vsftpd配置文件采用“#”作為注釋符，以“#”開頭的行和空白行在解析時將被忽略，其余的行被視為配置命令行，每個配置命令的“＝”兩邊不要留有空格。對于每個配置命令，在配置文件中還列出了相關的配置說明，利用vi編輯器可實現對配置文件的編輯修改。方法如下：

     #vi /etc/vsftpd/vsftpd.conf

1．登錄和對匿名用戶的設置

write_enable=YES               //是否對登錄用戶開啟寫權限。屬全局性設置。默認NO

local_enable=YES               //是否允許本地用戶登錄FTP服務器。默認為NO

anonymous_enable=YES          //設置是否允許匿名用戶登錄FTP服務器。默認為YES

ftp_username=ftp                //定義匿名用戶的賬戶名稱，默認值為ftp。

no_anon_passWord=YES             //匿名用戶登錄時是否詢問口令。設置為YES，則不詢問。默

認NO

anon_world_readable_only=YES   //匿名用戶是否允許下載可閱讀的文檔，默認為YES。

   anon_upload_enable=YES      //是否允許匿名用戶上傳文件。只有在write_enable設置為

YES時，該配置項才有效。而且匿名用戶對相應的目錄必須有寫權限。默認為NO。

anon_mkdir_write_enable=YES //是否允許匿名用戶創建目錄。只有在write_enable設置為    YES時有效。且匿名用戶對上層目錄有寫入的權限。默認為NO。

anon_other_write_enable=NO    //若設置為YES，則匿名用戶會被允許擁有多于

上傳和建立目錄的權限，還會擁有刪除和更名權限。默認值為NO。

2．設置歡迎信息

用戶登錄FTP服務器成功后，服務器可向登錄用戶輸出預設置的歡迎信息。

ftpd_banner=Welcome to my FTP server.

//該配置項用于設置比較簡短的歡迎信息。若歡迎信息較多，則可使用banner_file配置項。

banner_file=/etc/vsftpd/banner    

//設置用戶登錄時，將要顯示輸出的文件。該設置項將覆蓋ftpd_banner的設置。

dirmessage_enable=YES        

//設置是否顯示目錄消息。若設置為YES，則當用戶進入特定目錄（比如/var/ftp/linux）時，將顯示該目錄中的由message_file配置項指定的文件（.message）中的內容。

message_file=.message          //設置目錄消息文件。可將顯示信息存入該文件。該文件需要放在 相應的目錄（比如/var/ftp/linux）下

3．設置用戶登錄后所在的目錄

local_root=/var/ftp            

// 設置本地用戶登錄后所在的目錄。默認配置文件中沒有設置該項，此時用戶登錄FTP服務器后，所在的目錄為該用戶的主目錄，對于root用戶，則為/root目錄。

anon_root=/var/ftp           

//設置匿名用戶登錄后所在的目錄。若未指定，則默認為/var/ftp目錄。

4．控制用戶是否允許切換到上級目錄

       在默認配置下，用戶可以使用“cd..”命名切換到上級目錄。比如，若用戶登錄后所在的目錄為/var/ftp，則在“ftp>”命令行下，執行“cd..”命令后，用戶將切換到其上級目錄/var，若繼續執行該命令，則可進入Linux系統的根目錄，從而可以對整個Linux的文件系統進行操作。

若設置了write_enable=YES，則用戶還可對根目錄下的文件進行改寫操作，會給系統帶來極大的安全隱患，因此，必須防止用戶切換到Linux的根目錄，相關的配置項如下：

chroot_list_enable=YES                   

// 設置是否啟用chroot_list_file配置項指定的用戶列表文件。設置為YES則除了列在j/etc/vsftpd/chroot_list文件中的的帳號外，所有登錄的用戶都可以進入ftp根目錄之外的目錄。默認NO

chroot_list_file=/etc/vsftpd/chroot_list        

// 用于指定用戶列表文件，該文件用于控制哪些用戶可以切換到FTP站點根目錄的上級目錄。

chroot_local_user=YES                   

// 用于指定用戶列表文件中的用戶，是否允許切換到上級目錄。默認NO

注意：要對本地用戶查看效果，需先設置local_root=/var/ftp

具體情況有以下幾種：

1）當chroot_list_enable=YES，chroot_local_user=YES時，在/etc/vsftpd/chroot_list文件中列出的用戶，可以切換到上級目錄；未在文件中列出的用戶，不能切換到站點根目錄的上級目錄。

2）當chroot_list_enable=YES，chroot_local_user=NO時，在/etc/vsftpd/chroot_list文件中列出的用戶，不能切換到站點根目錄的上級目錄；未在文件中列出的用戶，可以切換到上級目錄。

