Bien que vsftpd n'offre pas forc�ment le m�me degr� de personnalisation que d'autres serveurs FTP courants, il fournit suffisamment d'options pour r�pondre aux besoins de la plupart des administrateurs. �tant donn� que sa gamme de fonctionnalit�s n'est pas excessivement vaste, les erreurs pragmatiques et de configuration sont plus restreintes.
Toute configuration de vsftpd est trait�e par son fichier de configuration, /etc/vsftpd/vsftpd.conf. Chaque directive appara�t sur sa propre ligne au sein du fichier et suit le format suivant�:
<directive>=<value>
Pour chaque directive, remplacez d'une part <directive> par une directive valide et d'autre part <value> par une valeur valide.
Important
Dans une directive, aucun espace ne doit figurer entre la <directive>, le signe �gal et l'�l�ment <value>.
Les lignes de commentaire doivent �tre pr�c�d�es par un signe di�se (#) et ne sont pas prises en compte par le d�mon.
Pour obtenir une liste compl�te de toutes les directives disponibles, reportez-vous � la page de manuel de vsftpd.conf.
Important
Pour obtenir un aper�u des diff�rentes mani�res de s�curiser vsftpd, reportez-vous au chapitre intitul� S�curit� de serveur du Guide de s�curit� de Red Hat Enterprise Linux.
Ci-dessous figure une liste des directives les plus importantes pr�sentes dans /etc/vsftpd/vsftpd.conf. Toute directive ne se trouvant pas explicitement dans le fichier de configuration de vsftpd se voit attribuer la valeur par d�faut.
15.5.1. Options pour le d�mon
Ci-dessous figure une liste des directives contr�lant le comportement g�n�ral du d�mon vsftpd.
listen — Lorsque cette option est activ�e, vsftpd est ex�cut� en mode autonome. Red Hat Enterprise Linux lui attribue la valeur YES. Cette directive ne peut pas �tre utilis�e de concert avec la directive listen_ipv6.
La valeur par d�faut est NO.
listen_ipv6 — Lorsque cette option est activ�e, vsftpd est ex�cut� en mode autonome, mais n'�coute que l'interface de connexion (ou socket) IPv6. Cette directive ne peut pas �tre utilis�e de concert avec la directive listen.
La valeur par d�faut est NO.
session_support — Lorsque cette option est activ�e, vsftpd tente de maintenir les sessions de connexion pour chaque utilisateur par le biais de modules d'authentification enfichables (ou PAM). Reportez-vous au Chapitre 16 pour obtenir de plus amples informations. Si l'ouverture de sessions n'est pas n�cessaire, la d�sactivation de cette option permet � vsftpd de tourner avec moins de processus et avec des privil�ges moindres.
La valeur par d�faut est YES.
15.5.2. Options de connexion et contr�les d'acc�s
Ci-dessous figure une liste des directives contr�lant le comportement de connexion et les m�canismes de contr�le d'acc�s.
anonymous_enable — Lorsque cette option est activ�e, des utilisateurs anonymes sont autoris�s � se connecter. Les noms d'utilisateurs anonymes (dits anonymous) et ftp sont accept�s.
La valeur par d�faut est YES.
Reportez-vous � la Section 15.5.3 pour obtenir une liste des directives ayant un impact sur les utilisateurs anonymes.
banned_email_file — Si la directive deny_email_enable a pour valeur YES, elle sp�cifie le fichier contenant une liste de mots de passe de messagerie anonymes pour lesquels l'acc�s au serveur est refus�.
La valeur par d�faut est /etc/vsftpd.banned_emails.
banner_file — Sp�cifie le fichier contenant le texte affich� lorsqu'une connexion est �tablie avec le serveur . Cette option �crase tout texte sp�cifi� dans la directive ftpd_banner.
Il n'existe pas de valeur par d�faut pour cette directive.
cmds_allowed — Sp�cifie une liste de commandes FTP, s�par�es les unes des autres par des virgules, qui permises par le serveur. Toutes les autres commandes sont refus�es.
Il n'existe pas de valeur par d�faut pour cette directive.
deny_email_enable — Lorsque cette option est activ�e, tout utilisateur anonyme employant des mots de passe de messagerie sp�cifi�s dans /etc/vsftpd.banned_emails se voit refuser l'acc�s au serveur. Le nom du fichier r�f�renc� par cette directive peut �tre sp�cifi� � l'aide de la directive banned_email_file.
