Apparence
Uubu.fr

Les systèmes Linux, l’open source, les réseaux, l’interopérabilité, etc.
« Il vaut mieux viser la perfection et la manquer que viser l’imperfection et l’atteindre. » (Bertrand Arthur William RUSSEL)
27 juillet 2016

htmlpdflatexmanmd




vsftpd

vsftpd

Service ftp orienté sécurité

   vsftpd est un service FTP trés sécurisé. Le serveur peut être lancé via un super-server tel que inetd ou xinetd, ou peut être lancé de manière autonome.

OPTIONS

-v affiche la version et quitte
-ooption=value Définis une option

Exemples

Lancer vsftpd avec listen àNO, puis charge /etc/vsftpd.conf, qui peut éventuellement remplacer cette option, puis définis ftpd_banner:
vsftpd -olisten=NO /etc/vsftpd.conf -oftpd_banner=blah
^
27 juillet 2016

htmlpdflatexmanmd




vsftpd.conf

vsftpd.conf

Configuration pour vsftpd

options booléennes

allow_anon_ssl Seulement si ssl_enable est actif. à YES, les utilisateurs anonymes sont autorisés à utiliser des connections sécurisé SSL. Défaut: NO
anon_mkdir_write_enable À yes, les utilisateurs anonymes sont autorisés à créer de nouveaux répertoires sous certaines conditions. Pour que celà fonctionne, l'option write_enable doit être activé, et l'utilisateur ftp anonyme doit avoir les permissions d'écritures sur le répertoire parent. Défaut: NO
anon_other_write_enable À yes, les utilisateurs anonymes sont autorisés à effectuer des opérations d'écriture autre que upload et créer des répertoires, tel que la suppression et le renommage.
anon_upload_enable À yes, les utilisateurs anonymes sont autorisés à uploader des fichier sous certaines conditions. write_enable doit être activé, et l'utilisateur ftp anonyme doit avoir les permissions d'écriture à l'emplacement désiré. Ce paramètre est également requis pour les utilisateurs virtuels.
anon_world_readable_only Contrôle si les logins anonymes sont autorisés ou non. Si permis, les usernames ftp et anonymous sont reconnus comme logins anonymes.
ascii_download_enable Activé, le mode de transfert ASCII est permis pour les téléchargements.
ascii_upload_enable Activé, le mode de transfert ASCII est permis pour les uploads.
async_abor_enable Activé, la commande spéciale "async ABOR" est autorisée.
background Lance vsftpd en mode listen en tâche de fond
chmod_enable Activé, autorise l'utilisation de la commande SITE CHMOD. Ne s'applique qu'aux utilisateurs locaux.
chown_uploads Activé, tous les fichiers uploadés de manière anonymes seront changés à l'utilisateur spécifié par chown_username.
chroot_list_enable Activé, fournis une liste d'utilisateurs locaux qui sont placés dans un chroot() dans leur home une fois loggé. La signification est légèrement différence si chroot_local_user est à YES. Dans ce cas, la liste devient une liste d'utilisateurs qui ne sont pas placés dans un chroot(). Par défaut, le fichier contenant cette liste est /etc/vsftpd.chroot_list, et peut être changé avec chroot_list_file.
chroot_local_user À YES, les utilisateurs locaux sont placés par défaut dans un chroot dans leur home une fois loggé.
connect_from_port_20 Contrôle si la connection des données utilise le port 20 (ftp-data) sur le serveur.
debug_ssl À yes, les diagnostiques de connection openssl sont dumpés dans les logs vsftpd.
delete_failed_uploads À yes, tout upload de fichiers échoué est supprimé.
deny_email_enable Activé, permet de fournir une liste de réponses par email de mot de passe anonyme qui sont refusés. Par défaut, le fichier contenant cette liste est /etc/vsftpd.banned_emails, mais peut être changé avec banned_email_file.
dirlist_enable À no, toutes les commandes de listage de répertoire sont refusées
dirmessage_enable Permis, les utilisateurs peuvent reçevoir des messages quand ils entrent dans un nouveau répertoire. Affiche le contenu du fichier .message, ou la valeur de message_file.
download_enable À no, toutes demande de téléchargement sont refusés.
dual_log_enable À yes, 2 fichiers de log sont générés en parallèle, /var/log/xferlog et /var/log/vsftpd.log.
force_dot_files À YES, les fichiers et répertoires cachés sont affichés dans le listing même si le flag 'a' n'est pas utilisé. n'inclus par '.' et '..'.
force_anon_data_ssl Uniquement si ssl_enable est activé. tous les logging anonymes sont obligés d'utiliser une connection SSL pour le transfert de données.
force_anon_logins_ssl Uniquement si ssl_enable est activé. tous les logging anonymes sont obligés d'utiliser une connection SSL pour envoyer le mot de passe.
force_local_data_ssl Uniquement si ssl_enable est activé. tous les logging non-anonymes sont obligés d'utiliser une connection SSL pour le transfert de données.
