vsftpd.conf的文件下载与上传设置

Share To Facebook Twitter

2.4.5 vsftpd.conf:vsftpd配置文件(3)

4. 文件下载与上传

默认情况下,任何用户(不管是本地用户还是匿名用户)都能够从vsftpd服务器上下载文件(假设拥有适当的文件系统访问权限)。必须将write_enable从NO(默认值)修改为YES,才能允许本地用户上传文件。默认情况下,local_umask被设置为022,上传文件的访问权限为644。

安全

允许本地用户上传文件会引入安全漏洞,相关信息请参见2.4.2节的"安全"部分。

下面的操作设置vsftpd,以允许匿名用户上传文件。

(1) 将write_enable设置为YES。

(2) 在目录/var/ftp下面建立一个子目录,让匿名用户能够写入但是不能读取(模式333)。不希望恶意用户看见、下载、修改和上传原来由另一位匿名用户所上传的文件。下面的命令创建目录/var/ftp/uploads,任何人都能够写入这个目录,但是不能读取。

  # mkdir /var/ftp/uploads  # chmod 333 /var/ftp/uploads  

出于安全方面的考虑,如果匿名用户(ftp)能够写入/var/ftp,那么vsftpd会阻止匿名连接。

(3) 将anon_upload_enable设置为YES。

(4) 查看本节中的其他选项。

本地用户的下载和上传

local_umask

本地用户的umask设置。

默认值:077

Red Hat:022

file_open_mode

本地用户的上传文件权限。这个值应用于umask命令。改为0777会让上传文件可执行。

默认值:0666

write_enable

若设置为YES,则允许用户创建和删除文件以及目录(假设有适当的文件系统访问权限)。若设置为NO,则阻止用户修改文件系统。

默认值:NO

Red Hat:YES

匿名用户

anon_mkdir_write_enable

若设置为YES,则当"write_enable=YES"且匿名用户有权写入父目录时,允许匿名用户创建新目录。

默认值:NO

anon_other_write_enable

若设置为YES,则匿名用户不仅具有写入权限,还具有anon_mkdir_write_enable和anon_upload_enable授予的权限。比如,若设置为YES,则允许匿名用户删除和重命名文件(假设拥有写入父目录的权限)。不推荐对安全站点使用这样的设置。

默认值:NO

anon_root

在匿名用户登录到服务器上去之后,这个目录就成为该用户的工作目录。如果指定目录不存在,则不会返回错误结果。

默认值:无

anon_umask

匿名用户的umask设置。默认设置只让匿名用户访问由匿名用户上传的文件。如果设置为022,则任何人都能够读取这些文件。

默认值:077

anon_upload_enable

若设置为YES,则当"write_enable=YES"并且匿名用户有写入该目录的权限时,允许匿名用户上传文件。

默认值:NO

anon_world_readable_only

若设置为YES,则将用户能够下载的文件限制为文件所有者、文件相关联的组的成员以及其他用户能够读取的文件。允许一个匿名用户下载另一个匿名用户上传的文件可能并不是想要的结果。如果将这个参数设置为YES,则可以避免这种情形。

默认值:YES

ascii_download_enable

若设置为YES,则允许用户使用ASCII模式下载文件。将这个参数设置为YES,会构成安全威胁。

默认值:NO

ascii_upload_enable

若设置为YES,则允许用户使用ASCII模式上传文件。

默认值:NO

chown_uploads

若设置为YES,则导致匿名用户上传的文件的所有者为root(或者chown_username指定的另一个用户)。

默认值:NO

chown_username

参见chown_uploads。

默认值:root

ftp_username

匿名用户的用户名。

默认值:ftp

nopriv_user

具有最小特权的用户(由vsftpd使用)的用户名。为了增强安全性,考虑到其他程序会使用nobody,应将nobody替换成专用用户的用户名,比如ftp。

默认值:nobody

(责任编辑:IT)

发表评论