умолчанию, список пользователей читается из файла /usr/local/etc/vsftpd.chroot, но при желании вы можете указать другой файл, используя директиву chroot_list_file. По умолчанию: NO
chroot_local_user - если установлена в YES, то локальные пользователи будут заператься в клетку в свою домашнюю директорию после входа на сервер. Осторожно: эта опция влияет на безопасность, особенно если пользователи имеют права на загрузку файлов или доступ к шелу. Включайте только, если знаете что делаете. Знайте, что такое поведение не является недостатком vsftpd. Это приминимо и к другим FTP серверам, которые заперают пользователей в клетки. По умолчанию: NO
connect_from_port_20 - эта директива влияет на подключения для передечи данных, а точнее будут ли они использовать порт 20 (ftp-data). По соображениям безопасности, некоторые клиенты могут требовать активаци данной опции. Наоборот, выключение этой опции позволяет запускаться vsftpd немного с меньшими привилегиями. По умолчанию: NO (но в конфиге, поставляемом в дистрибутиве, эта директива включена)
debug_ssl - если включена, то отладочная информация о OpenSSL подключениях будет направляться в лог файл vsftpd (доступна с версии 2.0.6). По умолчанию: NO
delete_failed_uploads - если включена, то любые не удавшиеся загрузить на сервер файлы будут удалены (доступна с версии 2.0.7). По умолчанию: NO
deny_email_enable - если включена, то вы можете предоставить список запрещенных паролей (e-mail адресов) для анонимных пользователей. По умолчанию, этот список содержится в файле /usr/local/etc/vsftpd.banned_emails, но вы можете указать другой файл с помощью директивы banned_email_file. По умолчанию: NO
dirlist_enable - если выключена, то все команды для получения содержимого директорий будут запещены. По умолчанию: YES
dirmessage_enable - если включена, то пользователям будет выводиться сообщение, которое содержится в файле .message, при входе в директорию. Имя файла, содержащего сообщение, может быть изменено с помощью директивы message_file. По умолчанию: NO (но в конфиге, поставляемом в дистрибутиве, эта директива включена)
download_enable - если установлена в NO, то все загрузки с сервера будут запрещены. По умолчанию: YES
dual_log_enable - если включена, то будут одновременно писаться логи в файлы /var/log/xferlog и /var/log/vsftpd.log. Лог передачи данных в первый файл пишется в формате подобном wu-ftpd, такой лог можно разобрать (распарсить) стандартными средствами. Во второй файл vsftpd пишет логи в своем собственном формате. По умолчанию: NO
force_dot_files - если включена, то файлы и директории начинающиеся с точки ".", будут отображаться в списках директорий независимо от того указан флаг "a" или нет. Это правило не распространяется на элементы "." и "..". По умолчанию: NO
force_anon_data_ssl - работает, только если активирована директива ssl_enable. Если включена, то все анонимные подключения принудительно будут использовать SSL для передачи и получения данных. По умолчанию: NO
force_anon_logins_ssl - работает, только если активирована директива ssl_enable. Если включена, то все анонимные подключения принудительно будут использовать SSL для отправки паролей. По умолчанию: NO
force_local_data_ssl - работает, только если активирована директива ssl_enable. Если включена, то все не анонимные подключения принудительно будут использовать SSL для передачи и получения данных. По умолчанию: YES
force_local_logins_ssl - работает, только если активирована директива ssl_enable. Если включена, то все не анонимные подключения принудительно будут использовать SSL для отправки паролей. По умолчанию: YES
guest_enable - если включена, то все не анонимные соединения будут классифицироваться как "гостевые". В таких подключениях пользователь переназначается на другого, указанного в директиве guest_username. По умолчанию: NO
hide_ids - если включена, то везде в списках директорий будет указан пользователь "ftp". По умолчанию: NO
implicit_ssl - если включена, то всегда будут ожидаться SSL соединения (протокол FTPS). Для поддержки работы с SSL и/или с открытым текстом, должны быть запущены раздельные процессы vsftpd. По умолчанию: NO
listen - если включено, то vsftpd будет запущет в автономном режиме. Это означает, что vsftpd не должен быть запущен суперсервером inetd или каким-либо другим. Вместо этого, vsftpd запускается как самостоятельный процесс. Он самостоятельно будет принимать и обрабатывать входящие подключения. По умолчанию: NO
