Section courante

A propos

Section administrative du site

/etc/vsftpd/vsftpd.conf

FTP vraiment sécuritaire
Distribution Linux

Description

Le fichier «vsftpd.conf» peut être utilisé pour contrôler divers aspects du comportement de vsftpd. Par défaut, vsftpd recherche ce fichier à l'emplacement /etc/vsftpd/vsftpd.conf. Cependant, vous pouvez remplacer ceci en spécifiant un paramètre de ligne de commande à vsftpd. Le paramètre de ligne de commande est le chemin du fichier de configuration pour vsftpd. Ce comportement est utile car vous souhaiterez peut-être utiliser un inetd avancé comme xinetd pour lancer vsftpd avec différents fichiers de configuration hôte par hôte virtuel.

Syntaxe

Le format de vsftpd.conf est très simple. Chaque ligne est soit un commentaire, soit une directive. Les lignes de commentaires commencent par un # et sont ignorées :

#...commentaires...

Une ligne de directive a le format suivant :

paramètre=valeur

Il est important de noter qu'il ne faut pas placer un espace entre le symbole «=» ainsi qu'entre le paramètre et la valeur. Chaque paramètre a une valeur de compilation par défaut pouvant être modifié dans le fichier de configuration.

Les paramètres

Nom Description
allow_anon_ssl Ce paramètre permet d'indiquer, s'il vaut YES, que les utilisateurs anonymes seront autorisés à utiliser des connexions SSL sécurisées. Ce paramètre ne s'applique que si le ssl_enable est actif.
anon_mkdir_write_enable Ce paramètre permet d'indiquer, s'il vaut YES, que les utilisateurs anonymes seront autorisés à créer de nouveaux répertoires dans certaines conditions. Ce paramètre ne s'applique que si le paramètre write_enable est activée et que l'utilisateur ftp anonyme a le droit d'écriture sur le répertoire parent.
anon_other_write_enable Ce paramètre permet d'indiquer, s'il vaut YES, que les utilisateurs anonymes seront autorisés à effectuer des opérations d'écriture autres que le téléchargement et la création d'un répertoire, telles que la suppression et le changement de nom. Ceci n'est généralement pas recommandé mais inclus pour des raisons de complétude.
anon_upload_enable Ce paramètre permet d'indiquer, s'il vaut YES, que les utilisateurs anonymes seront autorisés à télécharger des fichiers sous certaines conditions. Ce paramètre ne s'applique que si le paramètre write_enable est activée et que l'utilisateur ftp anonyme a le droit d'écriture sur les emplacements de téléversement souhaités. Ce paramètre est également requis pour les utilisateurs virtuels à téléverser; Par défaut, les utilisateurs virtuels sont traités avec des privilèges anonymes (c'est-à-dire limités au maximum).
anon_world_readable_only Ce paramètre permet d'indiquer, s'il vaut YES, que les utilisateurs anonymes ne sont autorisés à télécharger que des fichiers lisibles par tout le monde. Il est reconnu que l'utilisateur FTP peut posséder des fichiers, en particulier en présence de téléchargements.
anonymous_enable Ce paramètre permet d'indiquer, s'il vaut YES, que les noms d'utilisateur FTP et anonyme sont reconnus comme des connexions anonymes. Ainsi, il contrôle si les connexions anonymes sont autorisées ou non.
ascii_download_enable Ce paramètre permet d'indiquer, s'il vaut YES, que les transferts de données en mode ASCII seront pris en compte lors des téléchargements.
ascii_upload_enable Ce paramètre permet d'indiquer, s'il vaut YES, que les transferts de données en mode ASCII seront pris en compte lors des téléversements.
async_abor_enable Ce paramètre permet d'indiquer, s'il vaut YES, qu'une commande FTP spéciale appelée "async ABOR" sera activée. Seuls les clients FTP mal avisés utiliseront cette fonctionnalité. De plus, cette fonctionnalité est difficile à gérer, elle est donc désactivée par défaut. Malheureusement, certains clients FTP vont se bloquer lors de l'annulation d'un transfert, à moins que cette fonctionnalité ne soit disponible. Vous pouvez donc l'activer.
