/etc/vsftpd/vsftpd.conf |
FTP vraiment sécuritaire |
---|---|
Distribution Linux |
Description
Le fichier «vsftpd.conf» peut être utilisé pour contrôler divers aspects du comportement de vsftpd. Par défaut, vsftpd recherche ce fichier à l'emplacement /etc/vsftpd/vsftpd.conf. Cependant, vous pouvez remplacer ceci en spécifiant un paramètre de ligne de commande à vsftpd. Le paramètre de ligne de commande est le chemin du fichier de configuration pour vsftpd. Ce comportement est utile car vous souhaiterez peut-être utiliser un inetd avancé comme xinetd pour lancer vsftpd avec différents fichiers de configuration hôte par hôte virtuel.
Syntaxe
Le format de vsftpd.conf est très simple. Chaque ligne est soit un commentaire, soit une directive. Les lignes de commentaires commencent par un # et sont ignorées :
#...commentaires... |
Une ligne de directive a le format suivant :
paramètre=valeur |
Il est important de noter qu'il ne faut pas placer un espace entre le symbole «=» ainsi qu'entre le paramètre et la valeur. Chaque paramètre a une valeur de compilation par défaut pouvant être modifié dans le fichier de configuration.
Les paramètres
Nom | Description |
---|---|
allow_anon_ssl | Ce paramètre permet d'indiquer, s'il vaut YES, que les utilisateurs anonymes seront autorisés à utiliser des connexions SSL sécurisées. Ce paramètre ne s'applique que si le ssl_enable est actif. |
anon_mkdir_write_enable | Ce paramètre permet d'indiquer, s'il vaut YES, que les utilisateurs anonymes seront autorisés à créer de nouveaux répertoires dans certaines conditions. Ce paramètre ne s'applique que si le paramètre write_enable est activée et que l'utilisateur ftp anonyme a le droit d'écriture sur le répertoire parent. |
anon_other_write_enable | Ce paramètre permet d'indiquer, s'il vaut YES, que les utilisateurs anonymes seront autorisés à effectuer des opérations d'écriture autres que le téléchargement et la création d'un répertoire, telles que la suppression et le changement de nom. Ceci n'est généralement pas recommandé mais inclus pour des raisons de complétude. |
anon_upload_enable | Ce paramètre permet d'indiquer, s'il vaut YES, que les utilisateurs anonymes seront autorisés à télécharger des fichiers sous certaines conditions. Ce paramètre ne s'applique que si le paramètre write_enable est activée et que l'utilisateur ftp anonyme a le droit d'écriture sur les emplacements de téléversement souhaités. Ce paramètre est également requis pour les utilisateurs virtuels à téléverser; Par défaut, les utilisateurs virtuels sont traités avec des privilèges anonymes (c'est-à-dire limités au maximum). |
anon_world_readable_only | Ce paramètre permet d'indiquer, s'il vaut YES, que les utilisateurs anonymes ne sont autorisés à télécharger que des fichiers lisibles par tout le monde. Il est reconnu que l'utilisateur FTP peut posséder des fichiers, en particulier en présence de téléchargements. |
anonymous_enable | Ce paramètre permet d'indiquer, s'il vaut YES, que les noms d'utilisateur FTP et anonyme sont reconnus comme des connexions anonymes. Ainsi, il contrôle si les connexions anonymes sont autorisées ou non. |
ascii_download_enable | Ce paramètre permet d'indiquer, s'il vaut YES, que les transferts de données en mode ASCII seront pris en compte lors des téléchargements. |
ascii_upload_enable | Ce paramètre permet d'indiquer, s'il vaut YES, que les transferts de données en mode ASCII seront pris en compte lors des téléversements. |
async_abor_enable | Ce paramètre permet d'indiquer, s'il vaut YES, qu'une commande FTP spéciale appelée "async ABOR" sera activée. Seuls les clients FTP mal avisés utiliseront cette fonctionnalité. De plus, cette fonctionnalité est difficile à gérer, elle est donc désactivée par défaut. Malheureusement, certains clients FTP vont se bloquer lors de l'annulation d'un transfert, à moins que cette fonctionnalité ne soit disponible. Vous pouvez donc l'activer. |