listen_ipv6 - имеет тот же смысл, что и директива listen, за исключеним того, что будет использоваться IPv6 адрес для подключения клиентов. Директивы listen и listen_ipv6 взаимно исключающие, то есть не должны быть включены в пределах одного конфига. По умолчанию: NO
local_enable - определяет будут ли разрешены подключения для локальных пользователей. если включена, то локальным пользователям будет разрешен вход на сервер. Должна быть включена, чтобы работали не анонимные подключения, это же относится и к виртуальным пользователям. По умолчанию: NO
lock_upload_files - когда включена, все загружаемые файлы на сервер будут заблокированы на запись до окончания загрузки. Все скачиваемые файлы будут иметь разделяемую блокировку чтения. When enabled, all uploads proceed with a write lock on the upload file. All downloads proceed with a shared read lock on the download file. WARNING! Before enabling this, be aware that malicious readers could starve a writer wanting to e.g. append a file. По умолчанию: YES
log_ftp_protocol - когда включена, все FTP запросы и ответы будут отправляться в лог, работает если директива xferlog_std_format выключена. Полезна для отладки. По умолчанию: NO
ls_recurse_enable - разрешить использовать "ls -R". Это плохо для безопасности, потому что выполнив ls -R в корневой директориии, при большом коичестве файлов, может потреблять очень много ресурсов. По умолчанию: NO
mdtm_write - эта директива позволяет MDTM устанавливать время модификации файлов (с учетом обычной проверки доступа). По умолчанию: YES
no_anon_password - когда включена, то vsftpd не будет спрашивать пароль у анонимных пользователей. По умолчанию: NO
no_log_lock - если включена, то vsftpd не будет блокировать лог файл при запси в него. Эта директива в основном не должна быть включена. Она сделана для того, чтобы обойти баги на некоторых системах, например в комбинации Solaris с файловой системой Veritas попытка блокировки лог файла может привести к зависанию. По умолчанию: NO
one_process_model - если у вас ядро Linux версии 2.4, то возможно использовать другую модель безопасности, при которой используется только один процесс на соединение. Это менее безопасная модель, но работает быстрее. Вы не должны включать ее, если не знаете что делаете, тогда ваши сайты смогут обрабатывать огромное количество клиентов. По умолчанию: NO
passwd_chroot_enable - если включена, вместе с chroot_local_user, тогда у каждого пользователя будет своя клетка, куда он будет chroot(),иться. Клеткой будет домашняя директория, взятая из /etc/passwd. If enabled, along with chroot local user , then a chroot() jail - - location may be specified on a per-user basis. Each user's jail is derived from their home directory string in /etc/passwd. The occurrence of /./ in the home directory string denotes that the jail is at that particular location in the path. По умолчанию: NO
pasv_addr_resolve - установите в YES, если вы желаете использовать имя машины (вместо IP адреса) в директиве pasv_address. По умолчанию: NO
pasv_enable - установите в NO, если вы желаете запретить пассивнй режим передачи данных. По умолчанию: YES
pasv_promiscuous - установите в YES, если вы хотите отключить проверку безопасности в пассивном режиме передачи, которая обеспечивает возможность организации информационного соединения с того же самого IP адреса, что контролирует входящие подключения. Включайте только, если вы знаете, что делаете! Единственное разумное приминение этой директивы возможно при организации иной формы схемы безопасного тунеля или организации поддержки FXP. По умолчанию: NO
port_enable - установите в NO, если вы хотите запретить активный режим передачи данных. По умолчанию: YES
port_promiscuous Set to YES if you want to disable the PORT security check that ensures that outgoing data connections can only connect to the client. Only enable if you know what you are doing! По умолчанию: NO
require_cert - если установлена в YES, то у всех SSL клиентов в обязательном порядке будет запрашиваться сертификат. Степень приминяемой проверки к сертификату контролируется директивой validate_cert (доступна с версии 2.0.6). По умолчанию: NO
