RedHat9-vsftp配置大全[3]

8.2.11. 将vsftpd 与TCP_wrapper 结合 
若是读者希望直接在/etc/hosts.allow 之中定义允许或是拒绝的来源地址， 
可执行以下步骤。这是简易的防火墙设定。 
Step1. 确定/etc/vsftpd/vsftpd.conf 之中tcp_wrappers 的设定为YES，如下图所 
示： 
tcp_wrappers=YES 
这是RedHat9 的默认值，基本上不需修改。 
Step2. 重新启动vsftpd 
[root@home vsftpd]# /sbin/service vsftpd restart 
Shutting down vsftpd: OK ] 
Starting vsftpd for vsftpd: OK ] 
Step3. 设定/etc/hosts.allow，譬如提供111.22.33.4 以及10.1.1.1 到10.1.1.254 连 
线，则可做下图之设定： 
vsftpd : 111.22.33.4 10.1.1. : allow 
ALL : ALL : DENY 
8.2.12. 将vsftpd 并入XINETD 
若是读者希望将vsftpd 并入XINETD 之中，也就是7.x 版的预设设定，那 
么读者可以执行以下步骤。 
Step1. 修改/etc/vsftpd/vsftpd.conf 
将 
listen=YES 
改为 
listen=NO 
Step2. 新增一个档案： /etc/xinetd.d/vsftpd 
内容如下： 
service vsftpd 
{ 
disable = no 
socket_type = stream 
wait = no 
user = root 
server = /usr/sbin/vsftpd 
port = 21 
log_on_success += PID HOST DURATION 
log_on_failure += HOST 
} 
Step3. 重新启动xinetd 
[root@home vsftpd]# /sbin/service xinetd restart 
Stopping xinetd: OK ] 
Starting xinetd: OK ] 
3.2.3 设定档说明 
在范例中，有些省略的设定可以在这边找到，譬如联机的总数、同一个位 
址的联机数、显示档案拥有者的名称等等，希望读者细读后，可以做出最适合 
自己的设定。 
格式 
vsftpd.conf 的内容非常单纯，每一行即为一项设定。若是空白行或是开头为#的一行， 
将会被忽略。内容的格式只有一种，如下所示 
option=value 
要注意的是，等号两边不能加空白，不然是不正确的设定。 
＝＝＝ascii 设定＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝ 
ascii_download_enable 
管控是否可用ASCII 模式下载。默认值为NO。 
ascii_upload_enable 
管控是否可用ASCII 模式上传。默认值为NO。 
＝＝＝个别使用者设定＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝ 
chroot_list_enable 
如果启动这项功能，则所有的本机使用者登入均可进到根目录之外的数据夹，除了列 
在/etc/vsftpd.chroot_list 之中的使用者之外。默认值为NO。 
userlist_enable 
用法：YES/NO 
若是启动此功能，则会读取/etc/vsftpd.user_list 当中的使用者名称。此项功能可以在询 
问密码前就出现失败讯息，而不需要检验密码的程序。默认值为关闭。 
userlist_deny 
用法：YES/NO 
这个选项只有在userlist_enable 启动时才会被检验。如果将这个选项设为YES，则在 
/etc/vsftpd.user_list 中的使用者将无法登入 若设为NO ， 则只有在 
/etc/vsftpd.user_list 中的使用者才能登入。而且此项功能可以在询问密码前就出现错误 
讯息，而不需要检验密码的程序。 
user_config_dir 
定义个别使用者设定文件所在的目录，例如定义user_config_dir=/etc/vsftpd/userconf， 
且主机上有使用者test1,test2，那我们可以在user_config_dir 的目录新增文件名为 
test1 以及test2。若是test1 登入，则会读取user_config_dir 下的test1 这个档案内的设 
定。默认值为无。 
＝＝＝欢迎语设定＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝ 
dirmessage_enable 
如果启动这个选项，使用者第一次进入一个目录时，会检查该目录下是否有.message 
这个档案，若是有，则会出现此档案的内容，通常这个档案会放置欢迎话语，或是对 
该目录的说明。默认值为开启。 
banner_file 
当使用者登入时，会显示此设定所在的档案内容，通常为欢迎话语或是说明。默认值 
为无。 
ftpd_banner 
这边可定义欢迎话语的字符串，相较于banner_file 是档案的形式，而ftpd_banner 是字 
串的格式。预设为无。 
＝＝＝特殊安全设定＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝ 
chroot_local_user 
如果设定为YES，那么所有的本机的使用者都可以切换到根目录以外的数据夹。预设 
值为NO。 
hide_ids 
如果启动这项功能，所有档案的拥有者与群组都为ftp，也就是使用者登入使用ls -al 
之类的指令，所看到的档案拥有者跟群组均为ftp。默认值为关闭。 
ls_recurse_enable 
若是启动此功能，则允许登入者使用ls -R 这个指令。默认值为NO。 
write_enable 
用法：YES/NO 
这个选项可以控制FTP 的指令是否允许更改file system，譬如STOR、DELE、 
RNFR、RNTO、MKD、RMD、APPE 以及SITE。预设是关闭。 
setproctitle_enable 
用法：YES/NO 
启动这项功能，vsftpd 会将所有联机的状况已不同的process 呈现出来，换句话说，使 
用ps -ef 这类的指令就可以看到联机的状态。默认值为关闭。 
tcp_wrappers 
用法：YES/NO 
如果启动，则会将vsftpd 与tcp wrapper 结合，也就是可以在/etc/hosts.allow 与 
/etc/hosts.deny 中定义可联机或是拒绝的来源地址。 
pam_service_name 
这边定义PAM 所使用的名称，预设为vsftpd。 
secure_chroot_dir 
这个选项必须指定一个空的数据夹且任何登入者都不能有写入的权限，当vsftpd 不需 
要file system 的权限时，就会将使用者限制在此数据夹中。默认值为/usr/share/empty 
＝＝＝纪录文件设定＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝ 
xferlog_enable 
用法：YES/NO 
如果启动，上传与下载的信息将被完整纪录在底下xferlog_file 所定义的档案中。预设 
为开启。 
xferlog_file 
这个选项可设定纪录文件所在的位置，默认值为/var/log/vsftpd.log。 
xferlog_std_format 
如果启动，则纪录文件将会写为xferlog 的标准格式，如同wu-ftpd 一般。默认值为关 
闭。 
＝＝＝逾时设定＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝ 
accept_timeout 
接受建立联机的逾时设定，单位为秒。默认值为60。 
connect_timeout