3）當chroot_list_enable=NO，chroot_local_user=YES時，所有用戶均不能切換到上級目錄。

4）當chroot_list_enable=NO，chroot_local_user=NO時，所有用戶均可以切換到上級目錄。

5）當用戶不允許切換到上級目錄時，登錄后FTP站點的根目錄“/”是該FTP賬戶的主目錄，即文件的系統的/var/ftp目錄。

5．設置訪問控制

（1）設置允許或不允許訪問的主機（見TBP14）

tcp_wrappers=YES用來設置vsftpd服務器是否與tcp wrapper相結合，進行主機的訪問控制。默認設置為YES，vsftpd服務器會檢查/etc/hosts.allow和/etc/hosts.deny中的設置，以決定請求連接的主機是否允許訪問該FTP服務器。這兩個文件可以起到簡易的防火墻功能。

比如，若要僅允許192.168.168.1～192.168.168.254的用戶，可以訪問連接vsftpd服務器，則可在/etc/hosts.allow文件中添加以下內容：

vsftpd：192.168.168.0/255.255.255.0 ：allow

all：all：deny

（2）設置允許或不允許訪問的用戶

對用戶的訪問控制由/etc/vsftpd/user_list和/etc/vsftpd/ftpusers文件來控制實現。相關配置命令如下：

userlist_enable=YES    

// 決定/etc/vsftpd/user_list文件是否啟用生效。YES則生效，NO不生效。

userlist_deny=YES      

// 決定/etc/vsftpd/user_list文件中的用戶是允許訪問還是不允許訪問。若設置為YES，則/etc/vsftpd/user_list文件中的用戶將不允許訪問FTP服務器；若設置為NO，則只有vsftpd.user_list文件中的用戶，才能訪問FTP服務器。

6．設置訪問速度

anon_max_rate=0      

//設置匿名用戶所能使用的最大傳輸速度，單位為b/s。若設置為0，則不受速度限制，此為默認值。

local_max_rate=0      

// 設置本地用戶所能使用的最大傳輸速度。默認為0，不受限制。

7．定義用戶配置文件

在vsftpd服務器中，不同用戶還可使用不同的配置，這要通過用戶配置文件來實現。

user_config_dir=/etc/vsftpd/userconf //用于設置用戶配置文件所在的目錄。

設置了該配置項后，當用戶登錄FTP服務器時，系統就會到/etc/vsftpd/userconf目錄下讀取與當前用戶名相同的文件，并根據文件中的配置命令，對當前用戶進行更進一步的配置。比如，利用用戶配置文件，可實現對不同用戶進行訪問的速度進行控制，在各用戶配置文件中，定義local_max_rate配置，以決定該用戶允許的訪問速度。

8．與連接相關的設置

listen=YES       

//設置vsftpd服務器是否以standalone模式運行。以standalone模式運行是一種較好的方式，此時listen必須設置為YES，此為默認值，建議不要更改。很多與服務器運行相關的配置命令，需要此運行模式才有效。若設置為NO，則vsftpd不是以獨立的服務運行，要受xinetd服務的管理控制，功能上會受限制。

max_clients=0

//設置vsftpd允許的最大連接數，默認為0，表示不受限制。若設置為150時，則同時允許有150個連接，超出的將拒絕建立連接。只有在以standalone模式運行時才有效。

max_per_ip=0

// 設置每個IP地址允許與FTP服務器同時建立連接的數目。默認為0，不受限制。通常可對此配置進行設置，防止同一個用戶建立太多的連接。只有在以standalone模式運行時才有效。

listen_address=IP地址       

//設置在指定的IP地址上偵聽用戶的FTP請求。若不設置，則對服務器所綁定的所有IP地址進行偵聽。只有在以standalone模式運行時才有效。對于只綁定了一個IP地址的服務器，不需要配置該項，默認情況下，配置文件中沒有該配置項。若服務器同時綁定了多個IP地址，則應通過該配置項，指定在哪個IP地址上提供FTP服務，即指定FTP服務器所使用的IP地址。

