yuyun 2009-8-30 23:52
vsftpd官方faq(中文版)
官方FAQ網址: [url]ftp://vsftpd.beasts.org/users/cevans/untar/vsftpd-2.0.3/FAQ[/url]
Q1) 我能把用戶限制在他的家(home)目錄裏嗎?
A) 能,設置chroot_local_user=YES就行了。
Q2) 為什麼設置了chroot_local_user=YES後,符號鏈結(symlink)就不起作用了呢?
A) 這是chroot()這種安全機制如何工作的結果。可選地,看一下硬連接(hard links),或者,你用的是“現代的”Linux,看一下強大的"mount --bind"命令。
Q3) vsftpd支援限制用戶連接數嗎?
A1) 是的,間接地。vsftpd是一個基於inetd的服務。如果你使用流行的xinetd,它會支援per-service per-IP的連接限制。"EXAMPLE"目錄裏有這樣的一個例子。
A2) 如果你以"standalone"方式運行vsftpd(方法是設置listen=YES),你可以研究一下max_clients=10這樣的設置。
Q4) 求助!我得到了"refusing to run with writable anonymous
root"錯誤資訊。
A) vsftpd是不允許“危險(不安全)”的配置的。出現這個錯誤資訊的原因通常是ftp的家(home)目錄的屬主許可權不正確。 家(home)目錄的屬主不應該是ftp用戶自己,而且ftp用戶也不能有寫的許可權。解決的方法是:
chown root ~ftp; chmod -w ~ftp
Q5) 求助!我得到了"str_getpwnam"錯誤資訊。
A) 最有可能的原因是在你的系統中不存在那個被配置成'nopriv_user'的用戶(一般是 'nobody') 。vsftpd需要通過它以最低的許可權運行。
Q6) 求助!本地用戶無法登錄。
A) 有幾種可能的問題導致無法登錄。
A1) 默認情況下,vsftpd只允許匿名用戶(anonymous)登錄。在你的/etc/vsftpd.conf配置檔中加入local_enable=YES就可以讓本地用戶登錄了。
A2) vsftpd需要與PAM聯繫 (運行"ldd vsftpd"檢查結果中有沒有libpam可以確定這個). 如果vsftpd需要PAM支援, 你必須為vsftpd服務準備一個PAM檔. 在"RedHat"目錄下有一個為RedHat系統準備的PAM檔的例子,把它放在/etc/pam.d目錄下。
A3) 如果vsftpd不需要PAM, 那麼會有多種原因導致這種情況. 用戶的shell在 /etc/shells檔中嗎? 如果你使用shadow passwd,那麼include路徑中有沒有shadow.h文件?
A4) 如果你沒有用PAM, vsftpd會用自己的方法檢查用戶的shell是否合法. 如果想用一個非法的shell(這樣用戶就只能用FTP登錄),你可以在配置檔中加入check_shell=NO.
Q7) 求助!上傳或其他”寫“命令都報"500 Unknown command.".
A) 默認情況下”寫“命令(上傳和建新目錄等)都是被禁止的. 這是一種安全的方法. 要允許寫命令需要在配置檔/etc/vsftpd.conf中加入write_enable=YES.
Q8) 求助!chroot_local_user這個選項裏有什麼安全隱患?
A) 首先注意其他ftp伺服器也有同樣的隱患。這是個一般性的問題。這個問題不是很嚴重,但它是這樣的:有些人使不被信任的ftp帳戶具有了全部的shell訪問許可權。如果這些帳戶可以上傳檔,那就會有一點風險。一個壞用戶就可以控制作為其家目錄的檔系統的根目錄。FTP進程也許會使一些配置檔被訪問到,例如/etc/some_file。使用chroot(),這個檔就處於此用戶的控制之下。vsftpd非常在意這些安全問題。但是,系統的libc也許想打開語言配置檔或其他的什麼配置......
Q9) 求助!上傳後的文件許可權是-rw-------。
A1) 根據上傳用戶是本地用戶還是匿名用戶,修改local_umask或anon_umask選項。例如,設置anon_umask=022指定匿名上傳的檔許可權為-rw-r--r--。注意,22前面的0不能少。
A2) 也可以看看vsftpd.conf的man説明中的新選項file_open_mode。
Q10) 求助!我如何集成LDAP用戶登錄?
A) 使vsftpd結合PAM,配置PAM使用LDAP認證。
Q11) 求助!vsftpd可以配置成虛擬主機(virtual hosting)嗎?
A1) 可以。如果你使用xinetd方式運行vsftpd,可以將xinetd綁定到幾個不同的IP位址。針對每一個IP位址,xinetd使用不同的配置檔啟動vsftpd。這樣,你就能在每個IP上配置不同的vsftpd服務。
A2) 也可以用standalone方式運行多個vsftpd實例。使用選項listen_address=x.x.x.x設置虛擬IP。
Q12) 求助!vsftpd支援虛擬用戶(virtual users)嗎?
