linux fedora core 5如何配置FTP服務和Web服務

非常詳細的vsftpd伺服器配置 
相關檔案： 
/etc/vsftpd/vsftpd.conf 主設定檔 
/etc/vsftpd.ftpusers 指定哪些使用者不能訪問FTP伺服器 
/etc/vsftpd.user_list 可以根據vsftpd.conf檔案中的設定來決定該檔案中指定的使用者是否可以訪問ftp伺服器 
/etc/rc.d/init.d/vsftpd vsftpd的啟動指令檔 
2．修改/etc/vsftpd/vsftpd.conf檔案 
#vi /etc/vsftpd/vsftpd.conf 
功能：設定FTP伺服器相關選項 
檔案格式：#說明語句 
．．．．．．．．．．． 
．．．．．．．．．．． 
配置選項 
．．．．．．．．．．． 
．．．．．．．．．．． 
說明：在vsftpd. Conf檔案中主要由各種配置選項組成，具體以分為以下類別： 
2．1串連選項 
2．1．1．監聽地址與控制連接埠 
listen_address=ip address 
定義了在主機的哪個IP地址上監聽FTP請求（應用於獨立啟動方式的多IP主機預設值為無） 
listen_port=port_value 
指定FTP伺服器監聽的連接埠號碼(控制連接埠)，預設值為21。此選項在standalone模式下生效 
2．1．2．FTP模式與資料連接埠 
port_enable=YES|NO 
指定資料連線時模式，預設值為YES（PORT模式，NO為PASV模式） 
connect_from_port_20=YES|NO 
控制以PORT模式進行資料轉送時是否使用20連接埠(ftp-data),（YES使用，NO不使用，預設值為NO） 
ftp_data_port=port number 
設定ftp資料轉送連接埠(ftp-data)值。預設值為20。此參數用於PORT FTP模式。 
port_promiscuous=YES|NO 
預設值為NO。為YES時，取消PORT安全檢查。該檢查確保外出的資料只能串連到用戶端上。小心開啟此選項。 
pasv_enable=YES|NO 
YES，允許資料轉送時使用PASV模式。NO，不允許使用PASV模式。預設值為YES。 
pasv_min_port=port number 
pasv_max_port=port number 
設定在PASV模式下，建立資料轉送所可以使用port範圍的下界和上界，0 表 示任意。預設值為0。把連接埠範圍設在比較高的一段範圍內，比如50000-60000，將有助於安全性的提高 
pasv_promiscuous=YES|NO 
此選項啟用時，將關閉PASV模式的安全檢查。該檢查確保資料連線和控制串連是來自同一個IP地址。小心開啟此選項。此選項唯一合理的用法是存在於由安全隧道方案構成的組織中。預設值為NO 
pasv_address= ip address 
此選項為一個數字IP地址，作為PASV命令的響應。預設值為none，即地址是從呼入的串連通訊端(incoming connectd socket)中擷取。 
2．1．3．ASCII模式 
ascii_upload_enable=YES|NO 
控制是否允許使用ascii模式上傳檔案，YES允許，NO不允許，預設為NO 
ascii_download_enable=YES|NO 
控制是否允許使用ascii模式下載檔案，YES允許，NO不允許，預設為NO。 
2．2．效能與負載控制 
2．2．1．逾時選項 
idle_session_timeout= numerical value 
空閑（發獃）使用者會話的逾時時間，若是超出這時間沒有資料的傳送或是指令的輸入，則會強迫斷線。單位為秒，預設值為300。 
data_connection_timeout= numerical value 
閒置資料連線的逾時時間。預設值為300 秒。 
accept_timeout=numerical value 
接受建立聯機的逾時設定，單位為秒。預設值為60。 
connect_timeout=numerical value 
響應PORT方式的資料聯機的逾時設定，單位為秒。預設值為60。以上兩個選項針對用戶端的，將使用戶端空閑1分鐘後自動中斷串連，並在中斷1分鐘後自動啟用串連 
2．2．2．負載控制 
max_clients=numerical value 
此參數在VSFTPD使用單獨(standalone)模式下有效。此參數定義了FTP伺服器最大的並發串連數，當超過此串連數時，伺服器拒絕用戶端串連。預設值為0，表示不限最大串連數。 
max_per_ip=numerical value 
此參數在VSFTPD使用單獨(standalone)模式下有效。此參數定義每個IP地址最大的並發串連數目。超過這個數目將會拒絕串連。此選項的設定將影響到象網際快車這類的多進程下載軟體。預設值為0，表示不限制。 
anon_max_rate=value 