require_ssl_reuse If set to yes, all SSL data connections are required to exhibit SSL session reuse (which proves that they know the same master secret as the control channel). Although this is a secure default, it may break many FTP clients, so you may want to dis- able it. For a discussion of the consequences, see http://scary- beastsecurity.blogspot.com/2009/02/vsftpd-210-released.html (Added in v2.1.0). По умолчанию: YES
run_as_launching_user Set to YES if you want vsftpd to run as the user which launched vsftpd. This is useful where root access is not available. MAS- SIVE WARNING! Do NOT enable this option unless you totally know what you are doing, as naive use of this option can create mas- sive security problems. Specifically, vsftpd does not / cannot use chroot technology to restrict file access when this option is set (even if launched by root). A poor substitute could be to use a deny file setting such as {/*,*..*}, but the reliability - of this cannot compare to chroot, and should not be relied on. If using this option, many restrictions on other options apply. For example, options requiring privilege such as non-anonymous logins, upload ownership changing, connecting from port 20 and listen ports less than 1024 are not expected to work. Other options may be impacted. Default: NO
secure_email_list_enable - установите в YES, если вы желаете чтобы только определенный список e-mail адресов принимался в качестве пароля для анонимных пользователей. Это полезно для ограничения доступа к не особо важным данным без использования виртуальных пользователей. Когда включена, список паролей будет считываться из файла указанного в директиве email_password_file. Каждый такой пароль указывается в отдельной строке, без каких-либо пробельных символов. По умолчанию путь к файлу следующий - /usr/local/etc/vsftpd.email_passwords. По умолчанию: NO
session_support This controls whether vsftpd attempts to maintain sessions for logins. If vsftpd is maintaining sessions, it will try and update utmp and wtmp. It will also open a pam session if using - PAM to authenticate, and only close this upon logout. You may wish to disable this if you do not need session logging, and you wish to give vsftpd more opportunity to run with less processes and / or less privilege. NOTE - utmp and wtmp support is only provided with PAM enabled builds. По умолчанию: NO
setproctitle_enable - если включена, то vsftpd будет пытаться отображать статус сессии в списке системных процессов. Другими словами, отображаемое имя процесса будет меняться взависимости от того, что происходит в течении сессии (простой, загрузка, и т.д.). По соображениям безопасности лучше оставить эту директиву выключенной. По умолчанию: NO
ssl_enable - если включена и vsftpd скомпилирован с поддержкой OpenSSL, то демон vsftpd будет предоставлять возможность безопасного соединения через SSL. Это приминимо для управляющего соединения (включая вход на сервер) и для информационного соединения. Необходимо, чтобы клиент поддерживал такого рода соединения. Примечание!! Перед включением данной опции. Включайте только если оно вам нужно. vsftpd не может дать гарантий на безопасность библиотек OpenSSL. При включении данной опции вы полагаетесь на предоставляемый функционал установленной библиотеки OpenSSL. По умолчанию: NO
ssl_request_cert - если включена, то vsftpd будет запрашивать (но не требовать) сертификат для входящих SSL соединений. В основном это не должно вызвать никаких проблем, но с IBM zOS возможны некоторые проблемы (доступна с версии 2.0.7). По умолчанию: YES
ssl_sslv2 - работает, только если включена опция ssl_enabled. Если включена, то будут разрешены подключения по протоколу SSL v2. Подключения TLS v1 предпочтительнее. По умолчанию: NO
ssl_sslv3 - работает, только если включена опция ssl_enabled. Если включена, то будут разрешены подключения по протоколу SSL v3. Подключения TLS v1 предпочтительнее. По умолчанию: NO
ssl_tlsv1 - работает, только если включена опция ssl_enabled. Если включена, то будут разрешены подключения по протоколу TLS v1. Подключения TLS v1 предпочтительнее. По умолчанию: YES
strict_ssl_read_eof If enabled, SSL data uploads are required to terminate via SSL, not an EOF on the socket. This option is required to be sure that an attacker did not terminate an upload prematurely with a faked TCP FIN. Unfortunately, it is not enabled by default because so few clients get it right. (New in v2.0.7). По умолчанию: NO