force_local_logins_ssl Uniquement si ssl_enable est activé. tous les logging non-anonymes sont obligés d'utiliser une connection SSL pour envoyer le mot de passe.
guest_enable À yes, tous les logins non-anonymes sont classé en login guest. un login guest est remappé à l'utilisateur spécifié dans guest_username
hide_ids Activé, toutes les informations d'utilisateurs et groupes dans les listings de répertoire sont affiché en 'ftp'
implicit_ssl Si activé, un handshake SSL est la première chose attendue pour toutes les connections (FTPS).
listen Si activé, vsftpd fonctionne en mode standalone.
listen_ipv6 comme listen, mais vsftpd écoute sur un socket IPv6. listen et listen_ipv6 sont mutuellement exclusifs.
local_enable Contrôle si les logins locaux sont autorisé ou non. Si activé, les comptes dans /etc/passwd ou via PAM peuvent être utilisé pour se logger.
lock_upload_files Activé, tous les uploads sont traités avec un write lock sur le fichier uploadé. Tous les download sont traité avec un read lock partagé.
log_ftp_protocol Activé, toutes les requêtes et réponses FTP sont loggés.
ls_recurse_enable Autorise l'utilisation de ls -R.
mdtm_write Activé, autorise MDTM à changer la date de modification de fichier.
no_anon_password Activé, empêche vsftpd de demander un mot de passe anonyme.
no_log_lock Activé, empêche vsftpd de prendre un lock en écrivant les fichiers de log.
one_process_model Kernel 2.4, permet d'utiliser un modèle de sécurité qui utilise un processus par connection. Un peu moins sécurisé, mais améliore les performances.
passwd_chroot_enable Activé, avec chroot_local_user, un chroot() peut être spécifié sur une base par utilisateur, dérivé du home dans /etc/passwd.
pasv_addr_resolve À YES, permet d'utiliser un nom d'hôte dans l'option pasv_address
pasv_enable Active la méthode passive.
pasv_promiscuous À yes, permet de désactiver la vérification de sécurité PASV qui s'assure que la connection des données vient bien de la même IP que la connection de contrôle.
port_enable À no, désactive la méthode PORT pour obtenir une connexion des données
port_promiscuous À yes, désactive la vérification de sécurité PORT qui s'assure que les connexions de données sortantes peuvent seulement se connecter au client.
require_cert À yes, toutes les connexions SSL client doivent présenter un certificat client.
require_ssl_reuse À yes, toutes les connections de données doivent présenter une session SSL réutilisable.
run_as_launching_user À yes, vsftpd tourne sous l'utilisateur qui a lancé de service.
secure_email_list_enable Contrôle si vsftpd tente de maintenir les sessions pour les logins. si vsftpd maintient les sessions il tente de mettre à jours wtmp et utmp. Il ouvre également un pam_session et se termine seulement au logout.
setproctitle_enable Si activé, vsftpd affiche les informations de status de session dans le listing de processus système.
ssl_enable Active le support SSL
ssl_request_cert Activé, vsftpd demande un certificat pour les connexions SSL.
ssl_sslv2 Active SSL v2
ssl_sslv3 ACtive SSL v3
ssl_tlsv1 Active TLS v1
strict_ssl_read_eof Activé, Les upload SSL doivent se terminer via SSL et non en EOF sur le socket.
strict_ssl_write_shutdown Activé, les download SSL doivent se terminer via SSL et non en EOF sur le socket
syslog_enable Log via syslog
tcp_wrappers Active le contrôle d'accès tcp_wrappers
text_userdb_names Par défaut, les ID sont affichés dans les champs user et group des listings des répertoires. Cette option affiche les noms.
tilde_user_enable Activé, vsftpd tente de résoudre les nom de chemin tels que ~ chris/pics.
use_localtime Activé, vsftpd affiche les listings avec le timezone local (défaut: affiche GMT). les temps retournés par les commandes MDTM FTP sont également affectés par cette option
use_sendfile Paramètre interne pour tester le bénéfice de sendfile()
userlist_deny si userlist_enable est activé, à NO, seul les utilisateurs explicitement listés dans userlist_file sont autorisé.
userlist_enable À yes, charge une liste de usernames depuis le fichier userlist_file.
validate_cert À yes, tous les certificats client SSL reçus doivent être valides.
virtual_use_local_privs Activé, les utilisateurs virtuels utilisent les même privilèges que les utilisateurs locaux. Par défaut ils utilisent les même privilèges que les utilisateurs anonymes, qui tend à être plus restrictif.
write_enable Contrôle si les commandes FTP qui changent le système de fichier sont permis.
xferlog_enable Activé, un fichier de log sera maintenu détaillant les uploads et downloads. par défaut /var/log/vsftpd.log ou la valeur de vsftpd_log_file
xferlog_std_format À yes, le fichier de log de transfert est écrit au format standard utilisé par wu-ftpd.

