##################################################################################### #VSFTPD - E. GUILLEMARD Configuration ##################################################################################### #Interdire les connexions FTP Anonyme anonymous_enable=NO # #Autoriser les connexions des utilisateurs locaux local_enable=YES # #Autoriser les commandes pour écrire en FTP write_enable=YES # #Définition du umask utilisateur 077 par défaut, préférer 022 local_umask=022 # #Autoriser les utilisateurs anonyme à upload des fichiers #Si SELinux est actif bool allow_ftpd_anon_write, allow_ftpd_full_access #anon_upload_enable=NO # #Autoriser les utilisateurs anonyme à creer des répertoires #anon_mkdir_write_enable=NO # #Active une notification lorsqu'un utilisateur se rend dans certains répertoire dirmessage_enable=YES # #Activer les journaux pour chaque up/down Load xferlog_enable=YES # #Activer le port pour le flux de DATA (tcp/20) connect_from_port_20=NO # #Rendre les fichiers up par des anonymes comme propriété de root ou un autre user #chown_uploads=NO #chown_username=whoever # #Définir l'emplacement des fichiers de logs xferlog xferlog_file=/var/log/vsftpd/vsftpd.xferlog log_ftp_protocol=YES vsftpd_log_file=/var/log/vsftpd/vsftpd.log dual_log_enable=YES # #Rendre les journaux de log au format standard ftpd xferlog xferlog_std_format=YES # #Définir le temps timeout IDLE idle_session_timeout=300 # #Définir le temps de timeout pour DATA data_connection_timeout=120 #Définir un utilisateur dédié pour manager le daemon ftp sur le serveur #nopriv_user=ftsecure # #Activer la reconnaissance des requetes async ABOR #async_abor_enable=YES # # By default the server will pretend to allow ASCII mode but in fact ignore # the request. Turn on the below options to have the server actually do ASCII # mangling on files when in ASCII mode. The vsftpd.conf(5) man page explains # the behaviour when these options are disabled. # Beware that on some FTP servers, ASCII support allows a denial of service # attack (DoS) via the command "SIZE /big/file" in ASCII mode. vsftpd # predicted this attack and has always been safe, reporting the size of the # raw file. # ASCII mangling is a horrible feature of the protocol. #ascii_upload_enable=YES #ascii_download_enable=YES # # Définir la bannière: #ftpd_banner=Welcome to ftp.erwanguillemard.com. banner_file=/etc/vsftpd/banner.txt # #Définir un fichier pour refuser les connexions anonymes pour éviter les DDOS #banned_email_file=/etc/vsftpd/banned_emails # #Définir une liste d'utilisateur habilité à chroot leurs home. #Si YES les utilisateurs ne peuvent pas chroot de leur home chroot_local_user=YES #chroot_list_enable=YES #chroot_list_file=/etc/vsftpd/99_chroot_list_user # #Autoriser les commandes récursives #Attention car peut générer de nombreuses I/O ls_recurse_enable=YES # #Autorise l'écoute sur IPV4 listen=YES # #Autoriser l'écoute sur IPV6. Pas utile de faire l'écoute sur IPV4 et IPV6 #listen_ipv6=YES # pam_service_name=vsftpd userlist_enable=YES #Permet de pouvoir écrire en chroot dans les prisons. allow_writeable_chroot=YES #Configure le mode passif pasv_enable=YES #Configure la range de port dynamic qui sera utilisée pour la data pasv_min_port=63000 pasv_max_port=63321 #Activation du port port_enable=YES # check_shell=NO ##################################################################################### #FTPS - PART ##################################################################################### #Definit l'emplacement du certificat et de la clé privée rsa_cert_file=/etc/pki/tls/certs/vsftpd.erwanguillemard.com.crt rsa_private_key_file=/etc/pki/tls/private/vsftpd.erwanguillemard.com.key # #Activation et utilisation du TLS/SSL ssl_enable=YES # #Autoriser les connexions anonymes en SSL allow_anon_ssl=NO # #Forcer les utilisateurs locaux à utiliser le SSL pour les échanges de données force_local_data_ssl=NO # #Forcer les utilisateurs locaux à utiliser le SSL pour l'authentification force_local_logins_ssl=NO # #Version du TLS/SSL qui sera utiliser, préférer la version 1 aux versions 2 et 3 ssl_tlsv1=YES ssl_sslv2=NO ssl_sslv3=NO # #Forcer toutes les connexions de données SSL à réutiliser des sessions SSL #précédentes pour prouver qu'elles connaissent le même secret que le canal de control #Attention peut provoquer des déconnexions de sessions dans les clients ftp #Cf http://scarybeastsecurity.blogspot.com/2009/02/vsftpd-210-released.html require_ssl_reuse=NO #Définit la version de l'algorithme SSL qui sera utilisé pour chiffrer les connexions#SSL. Par défaut DES-CBC3-SHA ssl_ciphers=HIGH