La valeur par d�faut est NO.
ftpd_banner — Lorsque cette option est activ�e, la cha�ne sp�cifi�e dans cette directive est affich�e lorsque qu'une connexion au serveur est �tablie. Cette option peut �tre annul� par la directive banner_file.
Par d�faut, vsftpd affiche sa banni�re standard.
local_enable — Lorsque cette option est activ�e, les utilisateurs locaux sont autoris�s � se connecter au syst�me.
La valeur par d�faut est YES.
Reportez-vous � la Section 15.5.4 pour obtenir une liste des directives ayant un impact sur les utilisateurs locaux.
pam_service_name — Sp�cifie le nom du service PAM pour vsftpd.
La valeur par d�faut est ftp. Notez que sous Red Hat Enterprise Linux, cette valeur est vsftpd.
tcp_wrappers — Lorsque cette option est activ�e, les enveloppeurs TCP sont utilis�s pour accorder l'acc�s au serveur. De plus, si le serveur FTP est configur� sur de multiples adresses IP, l'option VSFTPD_LOAD_CONF peut �tre utilis�e pour charger des fichiers de configuration diff�rents en fonction de l'adresse IP demand�e par le client. Pour obtenir de plus amples informations sur les enveloppeurs TCP, reportez-vous au Chapitre 17.
La valeur par d�faut est NO. Notez que, sous Red Hat Enterprise Linux, la valeur est YES.
userlist_deny — Lorsque cette option est utilis�e de concert avec la directive userlist_enable et que sa valeur est NO, tous les utilisateurs locaux se voient refuser l'acc�s � moins que le nom d'utilisateur ne figure dans le fichier sp�cifi� par la directive userlist_file. �tant donn� que l'acc�s est refus� avant m�me que le client ne puisse saisir son mot de passe, le choix de la valeur NO pour cette directive emp�che les utilisateurs de soumettre des mots de passe non-crypt�s sur le r�seau.
La valeur par d�faut est YES.
userlist_enable — Lorsque cette option est activ�e, les utilisateurs mentionn�s dans le fichier sp�cifi�s par la directive userlist_file se voient refuser l'acc�s. �tant donn� que l'acc�s est refus� avant m�me que le client ne puisse saisir son mot de passe, les utilisateurs n'ont pas la possibilit� de soumettre des mots de passe non-crypt�s sur le r�seau.
La valeur par d�faut est NO, cependant, sous Red Hat Enterprise Linux la valeur donn�e est YES.
userlist_file — Sp�cifie le fichier r�f�renc� par vsftpd lorsque la directive userlist_enable est activ�e.
La valeur par d�faut est /etc/vsftpd.user_list�; cette derni�re est cr��e durant l'installation.
cmds_allowed — Sp�cifie une liste de commandes FTP, s�par�es les unes des autres par des virgules, que le serveur autorise. Toutes les autres commandes sont refus�es.
Il n'existe pas de valeur par d�faut pour cette directive.
15.5.3. Options pour les utilisateurs anonymes
Ci-dessous figure une liste des directives qui contr�lent l'acc�s des utilisateurs anonymes au serveur. Pour utiliser ces options, la valeur de la directive anonymous_enable doit �tre YES.
anon_mkdir_write_enable — Lorsque cette option est activ�e de concert avec la directive write_enable, des utilisateurs anonymes sont autoris�s � cr�er de nouveaux r�pertoires au sein du r�pertoire parent qui a des permissions en �criture.
La valeur par d�faut est NO.
anon_root — Sp�cifie le r�pertoire que vsftpd utilise apr�s la connexion d'un utilisateur anonyme.
Il n'existe pas de valeur par d�faut pour cette directive.
anon_upload_enable — Lorsque cette option est activ�e de concert avec la directive write_enable, des utilisateurs anonymes sont autoris�s � t�l�charger vers le serveur des fichiers dans unr�pertoire parent dot� de permissions en �criture.
La valeur par d�faut est NO.
anon_world_readable_only — Lorsque cette option est activ�e, des utilisateurs anonymes sont autoris�s � t�l�charger des fichiers lisibles par tout un chacun.