options numériques

accept_timeout timeout en secondes pour l'établissement d'une connection de données PASV. défaut: 60s.
anon_max_rate Taux maximum de transfert de donnée en octets par seconde pour les clients anonymes.
anon_umask umask pour la création de fichiers pour les utilisateurs anonymes. défaut: 077
chown_upload_mode mode de fichier à forcer pour les uploads anonymes. défaut: 0600
connect_timeout timeout en secondes de réponse d'un client pour une connexion de données PORT
data_connection_timeout Timeout en secondes, pour les transfert de données sans progression. défaut: 300
delay_failed_login Nombre de secondes de pause avant de reporter un login échoué. Défaut: 1
delay_successful_login Nombre de secondes de pause avant de reporter un login réusss. Défaut: 0
file_open_mode permission pour la création des fichier uploadés. défaut: 0666
ftp_data_port Pour pour les connexions PORT. défaut: 20
idle_session_timeout Timeout en secondes, qu'un client distant passe entre 3 commandes. défaut: 300
listen_port En mode standalone, port d'écoute pour les connexions entrantes. défaut: 21
local_max_rate Taux de transfert max permis, en octets par secondes, pour les utilisateurs authentifiés. défaut: 0
local_umask umask pour la création de fichier pour les utilisateurs locaux. défaut: 077
max_clients En mode standalone, nombre maximum de clients qui peuvent être connectés simultannément. défaut: 0
max_login_fails nombre de logins échoué avant de tuer la session. Défaut: 3
max_per_ip En mode standalone, nombre de clients max par ip. défaut: 0.
pasv_max_port port max pour les connexions de données PASV. défaut: 0
pasv_min_port port min pour les connexions de données PASV. défaut: 0
trans_chunk_size défaut: 0

options chaîne

anon_root Représente un répertoire root pour vsftpd pour les login anonyme
banned_email_file Nom d'un fichier contenant une liste de mots de passe emails anonymes non autorisés. default: /etc/vsftpd.banned_emails
banner_file fichier contenant le texte à afficher à la connexion au serveur.
ca_certs_file nom du fichier contenant les certificats d'autorité pour valider les certificats client.
chown_username nom de l'utilisateur les fichiers uploadé anonymement.
chroot_list_file nom d'un fichier contenant une liste d'utilisateurs locaux à placer dans un chroot. Défault: /etc/vsftpd.chroot_list
cmds_allowed liste de commandes autorisées (post login. USER, PASS et QUIT sont toujours autorisés)
cmds_denied Liste de commandes FTP refusées. Prend précédence sur cmds_allowed.
deny_file permet de définis un jeu de pattern de noms de fichier inaccessibles.
dsa_cert_file certificat DSA
dsa_private_key_file Clé privée DSA
email_password_file fichier pour secure_email_list_enable. défaut: /etc/vsftpd.email_passwords
ftp_username Nom de l'utilisateur pour le ftp anonyme. défaut: ftp.
ftpd_banner Bannière affichée par vsftpd au début de connexion.
guest_username username pour l'option guest_enable
hide_file Permet de définir un pattern de noms de fichier cachés dans les listings des répertoires.
listen_address adresse d'écoute du service
listen_address6 adresse d'écoute en ipv6
local_root Répertoire que vsftpd change après un login non-anonyme.
message_file nom du fichier à afficher en entrant dans un répertoire. Défaut: .message.
nopriv_user nom de l'utilisateur utilisé par vsftpd quand il souhaite être totalement non privilégié. devrait être utilisateur dédié. défaut: nobody
pam_service_name nom du service pam à utiliser. Défaut: ftp.
pasv_address IP utilisée pour répondre à la commande PASV.
rsa_cert_file certificat RSA
rsa_private_key_file clé privée rsa
secure_chroot_dir nom d'un répertoire vide, non accessible en écriture par l'utilisateur ftp, utilisé comme chroot sécurisé quand vsftpd n'a pas besoin d'accès au système de fichier.
ssl_ciphers Chiffrements autorisés pour les connexions SSL. Défaut: DES-CBC3-SHA
user_config_dir Répertoire contenant des fichiers de configuration par utilisateur.
user_sub_token utilisé pour générer automatiquement un home pour chaque utilisateur virtuel, basé sur un template.
userlist_file fichier chargé quand l'option userlist_enable est active. défaut: /etc/vsftpd.user_list
vsftpd_log_file fichier de log
xferlog_file nom du fichier où écrire les log de transfert style wu-ftpd