background | Ce paramètre permet d'indiquer, s'il vaut YES, de mettre en arrière-plan le processus d'écoute si le vsftpd est démarré en mode "listen" (c'est-à-dire que le contrôle sera immédiatement renvoyé à l'interpréteur de commande ayant lancé vsftpd). |
check_shell | Ce paramètre permet d'indiquer, s'il vaut NO, qu'il ne faut pas rechercher dans /etc/shells un interpréteur de commande utilisateur valide pour les connexions locales. Ce paramètre n'a d'effet que sur les versions de vsftpd non-PAM. |
chmod_enable | Ce paramètre permet d'indiquer, s'il vaut YES, d'autoriser l'utilisation de la commande SITE CHMOD. Ce paramètre concerne que les utilisateurs locaux. Les utilisateurs anonymes n'utilisent jamais SITE CHMOD. |
chown_uploads | Ce paramètre permet d'indiquer, s'il vaut YES, que la propriété de tous les fichiers téléversés anonymement sera modifiée avec l'utilisateur spécifié dans le paramètre chown_username. Ce paramètre est utile du point de vue administratif, et peut-être de la sécurité. |
chroot_list_enable | Ce paramètre permet d'indiquer, s'il vaut YES, que vous pouvez fournir une liste des utilisateurs locaux étant placés dans une prison «chroot()» de leur répertoire de base lors de la connexion. La signification est légèrement différente si chroot_local_user est défini sur YES. Dans ce cas, la liste devient une liste d'utilisateurs ne devant pas être placés dans une prison chroot(). Par défaut, le fichier contenant cette liste est /etc/vsftpd/chroot_list, mais vous pouvez le remplacer par le paramètre chroot_list_file. |
chroot_local_user | Ce paramètre permet d'indiquer, s'il vaut YES, que les utilisateurs locaux seront (par défaut) placés dans une prison chroot() de leur répertoire de base après la connexion. Ce paramètre a des implications en matière de sécurité, en particulier si les utilisateurs disposent d'une autorisation de téléchargement ou d'un accès d'interpréteur de commande. Activez uniquement si vous savez ce que vous faites. Notez que ces implications pour la sécurité ne sont pas spécifiques à vsftpd. Ils s'appliquent à tous les serveurs FTP proposant de mettre les utilisateurs locaux dans des prisons de chroot(). |
connect_from_port_20 | Ce paramètre permet d'indiquer, s'il vaut YES, si les connexions de données de style PORT utilisent le port 20 (ftp-data) sur le serveur. Pour des raisons de sécurité, certains clients peuvent insister pour que ce soit le cas. Inversement, la désactivation de ce paramètre permet à vsftpd de s'exécuter avec un peu moins de privilèges. |
debug_ssl | Ce paramètre permet d'indiquer, s'il vaut YES, que les diagnostics de connexion OpenSSL sont sauvegardés dans le fichier journal vsftpd. |
delete_failed_uploads | Ce paramètre permet d'indiquer, s'il vaut YES, que tous les fichiers ayant échoué au téléversement sont supprimés. |
deny_email_enable | Ce paramètre permet d'indiquer, s'il vaut YES, que vous pouvez fournir une liste de réponses par courrier électronique à un mot de passe anonyme entraînant le refus de la connexion. Par défaut, le fichier contenant cette liste est /etc/vsftpd/banned_emails, mais vous pouvez le remplacer par le paramètre banned_email_file. |
dirlist_enable | Ce paramètre permet d'indiquer, s'il vaut NO, que toutes les commandes de la liste des répertoires donneront une autorisation refusée. |
dirmessage_enable | Ce paramètre permet d'indiquer, s'il vaut YES, que des messages peuvent être affichés aux utilisateurs du serveur FTP lorsqu'ils entrent pour la première fois dans un nouveau répertoire. Par défaut, un fichier est analysé pour le fichier «.message», mais il peut être remplacé par le paramètre de configuration message_file. |
... | ... |