strict_ssl_write_shutdown If enabled, SSL data downloads are required to terminate via SSL, not an EOF on the socket. This is off by default as I was unable to find a single FTP client that does this. It is minor. All it affects is our ability to tell whether the client con- firmed full receipt of the file. Even without this option, the client is able to check the integrity of the download. (New in v2.0.7). По умолчанию: NO
syslog_enable If enabled, then any log output which would have gone to /var/log/vsftpd.log goes to the system log instead. Logging is done under the FTPD facility. По умолчанию: NO
tcp_wrappers - если включена и vsftpd собран с поддержкой tcp_wrappers, то входящие подключения будут проходить контроль доступа через tcp_wrappers. Если tcp_wrappers устанавливает VSFTPD_LOAD_CONF в переменных окружения, тогда vsftpd будет пробовать загрузить конфигурационный файл указанный в этой переменной. По умолчанию: NO
text_userdb_names - по умолчанию, в списках директорий отображаются числовые идентификаторы владельцев. Включите этот параметр, чтобы вместо числовых идентификаторов отображались имена владельцев. Эта опция по умолчанию выключена по соображениям производительности. По уполчанию: NO
tilde_user_enable If enabled, vsftpd will try and resolve pathnames such as ~chris/pics, i.e. a tilde followed by a username. Note that vsftpd will always resolve the pathnames ~ and ~/something (in this case the ~ resolves to the initial login directory). Note that ~user paths will only resolve if the file /etc/passwd may be found within the current chroot() jail. - - По умолчанию: NO
use_localtime - если включена, то vsftpd будет отображать время в списках директорий согласно с вашей локальной временной зоной. По умолчаию оно отображается в GMT. так же эта опция влияет на возвращаемое значение команды FTP - MDTM. По умолчанию: NO
use_sendfile - внутрення настройка, которая позволяет использовать системный вызов sendfile() на вашей платформе с целью повышения производительности и уменьшения нагрузки на сервер. по умолчанию: YES
userlist_deny - эта опция работает, только если активирована userlist_enable. Если вы отключитеее, тогда всем пользователяи будет отказано при входе на сервер, за исключением пользователей, содержащихся в файле, который указан с помощью опции userlist_file. Об отказе клиенту сообщается сразу после ввода запрещенного логина, то есть перед запросом пароля. По умолчанию: YES
userlist_enable - если включена, тогда vsftpd загрузит список пользователей из файла, указанного в опции userlist_file, которым запрещен вход на сервер. Это может быть полезно для предотварщения отправки пустых паролей на сервер. Смотрите также userlist_deny. По умолчанию: NO
validate_cert If set to yes, all SSL client certificates received must vali- date OK. Self-signed certs do not constitute OK validation. (New in v2.0.6). Default: NO
virtual_use_local_privs - если включено, то виртуальные пользователи будут иметь такие же привелегии как у локальных пользователей. По умолчанию, виртуальные пользователи имеют привилегии анонимного пользователя, который более ограничен (особенно в плане доступа на запись). По умолчанию: NO
write_enable - эта опция позвояет включить/отключить команды записи, а именно: STOR, DELE, RNFR, RNTO, MKD, RMD, APPE и SITE. По умолчанию: NO
xferlog_enable - если включена, тогда лог файл будет содержать детализированную информацию о закачках и скачках. По умолчанию, этот файл находится здесь - /var/log/vsftpd.log, но вы можете указать другой с помощью опции vsftpd_log_file. По умолчанию: NO (но в конфиге, поставляемом в дистрибутиве, эта директива включена)
xferlog_std_format - если включена, то лог файл, содержащий информацию о загрузках, будет записываться в стандартном xferlog формате, который используется wu-ftpd. Это фишка полезна, тем что вы можете использовать этот файл для генерации статистики, с помощью сторонних приложений. По умолчанию, этот файл находится здесь - /var/log/xferlog, но вы можете изменить это с помощью опции xferlog_file. По умолчанию: NO
 
Числовые опции
Ниже представлен список числовых опций. В этих опция разрешено указыать только положительные целые числа. Поддерживаются числа в восьмиричной системе счисления, которые в основном нужны для задания umask опций. Для указания числа в восьмиричной системе счисления поставьте вначале него цифру 0.