設定匿名使用者的最大資料轉送速度value，以Bytes/s為單位。預設無。 
local_max_rate=value 
設定使用者的最大資料轉送速度value，以Bytes/s為單位。預設無。此選項對所有的使用者都生效 
2．3．使用者選項 
2．3．1．匿名使用者 
anonymous_enable=YES|NO 
控制是否允許匿名使用者登入，YES允許，NO不允許，預設值為YES。 
ftp_username= username 
匿名使用者所使用的系統使用者名稱。預設下，此參數在設定檔中不出現，值為ftp 
no_anon_password=YES|NO 
控制匿名使用者登入時是否要求輸入密碼，YES不需要，NO需要。預設值為NO。 
deny_email_enable=YES|NO 
此參數預設值為NO。當值為YES時，拒絕使用banned_email_file參數指定檔案中所列出的e-mail地址進行登入的匿名使用者。即，當匿名使用者使用banned_email_file檔案中所列出的e-mail進行登入時，被拒絕。顯然，這對於阻擊某些Dos攻擊有效。當此參數生效時，需追加banned_email_file參數 
banned_email_file=/etc/vsftpd.banned_emails 
指定包含被拒絕的e-mail地址的檔案，預設檔案為/etc/vsftpd.banned_emails。 
anon_root=path 
設定匿名使用者的根目錄，即匿名使用者登入後，被定位到此目錄下。主設定檔中預設無此項，預設值為/var/ftp/。 
anon_world_readable_only=YES|NO 
控制是否只允許匿名使用者下載可閱讀文檔。YES，只允許匿名使用者下載可閱讀的檔案。NO，允許匿名使用者瀏覽整個伺服器的檔案系統。預設值為YES。 
anon_upload_enable=YES|NO 
控制是否允許匿名使用者上傳檔案，YES允許，NO不允許，預設是不設值，即為NO。除了這個參數外，匿名使用者要能上傳檔案，還需要兩個條件：一，write_enable參數為YES;二，在檔案系統上，FTP匿名使用者對某個目錄有寫入權限。 
anon_mkdir_write_enable=YES|NO 
控制是否允許匿名使用者建立新目錄，YES允許，NO不允許，預設是不設值，即為NO。當然在檔案系統上，FTP匿名使用者必需對新目錄的上層目錄擁有寫入權限。 
anon_other_write_enable=YES|NO 
控制匿名使用者是否擁有除了上傳和建立目錄之外的其他許可權，如刪除、更名等。YES擁有，NO不擁有，預設值為NO。 
chown_uploads=YES|NO 
是否修改匿名使用者所上傳檔案的所有權。YES，匿名使用者所上傳的檔案的所有權將改為另外一個不同的使用者所有，使用者由chown_username參數指定。此選項預設值為NO。 
chown_username=whoever 
指定擁有匿名使用者上傳檔案所有權的使用者。此參數與chown_uploads聯用。不推薦使用root使用者。 
2．3．2．本機使用者 
local_enable=YES|NO 
控制vsftpd所在的系統的使用者是否可以登入vsftpd。預設值為YES。 
local_root= 
定義所有本機使用者的根目錄。當本機使用者登入時，將被更換到此目錄下。預設值為無。 
user_config_dir= 
定義使用者個人設定檔所在的目錄。使用者的個人設定檔為該目錄下的同名檔案。個人設定檔的格式與vsftpd.conf格式相同。例如定義user_config_dir=/etc/vsftpd/userconf，並且主機上有使用者xiaowang,lisi，那我們可以在user_config_dir的目錄新增名為xiaowang、lisi的兩個檔案。當使用者lisi 登入時，VSFTPD則會讀取user_config_dir下lisi這個檔案中的設定值，應用於使用者lisi。預設值為無。 
2．3．3．虛擬使用者 
guest_enable=YES|NO 
若是啟動這項功能，所有的非匿名登入者都視為guest。預設值為關閉 
guest_username= 
定義VSFTPD的guest使用者在系統中的使用者名稱。預設值為ftp 
2．4．安全措施 
2．4．1．使用者登入控制 
pam_service_name=vsftpd 
指出VSFTPD進行PAM認證時所使用的PAM設定檔名，預設值是vsftpd，預設PAM設定檔是/etc/pam.d/vsftpd。 
/etc/vsftpd.ftpusers 
VSFTPD禁止列在此檔案中的使用者登入FTP伺服器。這個機制是在/etc/pam.d/vsftpd中預設設定的。 
userlist_enable=YES|NO 
此選項被啟用後，VSFTPD將讀取userlist_file參數所指定的檔案中的使用者列表。當列表中的使用者登入FTP伺服器時，該使用者在提示輸入密碼之前就被禁止了。即該使用者名稱輸入後，VSFTPD查到該使用者名稱在列表，VSFTPD就直接禁止掉該使用者，不會再進行詢問密碼等後續步聚。預設值為NO。 