La valeur par d�faut est YES.
ftp_username — Sp�cifie le compte de l'utilisateur local (�nonc� dans /etc/passwd) employ� pour l'utilisateur FTP anonyme. Le r�pertoire personnel sp�cifi� dans /etc/passwd pour l'utilisateur est le r�pertoire root de l'utilisateur FTP anonyme.
La valeur par d�faut est ftp.
no_anon_password — Lorsque cette option est activ�e, l'utilisateur anonyme ne doit pas saisir de mot de passe.
La valeur par d�faut est NO.
secure_email_list_enable — Lorsque cette option est activ�e, seule une liste de mots de passe �lectroniques sp�cifi�e pour les connexions anonymes est accept�e. Ce faisant, il est d'offrir une certaine s�curit� � un contenu public sans avoir besoin d'utilisateurs virtuels.
Les connexions anonymes sont refus�es � moins que le mot de passe fourni soit contenu dans /etc/vsftpd.email_passwords. Le format du fichier est un mot de passe par ligne, sans espace � la fin.
La valeur par d�faut est NO.
15.5.4. Options pour les utilisateurs locaux
Ci-dessous figure une liste des directives caract�risant la mani�re selon laquelle les utilisateurs locaux ont acc�s au serveur. Pour utiliser ces options, la directive local_enable doit avoir la valeur YES.
chmod_enable — Lorsque cette option est activ�e, la commande FTP SITE CHMOD est autoris�e pour les utilisateurs locaux. Cette commande permet aux utilisateurs de changer les permissions s'appliquant aux fichiers.
La valeur par d�faut est YES.
chroot_list_enable — Lorsque cette option est activ�e, les utilisateurs locaux �num�r�s dans le fichier qui est sp�cifi� dans la directive chroot_list_file, sont plac�s dans une prison chroot d�s qu'ils se connectent.
Si cette option est activ�e de concert avec la directive chroot_local_user, les utilisateurs locaux �num�r�s dans le fichier qui est sp�cifi� dans la directive chroot_list_filene sont pas plac�s dans une prison chroot lors de la connexion.
La valeur par d�faut est NO.
chroot_list_file — Sp�cifie le fichier contenant une liste des utilisateurs locaux r�f�renc�s lorsque la valeur de la directive chroot_list_enable est YES.
La valeur par d�faut est /etc/vsftpd.chroot_list.
chroot_local_user — Lorsque cette option est activ�e, les utilisateurs locaux op�rent dans l'environnement chroot� de leur r�pertoire personnel apr�s leur connexion.
La valeur par d�faut est NO.
Avertissement
L'activation de l'option chroot_local_user cr�e un certain nombre de probl�mes de s�curit�, particuli�rement pour les utilisateurs poss�dant les privil�ges n�cessaire pour t�l�charger sur le serveur. Elle n'est par cons�quent pas recommend�e.
guest_enable — Lorsque cette option est activ�e, tous les utilisateurs autres que les utilisateurs anonymes sont connect�s en tant que l'utilisateur invit� (guest) qui est l'utilisateur local sp�cifi� dans la directive guest_username.
La valeur par d�faut est NO.
guest_username — Sp�cifie le nom d'utilisateur vers lequel l'utilisateur invit� (guest) est mapp�.
La valeur par d�faut est ftp.
local_root — Sp�cifie le r�pertoire que vsftpd utilise apr�s la connexion d'un utilisateur local.
Il n'existe pas de valeur par d�faut pour cette directive.
local_umask — Sp�cifie la valeur donn�e � umask pour la cr�ation de fichiers. Notez que la valeur par d�faut se pr�sente sous la forme octale (un syst�me num�rique en base huit), qui inclut un pr�fixe "0". Sinon la valeur est trait�e comme un entier � base 10.
La valeur par d�faut est 022.
passwd_chroot_enable — Lorsque cette option est activ�e de concert avec la directive chroot_local_user, vsftpd chroote les utilisateurs locaux si l'�l�ment /./ figure dans le champ du r�pertoire personnel au sein de /etc/passwd.
La valeur par d�faut est NO.
user_config_dir — Sp�cifie le chemin vers un r�pertoire contenant les fichiers de configuration portant le nom des utilisateurs du syst�me local qui renferment des param�tres sp�cifiques pour ces utilisateurs. Toute directive figurant dans le fichier de configuration d'un utilisateur annule celles figurant dans /etc/vsftpd/vsftpd.conf.