accept_timeout - тайм-аут, в секунах, для удаленных клиентов, которые установили информационное соединение в пассивном режиме. По умолчанию: 60
anon_max_rate - максимальная скорость передачи данных (байт в секунду) для анонимных пользователей. По умолчанию: 0 (неограниченно)
anon_umask - umask значение испольуется при создании файлов анонимными пользователями. Внимание! Не забывайте ставить в начале цифру 0 при указании чисел в восьмиричной системе счисления! По умолчанию: 077
chown_upload_mode - права доступа для только что загруженных файлов анонимным пользователем (доступно с версии 2.0.6). По умолчанию: 0600
connect_timeout - тайм-аут, в секунах, для удаленных клиентов, которые установили информационное соединение в активном режиме. По умолчанию: 60
data_connection_timeout Тайм-аут, в секундах. The timeout, in seconds, which is roughly the maximum time we permit data transfers to stall for with no progress. If the timeout triggers, the remote client is kicked off. По умолчанию: 300
delay_failed_login - количество секунд перед тем как клиенту будет отправлено сообщение о неудачной попытке входа. По умолчанию: 1
delay_successful_login - количество секунд перед тем как клиенту будет отправлено сообщение о удачной попытке входа. По умолчанию: 0
file_open_mode The permissions with which uploaded files are created. Umasks are applied on top of this value. You may wish to change to 0777 if you want uploaded files to be executable. По умолчанию: 0666
ftp_data_port - номер порта и используемый при подключениях в активном режиме (используется, когда включена опция connect_from_port_20). По умолчанию: 20
idle_session_timeout - тайм-аут, в секундах, которым определяется максимальное время между отправками на сервер команд FTP. Если время вышло, то удаленный клиент будет отключен. По умолчанию: 300
listen_port - если vsftpd запущен в автономном режиме, то указанный порт будет использоваться для принятия входящих FTP подключений. По умолчанию: 21
local_max_rate - максимальная скорость передачи данных (байт в секунду) для локальных прошедших проверку подлинности пользователей. По умолчанию: 0 (неограниченно)
local_umask - umask значение испольуется при создании файлов локальными пользователями. Внимание! Не забывайте ставить в начале цифру 0 при указании чисел в восьмиричной системе счисления! По умолчанию: 077
max_clients - если vsftpd работает в автономном режиме, то этот параметр определяет максимальное количество отдновременных подключений к серверу. Все вновь подключившиеся клиенты, при превышении лимита, получат сообщение об ошибке. По умолчанию: 0 (неограниченно)
max_login_fails - максимальное количество неудачных попыток авторизации, после превышения которого сессия будет закрыта. По умолчанию: 3
max_per_ip - если vsftpd работает в автономном режиме, то этот параметр определяет максимальное количество клиентов, подключенных с одного IP адреса. Вновь подключившиеся клиенты получат сообщение об ошибке, если этот лимит будет превышен. По умолчанию: 0 (неограниченно)
pasv_max_port - максимальный номер порта для пассивного режима передачи данных. Может быть использована, чтобы указать диапазона портов для совместной работы с фаерволом. По умолчанию: 0 (использовать любой порт)
pasv_min_port - минимальный номер порта для пассивного режима передачи данных. Может быть использована, чтобы указать диапазона портов для совместной работы с фаерволом. По умолчанию: 0 (использовать любой порт)
trans_chunk_size You probably don't want to change this, but try setting it to something like 8192 for a much smoother bandwidth limiter. По умолчанию: 0 (let vsftpd pick a sensible setting)
 
Строковые опции
Ниже представлен список строковых опций.
