Vsftpd

RHEL の vsftpd について。

設定

/etc/vsftpd/vsftpd.conf で設定を行う。

デフォルト設定

RHEL5 のデフォルト設定は以下の通り。

# "anonymous" でのログインを許可するかどうか。"ftp" でもログイン可能になる。
# デフォルトでは、ftp ユーザのホームディレクトリ /var/ftp に chroot される。
anonymous_enable=YES

# /etc/passwd にあるローカルユーザのログインを許可するかどうか。
local_enable=YES

# ファイルシステムを変更するような FTP コマンドを許可するかどうか。
write_enable=YES

# ローカルユーザが生成したファイルの umask 値。
local_umask=022

# ディレクトリを移動した際に、ディレクトリの .messages の内容を見せるかどうか。
dirmessage_enable=YES

# ログファイルにアップロードとダウンロードのログを記録するかどうか。
xferlog_enable=YES

# PORT でのデータ接続でサーバが送信もとポートに 20(ftp-data) を使用するかどうか。
connect_from_port_20=YES

# wu-ftpd と同様の標準的なフォーマットで記録するが、読みづらい。
xferlog_std_format=YES

# vsftpd 自身で接続を受け付けるかどうか。xinetd などから起動する場合は NO。
listen=YES

# vsftpd が使用する PAM サービス名
pam_service_name=vsftpd

# ログインを許可するあるいは拒否するユーザを userlist_file から読み取るかどうか。
userlist_enable=YES

# tcp_wrappers のアクセス制御を使用するかどうか。
tcp_wrappers=YES

記載されていないデフォルトの設定を含めると、アクセス制御は以下の通りとなる。

• anonymous, ftp ユーザはログイン可能 (/var/ftp に chroot される)
• ローカルユーザはログイン可能 (chroot されない)
  • しかし、/etc/vsftpd/user_list あるいは /etc/vsftpd/ftpusers に記載されているユーザはログイン不可
    • 前者は、デフォルトで userlist_deny=YES のため。
    • 後者は、PAM で拒否リストとして使用されているため。