background Ce paramètre permet d'indiquer, s'il vaut YES, de mettre en arrière-plan le processus d'écoute si le vsftpd est démarré en mode "listen" (c'est-à-dire que le contrôle sera immédiatement renvoyé à l'interpréteur de commande ayant lancé vsftpd).
check_shell Ce paramètre permet d'indiquer, s'il vaut NO, qu'il ne faut pas rechercher dans /etc/shells un interpréteur de commande utilisateur valide pour les connexions locales. Ce paramètre n'a d'effet que sur les versions de vsftpd non-PAM.
chmod_enable Ce paramètre permet d'indiquer, s'il vaut YES, d'autoriser l'utilisation de la commande SITE CHMOD. Ce paramètre concerne que les utilisateurs locaux. Les utilisateurs anonymes n'utilisent jamais SITE CHMOD.
chown_uploads Ce paramètre permet d'indiquer, s'il vaut YES, que la propriété de tous les fichiers téléversés anonymement sera modifiée avec l'utilisateur spécifié dans le paramètre chown_username. Ce paramètre est utile du point de vue administratif, et peut-être de la sécurité.
chroot_list_enable Ce paramètre permet d'indiquer, s'il vaut YES, que vous pouvez fournir une liste des utilisateurs locaux étant placés dans une prison «chroot()» de leur répertoire de base lors de la connexion. La signification est légèrement différente si chroot_local_user est défini sur YES. Dans ce cas, la liste devient une liste d'utilisateurs ne devant pas être placés dans une prison chroot(). Par défaut, le fichier contenant cette liste est /etc/vsftpd/chroot_list, mais vous pouvez le remplacer par le paramètre chroot_list_file.
chroot_local_user Ce paramètre permet d'indiquer, s'il vaut YES, que les utilisateurs locaux seront (par défaut) placés dans une prison chroot() de leur répertoire de base après la connexion. Ce paramètre a des implications en matière de sécurité, en particulier si les utilisateurs disposent d'une autorisation de téléchargement ou d'un accès d'interpréteur de commande. Activez uniquement si vous savez ce que vous faites. Notez que ces implications pour la sécurité ne sont pas spécifiques à vsftpd. Ils s'appliquent à tous les serveurs FTP proposant de mettre les utilisateurs locaux dans des prisons de chroot().
connect_from_port_20 Ce paramètre permet d'indiquer, s'il vaut YES, si les connexions de données de style PORT utilisent le port 20 (ftp-data) sur le serveur. Pour des raisons de sécurité, certains clients peuvent insister pour que ce soit le cas. Inversement, la désactivation de ce paramètre permet à vsftpd de s'exécuter avec un peu moins de privilèges.
debug_ssl Ce paramètre permet d'indiquer, s'il vaut YES, que les diagnostics de connexion OpenSSL sont sauvegardés dans le fichier journal vsftpd.
delete_failed_uploads Ce paramètre permet d'indiquer, s'il vaut YES, que tous les fichiers ayant échoué au téléversement sont supprimés.
deny_email_enable Ce paramètre permet d'indiquer, s'il vaut YES, que vous pouvez fournir une liste de réponses par courrier électronique à un mot de passe anonyme entraînant le refus de la connexion. Par défaut, le fichier contenant cette liste est /etc/vsftpd/banned_emails, mais vous pouvez le remplacer par le paramètre banned_email_file.
dirlist_enable Ce paramètre permet d'indiquer, s'il vaut NO, que toutes les commandes de la liste des répertoires donneront une autorisation refusée.
dirmessage_enable Ce paramètre permet d'indiquer, s'il vaut YES, que des messages peuvent être affichés aux utilisateurs du serveur FTP lorsqu'ils entrent pour la première fois dans un nouveau répertoire. Par défaut, un fichier est analysé pour le fichier «.message», mais il peut être remplacé par le paramètre de configuration message_file.
... ...


Dernière mise à jour : Mercredi, le 20 mars 2019