anon_root - в этой опции указывается директория, в которую будет направлен анонимный пользователь после входа на сервер. Сбой будет молча проигнорирован. По умолчанию: (не задана)
banned_email_file - здесь указывается файл, в котором содержится список запрещенных e-mail адресов для анонимных пользователей. Эта опция учитывается, если включена deny_email_enable. По умолчанию: /usr/local/etc/vsftpd.banned_emails
banner_file - с помощью этой опции указываетя файл, содержащий текстовую информацию, которая отображается когда клиент подключается к серверу. Если эта опция установлена, то ftpd_banner игнорируется. По умолчанию: (не задана)
ca_certs_file This option is the name of a file to load Certificate Authority certs from, for the purpose of validating client certs. The loaded certs are also advertised to the client, to cater for TLSv1.0 clients such as the z/OS FTP client. Regrettably, the default SSL CA cert paths are not used, because of vsftpd's use of restricted filesystem spaces (chroot). (Added in v2.0.6). По умолчанию: (не задана)
chown_username - здесь указывается имя пользователя, который будет владельцем файлов, загруженных анонимным пользователем. Эта опция имеет значение, только если задана chown_uploads. По умолчанию: root
chroot_list_file - с помощью этой опции указываетя файл, содержащий список локальных пользователей, которые будут заперты в своей домашней директории. Эта опция учитывается, только если включена chroot_list_enabled. Если включена опция chroot_local_user, тогда список принимает обратное значение, то есть эти пользователи не будут заператься в своей домашней директории. По умолчанию: /usr/local/etc/vsftpd.chroot_list
cmds_allowed - в этой опции указывается список, каждый элемент которого разделен запятой, разрешенных FTP команд (post login. USER, PASS и QUIT и другие всегда разрешены на стадии авторизации). Другие команды не принимаются. Это мощный метод ограничения возможностей FTP сервера. Пример: cmds_allowed=PASV,RETR,QUIT По умолчанию: (не задана)
cmds_denied - в этой опции указывается список, каждый элемент которого разделен запятой, запрещенных FTP команд (post login. USER, PASS и QUIT и другие всегда разрешены на стадии авторизации). Команда все равно будет не принята, даже если она продублирована в cmds_allowed (доступна с версии 2.1.0). По умолчанию: (не задана)
deny_file - эта опция используется для указания шаблонов имен файлов (а так же директорий), которые будут не доступны, как бы пользователь не пытался добраться до них. Эти элементы не будут скрыты, но любая попытка получить доступ к ним будет пресекаться. Эта опция не должна использоваться, как основное средство контроля доступа, предпочтительные пользоваться средствами файловой системы (права доступа и т.д.). Однако, данныя опция может оказаться полезной в кофигурации с виртуальными пользователями. This option can be used to set a pattern for filenames (and directory names etc.) which should not be accessible in any way. The affected items are not hidden, but any attempt to do any- thing to them (download, change into directory, affect something within directory etc.) will be denied. This option is very sim- ple, and should not be used for serious access control - the filesystem's permissions should be used in preference. However, this option may be useful in certain virtual user setups. In particular aware that if a filename is accessible by a variety of names (perhaps due to symbolic links or hard links), then care must be taken to deny access to all the names. Access will be denied to items if their name contains the string given by hide_file, or if they match the regular expression specified by hide_file. Note that vsftpd's regular expression matching code is a simple implementation which is a subset of full regular expression functionality. Because of this, you will need to carefully and exhaustively test any application of this option. And you are recommended to use filesystem permissions for any important security policies due to their greater reliability. Supported regex syntax is any number of *, ? and unnested {,} operators. Regex matching is only supported on the last compo- nent of a path, e.g. a/b/? is supported but a/?/c is not. Exam- ple: deny_file={*.mp3,*.mov,.private} По умолчанию: (не задана)