userlist_file=/etc/vsftpd.user_list 
指出userlist_enable選項生效後，被讀取的包含使用者列表的檔案。預設值是/etc/vsftpd.user_list。 
userlist_deny=YES|NO 
決定禁止還是只允許由userlist_file指定檔案中的使用者登入FTP伺服器。此選項在userlist_enable 選項啟動後才生效。YES，預設值，禁止檔案中的使用者登入，同時也不向這些使用者發出輸入口令的提示。NO，只允許在檔案中的使用者登入FTP伺服器。 
tcp_wrappers=YES|NO 
在VSFTPD中使用TCP_Wrappers遠端存取控制機制，預設值為YES。 
2．4．2．目錄存取控制 
chroot_list_enable=YES|NO 
鎖定某些使用者在自家目錄中。即當這些使用者登入後，不可以轉到系統的其他目錄，只能在自家目錄(及其子目錄)下。具體的使用者在chroot_list_file參數所指定的檔案中列出。預設值為NO。 
chroot_list_file=/etc/vsftpd/chroot_list 
指出被鎖定在自家目錄中的使用者的列表檔案。檔案格式為一行一使用者。通常該檔案是/etc/vsftpd/chroot_list。此選項預設不設定。 
chroot_local_users=YES|NO 
將本機使用者鎖定在自家目錄中。當此項被啟用時，chroot_list_enable和chroot_local_users參數的作用將發生變化，chroot_list_file所指定檔案中的使用者將不被鎖定在自家目錄。本參數被啟用後，可能帶來安全上的衝突，特別是當使用者擁有上傳、shell訪問等許可權時。因此，只有在確實瞭解的情況下，才可以開啟此參數。預設值為NO。 
passwd_chroot_enable =YES|NO 
當此選項啟用時，與chroot_local_user選項配合，chroot()容器的位置可以在每個使用者的基礎上指定。每個使用者的容器來源於/etc/passwd中每個使用者的自家目錄欄位。預設值為NO。 
2．4．3．檔案操作控制 
hide_ids=YES|NO 
是否隱藏檔案的所有者和組資訊。YES，當使用者使用"ls -al"之類的指令時，在目錄列表中所有檔案的擁有者和組資訊都顯示為ftp。預設值為NO。 
ls_recurse_enable=YES|NO 
YES，允許使用"ls -R" 指令。這個選項有一個小的安全風險，因為在一個大型FTP網站的根目錄下使用"ls -R"會消耗大量系統資源。預設值為NO。 
write_enable=YES|NO 
控制是否允許使用任何可以修改檔案系統的FTP 的指令，比如STOR、DELE、RNFR、RNTO、MKD、RMD、APPE 以及SITE。預設值為NO，不過內建的簡單設定檔中開啟了該選項。 
secure_chroot_dir= 
這選項指向一個空目錄，並且ftp使用者對此目錄無寫入權限。當vsftpd不需要訪問檔案系統時，這個目錄將被作為一個安全的容器，使用者將被限制在此目錄中。預設目錄為/usr/share/empty。 
2．4．4．新增檔案許可權設定 
anon_umask= 
匿名使用者新增檔案的umask 數值。預設值為077。 
file_open_mode= 
上傳檔案的許可權，與chmod 所使用的數值相同。如果希望上傳的檔案可以執行，設此值為0777。預設值為0666。 
local_umask= 
本機使用者新增檔案時的umask 數值。預設值為077。不過，其他大多數的FTP伺服器都是使用022。如果您的使用者希望的話，可以修改為022。在內建的設定檔中此項就設為了022。 
2．5．提示資訊 
ftpd_banner=login banner string 
此參數定義了login banner string（登入歡迎語字串）。使用者可以自行修改。預設值為無。當ftpd_banner設定後，將取代系統原來的歡迎詞。 
banner_file=/directory/vsftpd_banner_file 
此項指定一個文字檔，當使用者登入時，會顯示此該檔案的內容，通常為歡迎話語或是說明。預設值為無。與ftpd_banner相比，banner_file是文字檔的形式，而ftpd_banner是字串格式。banner_file選項將取代ftpd_banner選項。 
dirmessage_enable=YES|NO 
控制是否啟用目錄提示資訊功能。YES啟用，NO不啟用，預設值為YES。此功能啟用後，當使用者進入某一個目錄時，會檢查該目錄下是否有message_file選項所指定的文檔，若是有，則會出現此文檔的內容，通常這個檔案會放置歡迎話語，或是對該目錄的說明。 
message_file= 
此選項，僅在dirmessage_enable選項啟用方生效。預設值為.message。