Il n'existe pas de valeur par d�faut pour cette directive.
15.5.5. Options pour les r�pertoires
Ci-dessous figure la liste des directives ayant un impact sur les r�pertoires.
dirlist_enable — Lorsque cette option est activ�e, les utilisateurs sont autoris�s � visionner les listes de r�pertoires.
La valeur par d�faut est YES.
dirmessage_enable — Lorsque cette option est activ�e, un message appara�t chaque fois qu'un utilisateur ouvre un r�pertoire avec un fichier message. Ce message se trouve dans le r�pertoire qui est ouvert. Le nom de ce fichier est sp�cifi� dans la directive message_file et part d�faut prend la valeur .message.
La valeur par d�faut est NO. Notez que, sous Red Hat Enterprise Linux, la valeur est YES.
force_dot_files — Lorsque cette option est activ�e, les fichiers commen�ant par un point (.) sont inclus dans les listes de r�pertoires, � l'exception des fichiers . et ...
La valeur par d�faut est NO.
hide_ids — Lorsque cette option est activ�e, toutes les listes de r�pertoires font appara�tre ftp comme l'utilisateur et le groupe de chaque fichier.
La valeur par d�faut est NO.
message_file — Sp�cifie le nom du fichier message lorsque la directive dirmessage_enable est utilis�e.
La valeur par d�faut est .message.
text_userdb_names — Lorsque cette option est activ�e, des noms d'utilisateurs et noms de groupes test sont utilis�s au lieu des entr�es UID et GID. L'activation de cette option peut entra�ner un ralentissement des performances du serveur.
La valeur par d�faut est NO.
use_localtime — Lorsque cette option est activ�e, les listes de r�pertoires r�v�lent l'heure locale de l'ordinateur au lieu de l'heure GMT.
La valeur par d�faut est NO.
15.5.6. Options pour le transfert de fichiers
Ci-dessous figure la liste des directives ayant un impact sur les r�pertoires.
download_enable — Lorsque cette option est activ�e, le t�l�chargement de fichiers est autoris�.
La valeur par d�faut est YES.
chown_uploads — Lorsque cette option est activ�e, tous les fichiers t�l�l�charg�s vers les serveur par des utilisateurs anonymes deviennent la propri�t� de l'utilisateur sp�cifi� dans la directive chown_username.
La valeur par d�faut est NO.
chown_username — Sp�cifie la propri�t� de fichiers t�l�charg�s anonymement vers le serveur si la directive chown_uploads est activ�e.
La valeur par d�faut est root.
write_enable — Lorsque cette option est activ�e, les commandes FTP permettant de modifier le syst�me de fichiers sont permises, telles que DELE, RNFR et STOR.
La valeur par d�faut est YES.
15.5.7. Options de journalisation
Ci-dessous figure une liste des directives ayant un impact sur le comportement de journalisation de vsftpd.
dual_log_enable — Lorsque cette option est activ�e de concert avec xferlog_enable, vsftpd enregistre deux fichiers simultan�ment�: un journal compatible avec wu-ftpd dans le fichier sp�cifi�e dans la directive xferlog_file (par d�faut /var/log/xferlog) et un fichier journal vsftpd standard sp�cifi� dans la directive vsftpd_log_file (par d�faut /var/log/vsftpd.log).
La valeur par d�faut est NO.
log_ftp_protocol — Lorsque cette option est activ�e de concert avec xferlog_enable et lorsque xferlog_std_format a pour valeur NO, toutes les commandes et r�ponses FTP sont journalis�es. Cette directive est tr�s utilise lors d'op�rations de d�bogage.
La valeur par d�faut est NO.
syslog_enable — Lorsque cette option est activ�e de concert avec xferlog_enable, toute journalisation normalement enregistr�e dans le fichier journal standard vsftpd sp�cifi� dans la directive vsftpd_log_file (par d�faut /var/log/vsftpd.log) est envoy�e � l'enregistreur du syst�me sous le service FTPD.
La valeur par d�faut est NO.
vsftpd_log_file — Sp�cifie le fichier journal vsftpd. Pour que ce fichier soit utilis�, xferlog_enable doit �tre activ�e et xferlog_std_format doit avoir pour valeur NO ou, si la valeur de xferlog_std_format estYES, l'activation dedual_log_enable est n�cessaire. Il est important de noter ici que si syslog_enable a pour valeur YES, le journal du syst�me est utilis� � la place du fichier sp�cifi� dans cette directive.