dsa_cert_file This option specifies the location of the DSA certificate to use for SSL encrypted connections. По умолчанию: (none - an RSA certificate suffices)
dsa_private_key_file This option specifies the location of the DSA private key to use for SSL encrypted connections. If this option is not set, the private key is expected to be in the same file as the certifi- cate. По умолчанию: (не задана)
email_password_file - эта опия используется для указания другого файла, содержащего список разрешенных e-mail адресов, принимаемых в качестве пароля, для анонимных пользователй. Используется совместно с опцией secure_email_list_enable. По умолчанию: /usr/local/etc/vsftpd.email_passwords
ftp_username - здесь указывается имя пользователя, которое будет использован для обработки анонимных клиентов. Домашняя директория для этого пользователя - корневой каталог анонимной области FTP. This is the name of the user we use for handling anonymous FTP. The home directory of this user is the root of the anonymous FTP area. По умолчанию: ftp
ftpd_banner - это строковая опция позволяет переопределить прветственное сообщение отправляемое клиенту при подключении к серверу. По умолчанию: (не задана - будет отображаться сообщение установленное разработчиками vsftpd)
guest_username - смотрите описание опции guest_enable, чтобы понять что означает гостевой вход. В этой опции указывается реальное имя пользователя в системе, который будет использоваться для гостевых входов. По умолчанию: ftp hide_file This option can be used to set a pattern for filenames (and directory names etc.) which should be hidden from directory listings. Despite being hidden, the files / directories etc. are fully accessible to clients who know what names to actually use. Items will be hidden if their names contain the string given by hide file, or if they match the regular expression specified by - hide file. Note that vsftpd's regular expression matching code - is a simple implementation which is a subset of full regular expression functionality. See deny file for details of exactly - what regex syntax is supported. Example: hide file={*.mp3,.hid- - den,hide*,h?} По умолчанию: (не задана) listen_address - если vsftpd запущен в автономном режиме, то адрес, на котором процесс принимает входящие соединения может быть задан с помощью этой опции (по умолчанию vsftpd принимает входящие запросы со всех локальных интерфейсов). IP адрес указывается в числовом виде. По умолчанию: (не задана)
listen_address6 - имеет тоже самое значение, что и опция listen, только для протокола IPv6 (учитывается, если включена опция listen_ipv6). IPv6 адреса указываются в стандартном для них виде. По умолчанию: (не задана) local_root - здесь указывается корневая директория, в которую будут направлены локальные пользователи после удачной авторизации. Если серверу не удастся это сделать, то данная особенность будет молча проигнорирована. По умолчанию: (не задана)
message_file - здесь указывается имя файла, который vsftpd будет искать при каждой смене директории. Содержимое данного файла отправляется удаленному клиенту. Эта опция учитывается, только если активирована
dirmessage_enabled. По умолчанию: .message nopriv_user Здесь указывается пользователь, имеющий минимум привилегий в системе, который будет использоваться vsftpd. Учтите, что это должен быть выделенный пользователь, а не nobody. This is the name of the user that is used by vsftpd when it wants to be totally unprivileged. Note that this should be a dedicated user, rather than nobody. The user nobody tends to be used for rather a lot of important things on most machines. По умолчанию: nobody