A) 支持,通過PAM集成。在/etc/vsftpd.conf中設置guest_enable=YES,這樣的效果是所有非匿名用戶的成功登錄都映射成guest_username指定的本地用戶。然後,使用PAM和(例如:)它的pam_userdb模組,就可以提高基於外部用戶庫(即不使用/etc/passwd)的認證。注意:當guest_enable生效後會有一個限制,就是本地用戶也被映射到guest_username(譯者:也就是說虛擬用戶與本地用戶不能同時使用)。EXAMPLE目錄裏有配置虛擬用戶的例子。
Q13) 求助!vsftpd支援不同的用戶使用不同的配置嗎?
A) 支援,而且功能強大。看man説明裏的user_config_dir選項。
Q14) 求助!我可以把vsftpd的資料連接(data connections)限制到指定範圍的埠嗎?
A) 可以。看配置選項pasv_min_port和pasv_max_port。
Q15) 求助!我看到了"OOPS: chdir"這樣的資訊。
A) 如果這是匿名用戶在登錄,就檢查系統用戶ftp的家目錄是否正確。如果你使用了anon_root這個選項,也要檢查該選項是否正確。
Q16) 求助!vsftpd顯示的是GMT時間,而不是本地時間!
A) 這個可以通過設置use_localtime=YES來解決。
Q17) 求助!我能禁用某些FTP命令嗎?
A) 可以。有一些單獨的選項(比如dirlist_enable),或者可以通過cmds_allowed選項指定允許的命令集。
Q18) 求助!我可以改變vsftpd的工作埠嗎?
A1) 可以。如果以standalone方式運行vsftpd,可以用vsftpd.conf中的listen_port選項(指定埠)。
A2) 可以。如果以inetd或xinetd方式運行vsftpd,那麼這個問題由inetd或xinetd負責。你就必須修改inetd或xinetd的配置檔(可能是/etc/inetd.conf或/etc/xinetd.d/vsftpd)。
Q19) 求助!vsftpd可以使用LDAP伺服器進行驗證嗎?或者使用Mysql資料庫?
A) 是的。vsftpd可以使用PAM進行驗證,所以你需要配置PAM使用pam_ldap或pam_mysql模組。這包括安裝PAM模組,然後編輯vsftpd的PAM配置檔(可能是/etc/pam.d/vsftpd)。
Q20) 求助!vsftpd支持每IP限制(per-IP limits)嗎?
A1) 是的。如果以standalone方式運行vsftpd,可以使用max_per_ip選項。
A2) 是的。如果以xinetd方式運行vsftpd,可以用xinetd的配置參數per_source。
Q21) 求助!vsftpd支持帶寬限制嗎?
A) 支持。看man説明(vsftpd.conf.5)中的"anon_max_rate"和 "local_max_rate"選項。
Q22) 求助!vsftpd支援基於IP(IP-based)的訪問控制嗎?
A1) 可以結合tcp_wrappers實現(前提是編譯是加了tcp_wrappers支持)。通過設置tcp_wrappers=YES啟用它。
A2) 以xinetd方式運行vsftpd,xinetd可以結合tcp_wrappers。
Q23) 求助!vsftpd支持IPv6嗎?
A) 從版本1.2.0開始就支持了。看vsftpd.conf的man説明。
Q24) 求助!vsftpd編譯失敗,錯誤是不能找到-lcap(unable to find -lcap)。
A) 安裝libcap package再試。好像Debian用戶遇到這個問題多一些。
Q25) 求助!我的配置檔是/etc/vsftpd.conf,可是好像不起作用!
A) RedHat用戶會遇到這個問題 - 一些RedHat版本中vsftpd的配置檔是/etc/vsftpd/vsftpd.conf.
Q26) 求助!vsftpd編譯失敗,報sysutil.c中有不完整的類型(types)。
A) 你的系統可能不支援IPv6。要麼在一個現代一些(支援IPv6)的系統中使用老版本的vsftpd(例如 v1.1.3),要麼等沒有這個問題的版本出來。
Q27) 求助!下載(尤其是大量小檔)時看到很多這樣的資訊:“500 OOPS: vsf_sysutil_bind”。
A) vsftpd-1.2.1已經解決了這個問題。
Q28) 求助!vsftpd可以隱藏或拒絕訪問某些檔嗎?
A) 可以。看看vsftpd.conf的man説明中的hide_file和deny_file選項。
Q29) 求助!vsftpd支持FXP嗎?
A) 支持。FTP伺服器不需要特別配置就可以支援FXP。但由於vsftpd在IP位址上的安全限制,你可能不會成功。想放寬這種限制,可以看看vsftpd.conf的man説明(vsftpd.conf.5)中關於pasv_promiscuous(和不太推薦使用的port_promiscuous)選項。
Q30) ......
A) 想進一步瞭解vsftpd,請閱讀vsftpd.conf的man説明和配置示例