La valeur par d�faut est /var/log/vsftpd.log.
xferlog_enable — Lorsque cette commande est activ�e, vsftpd journalise les connexions (seulement au format vsftpd) et les informations de transfert de fichiers dans le fichier journal sp�cifi� dans la directive vsftpd_log_file (par d�faut /var/log/vsftpd.log). Si xferlog_std_format a pour valeur YES, les informations de transfert de fichiers sont journalis�es mais les connexions elles ne le sont pas et le fichier sp�cifi� dans xferlog_file (par d�faut /var/log/xferlog) est utilis� � la place. Il est important de noter ici que les fichiers journaux aussi bien que les formats de journaux sont utilis�s si la valeur de dual_log_enable est YES.
La valeur par d�faut est NO. Notez que, sous Red Hat Enterprise Linux, la valeur est YES.
xferlog_file — Sp�cifie le fichier journal compatible avec wu-ftpd. Pour que ce fichier soit utilis�, xferlog_enable doit �tre activ� et la valeur de xferlog_std_format doit �tre YES. Elle est �galement utilis�e si la valeur de dual_log_enable est YES.
La valeur par d�faut est /var/log/xferlog.
xferlog_std_format — Lorsque cette option est activ�e de concert avec xferlog_enable, seul un journal de transfert de fichiers compatible avec wu-ftpd est enregistr� dans le fichier sp�cifi� dans la directive xferlog_file (par d�faut /var/log/xferlog). Il est important de noter ici que ce fichier journalise seulement les transferts de fichiers et n'enregistre pas les connexions au serveur.
La valeur par d�faut est NO. Notez que, sous Red Hat Enterprise Linux, la valeur est YES.
Important
Pour maintenir la compatibilit� avec les fichiers journaux enregistr�s par l'ancien serveur FTP wu-ftpd, la directive xferlog_std_format prend la valeur YES sous Red Hat Enterprise Linux. Toutefois, ce param�tre signifie que les connexions au serveur ne sont pas journalis�es.
Pour journaliser les connexions au format vsftpd et maintenir un journal des transferts de fichiers qui est compatible avec wu-ftpd, donnez � dual_log_enable la valeur YES.
S'il n'est pas important de maintenir un journal des transferts de fichiers qui est compatible avec wu-ftpd, vous pouvez donner � xferlog_std_format la valeur NO, commenter la ligne � l'aide d'un signe di�se (#) ou supprimer la ligne compl�tement.
15.5.8. Options r�seau
Ci-dessous figure une liste des directives ayant un impact sur la mani�re dont vsftpd interagit avec le r�seau.
accept_timeout — Sp�cifie la dur�e donn�e � un client utilisant une connexion passive pour se connecter.
La valeur par d�faut est 60.
anon_max_rate — Sp�cifie le taux de transfert de donn�es maximal, exprim� en octets par seconde, pour les utilisateurs anonymes.
La valeur par d�faut est 0, ce qui ne limite pas le taux de transfert.
connect_from_port_20 Lorsque cette option est activ�e, vsftpd tourne avec suffisamment de privil�ges pour ouvrir le port 20 sur le serveur lors des transferts de donn�es en mode actif. La d�sactivation de cette option permet � vsftpd de tourner avec moins de privil�ges, mais cette option peut-�tre incompatible avec certains clients FTP.
La valeur par d�faut est NO. Notez que, sous Red Hat Enterprise Linux, la valeur est YES.
connect_timeout — Sp�cifie la dur�e maximale exprim�e en secondes, donn�e � un client utilisant un mode actif pour r�pondre � une connexion de donn�es.
La valeur par d�faut est 60.
data_connection_timeout — Sp�cifie la dur�e maximale exprim�e en secondes, pendant laquelle les transferts de donn�es peuvent s'arr�ter. Une fois cette dur�e �coul�e, la connexion au client distant est ferm�e.
La valeur par d�faut est 300.
ftp_data_port — Sp�cifie le port utilis� pour les connexions actives aux donn�es lorsque connect_from_port_20 a pour valeur YES.