pam_service_name - здесь указыватеся имя, которое vsftpd будет использовать для взаимодействия с PAM. По умолчанию: ftp
pasv_address - используйете даннцю опцию для указания другого IP адреса, возвращаемого в ответе на команду PASV. Если опция pasv_addr_resolv выключена, тогда укажите здесь IP адрес в числовом формате, в другом случае укажите имя хоста, IP адрес которого будет определен через DNS при старте демона. По умолчанию: (не задана - адрес будет получен из подключенного сокета)
rsa_cert_file - в этой опции указывается путь к RSA сертификату, который будет использоваться для SSL соединений. По умолчанию: /usr/share/ssl/certs/vsftpd.pem
rsa_private_key_file - здесь указывается путь к закрытому ключу RSA, который будет использоваться для SSL соединений. Если эта опция не задана, тогда подразумевается, что закрытый ключ находится в том же файле, что и сертификат. По умолчанию: (не задана)
secure_chroot_dir - здесь должна быть указана пустая директория. Так же, эта директория не должна быть доступной для записи ftp пользователю. Эта директория используеюся, как безопасное место, когда vsftpd не требуется доступ к файловой системе. По умолчанию: /usr/share/empty
ssl_ciphers - здесь указываеются разрешенные SSL шифры для защащенных соединений. Смотрите справку по шифрам для получения дополнительной информации. Утите, что ограничение списка доступных SSL шифров может сказаться положительно на безопасности сервиса. По умолчанию: DES-CBC3-SHA
user_config_dir - это опция является очень полезной, потому что позволяет переопределить любую переменную из конфиг файла отдельно для каждого пользователя. Использовать эту особенность очень просто, что будет продемонстрировано далее в примере. Если переменная user_config_dir имеет значение /usr/local/etc/vsftpd_user_conf и клиент авторизовался под именем "chris", тогда vsftpd установит опции согласно файлу /usr/local/etc/vsftpd_user_conf/chris для текущей сессии. Пожалуйста знайте, что не все пременные стоит переопределять. Примером может служить то, что некоторые настройки устанавливаются перед стартом сессии. Например listen_adress, banner_file, max_per_ip, max_clients, xferlog_file и другие, не могут быть изменены в подобной конфигурации. По умолчанию: (не задано)
user_sub_token - эта опция может быть полезной при работе с виртуальными пользователями. Она используется для автоматической генерации домашней директориии, согласно шаблону, для каждого виртуального пользователя. Например, если домашняя директория реального пользователя, указанного в guest_username, имеет значние /home/virtual/$USER и в user_sub_token указано $USER, тогда когда пользователь fred входит на сервер, он будет направлен (скорее всего заперт) в директорию /home/virtual/fred. Эта опция так же имеет эффект на local_root, если она содержит user_sub_token. По умолчанию: (не задано)
userlist_file - эта опция, в которой указывается путь к файлу, используется совместно с userlist_enable. По умолчанию: /usr/local/etc/vsftpd.user_list
vsftpd_log_file - в этой опции указывается имя файла, в который vsftpd будет писать логи. Логи пишутся, только если опция xferlog_enable включена, а xferlog_std_format нет. Так же логи будут писаться, если включена опция dual_log_enable. Еще одна особенность - если вы включили опцию syslog_enable, тогда запись в этот файл вестись не будет, вместо этого все логи будут направлены в системый (syslog). По умолчанию: /var/log/vsftpd.log
xferlog_file - здесь указыватеся путь к файлу, в который будут писаться логи о передачи данных в стиле wu-ftpd. Лог передачи данных пишется только если опция xferlog_enable включена, вместе с xferlog_std_format. Так же в этот файл будут писать логи, если вы включите опцию dual_log_enable. По умолчанию: /var/log/xferlog