注意：設置此值前后，可以通過netstat -tnl對比端口的監聽情況

accept_timeout=60           

//設置建立被動（PASV）數據連接的超時時間，單位為秒，默認值為60。

connect_timeout=60   

// PORT方式下建立數據連接的超時時間，單位為秒。

data_connection_timeout=300  

//設置建立FTP數據連接的超時時間，默認為300秒。

idle_session_timeout＝600     

//設置多長時間不對FTP服務器進行任何操作，則斷開該FTP連接，單位為秒，默認為600秒。即設置發呆的逾時時間，在這個時間內，若沒有數據傳送或指令的輸入，則會強行斷開連接。

pam_service_name=vsftpd    

//設置在PAM所使用的名稱，默認值為vsftpd。

setPRoctitle_enable=NO|YES  

//設置每個與FTP服務器的連接，是否以不同的進程表現出來，默認值為NO，此時只有一個名為vsftpd的進程。若設置為YES，則每個連接都會有一個vsftpd進程，使用“ps -ef|grep ftp”命令可查看到詳細的FTP連接信息。安全起見，建議關閉。

9．FTP工作方式與端口設置

（1）FTP工作方式簡介

      FTP的工作方式有兩種，一種是PORT FTP，另一種是PASV FTP。下面介紹其工作方式。

二者的區別在于PORT FTP的數據傳輸端口是由FTP服務器指定的，而PASV FTP則是由FTP客戶端指定的，而且每次數據連接所使用的端口號都不同。正因為如此，所以在CuteFTP等FTP客戶端軟件中，其連接類型設置項中有PORT和PASV兩種選擇。

      當FTP服務器設置為PASV工作模式時，客戶端也必須設置為PASV連接類型。若客戶端連接類型設置為PORT，則能建立FTP連接，但在執行ls或get等需要數據請求的命令時，將會出現無響應并最終報告無法建立數據連接。

（2）與端口相關的配置

listen_port=21              

// 設置FTP服務器建立連接所偵聽的端口，默認值為21。

連接非標準端口示例：ftp www.sunflower.org 7000

connect_from_port_20＝YES  

// 默認值為YES，指定FTP數據傳輸連接使用20端口。若設置為NO，則進行數據連接時，所使用的端口由ftp_data_port指定。

ftp_data_port=20           

//設置PORT方式下FTP數據連接所使用的端口，默認值為20。

pasv_enable=YES|NO       

//若設置為YES，則使用PASV工作模式；若設置為NO，使用PORT模式。默認為YES，即使用PASV模式。

pasv_max_port=0           

//設置在PASV工作方式下，數據連接可以使用的端口范圍的上界。默認值為0，表示任意端口。

pasv_mim_port=0           

//設置在PASV工作方式下，數據連接可以使用的端口范圍的下界。默認值為0，表示任意端口。

10．設置傳輸模式

FTP在傳輸數據時，可使用二進制（Binary）方式，也可使用ASCII模式來上傳或下載數據。

ascii_download_enable=YES //設置是否啟用ASCII模式下載數據。默認為NO。

ascii_upload_enable=YES    //設置是否啟用ASCII模式上傳數據。默認為NO。

11．設置上傳文檔的所屬關系和權限

（1）設置匿名上傳文檔的屬主

chown_uploads=YES          

//用于設置是否改變匿名用戶上傳的文檔的屬主。默認為NO。若設置為YES，則匿名用戶上傳的文檔的屬主將被設置為chown_username配置項所設置的用戶名。

chown_username=whoever    

//設置匿名用戶上傳的文檔的屬主名。只有chown_uploads=YES時才有效。建議不要設置為root用戶。 但系統默root

（2）新增文檔的權限設定

local_umask=022           

//設置本地用戶新增文檔的umask，默認為022，對應的權限為755。umask為022，對應的二進制數為000 010 010，將其取反為111 101 101，轉換成十進制數，即為權限值755，代表文檔的所有者（屬主）有讀寫執行權，所屬組有讀和執行權，其他用戶有讀和執行權。022適合于大多數情況，一般不需要更改。若設置為077，則對應的權限為700。

anon_umask=022               //設置匿名用戶新增文檔的umask。默認077

file_open_mode=0755          //設置上傳文檔的權限。權限采用數字格式。 默認0666

12．日志文件

xferlog_enable=YES             //是否啟用上傳/下載日志記錄。默認為NO

xferlog_file=var/log/vsftpd.log //設置日志文件名及路徑。需啟用xferlog_enable選項

xferlog_std_format=YES           //日志文件是否使用標準的xferlog日志文件格式（與wu-ftpd使用的格式相同） 。默認為NO

13．其他設置

text_userdb_names=NO      

//設置在執行ls命令時，是顯示UID、GID還是顯示出具體的用戶名或組名稱。默認為NO，以UID和GID方式顯示，若希望顯示用戶名和組名稱，則設置為YES。

ls_recurse_enable=YES      

//若設置為YES，則允許執行“ls –R”這個命令，默認值為NO。在配置文件中該配置項被注釋掉了，與此類似的還有一些配置，需要啟用時，將注釋符去掉并進行YES或NO的設置即可