La valeur par d�faut est 20.
idle_session_timeout — Sp�cifie la dur�e maximale pouvant s'�couler entre des commandes depuis un client distant. Une fois cette dur�e �coul�e, la connexion au client distant est ferm�e.
La valeur par d�faut est 300.
listen_address — Sp�cifie l'adresse IP sur laquelle vsftpd doit �tre � l'�coute de connexions r�seau.
Il n'existe pas de valeur par d�faut pour cette directive.
Astuce
Si plusieurs copies de vsftpd tournent et servent diff�rentes adresses IP, le fichier de configuration de chaque copie du d�mon vsftpd doit avoir une valeur diff�rente pour cette directive. Reportez-vous � la Section 15.4.1 pour obtenir de plus amples informations sur les serveurs FTP en h�bergement multidomaine (aussi appel� multihoming).
listen_address6 — Sp�cifie l'adresse IPv6 sur laquelle vsftpd doit �tre � l'�coute de connexions r�seau lorsque listen_ipv6 a pour valeur YES.
Il n'existe pas de valeur par d�faut pour cette directive.
Astuce
Si plusieurs copies de vsftpd tournent et servent diff�rentes adresses IP, le fichier de configuration de chaque copie du d�mon vsftpd doit avoir une valeur diff�rente pour cette directive. Reportez-vous � la Section 15.4.1 pour obtenir de plus amples informations sur les serveurs FTP en h�bergement multidomaine (aussi appel� multihoming).
listen_port — Sp�cifie le port sur lequel vsftpd doit �tre � l'�coute de connexions r�seau.
La valeur par d�faut est 21.
local_max_rate — Sp�cifie le taux maximal (exprim� en octets par seconde) auquel les donn�es sont transf�r�es, pour les utilisateurs locaux connect�s au serveur.
La valeur par d�faut est 0, ce qui ne limite pas le taux de transfert.
max_clients — Sp�cifie le nombre maximal de clients autoris�s � se connecter simultan�ment au serveur lorsqu'il tourne en mode autonome. Toute connexion client suppl�mentaire provoquerait un message d'erreur.
La valeur par d�faut est 0, ce qui ne limite pas les connexions.
max_per_ip — Sp�cifie le nombre maximal de clients autoris�s � se connecter depuis l'adresse IP source.
La valeur par d�faut est 0, ce qui ne limite pas les connexions.
pasv_address — Sp�cifie l'adresse IP utilis�e pour l'adresse IP publique du serveur aux serveurs se trouvant derri�re des pare-feu NAT (Network Address Translation). Cette option permet � vsftpd de fournir la bonne adresse de retour pour des connexions en mode passif.
Il n'existe pas de valeur par d�faut pour cette directive.
pasv_enable — Lorsque cette option est activ�e, les connexions en mode passif ne sont pas permises.
La valeur par d�faut est YES.
pasv_max_port — Sp�cifie le port le plus �lev� possible qui est envoy� aux clients FTP pour des connexions en mode passif. Ce param�tre est utilis� pour limiter la plage de ports afin que les r�gles de pare-feu soient faciles � cr�er.
La valeur par d�faut est 0, ce qui ne limite pas la plage des ports passifs les plus �lev�s. La valeur ne doit pas d�passer 65535.
pasv_min_port — Sp�cifie le port le plus bas possible qui est envoy� au client FTP pour des connexions en mode passif. Ce param�tre est utilis� pour limiter la plage de ports afin que les r�gles de pare-feu soient faciles � cr�er.
La valeur par d�faut est 0, ce qui ne limite pas la plage des ports passifs les plus bas. La valeur ne doit pas �tre inf�rieure � 1024.
pasv_promiscuous — Lorsque cette option est activ�e, les connexions aux donn�es ne sont pas analys�es pour v�rifier qu'elles proviennent bien de la m�me adresse IP. Ce param�tre est seulement utile pour certains types de tunnellisation.
Attention
N'activez pas cette option � moins qu'elle ne soit absolument n�cessaire. En effet, elle d�sactive une fonctionnalit� de s�curit� importante permettant de v�rifier que les connexions en mode passif proviennent bien de la m�me adresse IP que la connexion de contr�le qui lance le transfert de donn�es.
La valeur par d�faut est NO.
port_enable — Lorsque cette option est activ�e, les connexions en mode actif ne sont pas permises.
