FTP---chroot_local_user与chroot_list_enable详解

 

• chroot_local_user #是否将全部用户限制在主目录,YES为启用 NO禁用.(该项默认值是NO,即在安装vsftpd后不作配置的话，ftp用户是能够向上切换到要目录以外的)

• chroot_list_enable #是否启动限制用户的名单 YES为启用  NO禁用(包括注释掉也为禁用)

• chroot_list_file=/etc/vsftpd/chroot_list #是否限制在主目录下的用户名单，至因而限制名单仍是排除名单，这取决于chroot_local_user的值，咱们能够这样记忆： chroot_local_user老是一个全局性的设定，其为YES时，所有用户被锁定于主目录，其为NO时，所有用户不被锁定于主目录。那么咱们势必须要在全局设定下能作出一些“微调”，即，咱们老是须要一种“例外机制"，因此当chroot_list_enable=YES时，表示咱们“须要例外”。而”例外“的含义老是有一个上下文的，即，当”所有用户被锁定于主目录“时（即chroot_local_user=YES），"例外"就是：不被锁定的用户是哪些；当"所有用户不被锁定于主目录"时（即chroot_local_user=NO），"例外"“就是：要被锁定的用户是哪些。这样解释和记忆二者之间的关系就很清晰了！

 对于chroot_local_user与chroot_list_enable的组合效果，能够参考下表：

 

	chroot_local_user=YES	chroot_local_user=NO
chroot_list_enable=YES	1.全部用户都被限制在其主目录下 2.使用chroot_list_file指定的用户列表，这些用户做为“例外”，不受限制	1.全部用户都不被限制其主目录下 2.使用chroot_list_file指定的用户列表，这些用户做为“例外”，受到限制
chroot_list_enable=NO	1.全部用户都被限制在其主目录下 2.不使用chroot_list_file指定的用户列表，没有任何“例外”用户	1.全部用户都不被限制其主目录下 2.不使用chroot_list_file指定的用户列表，没有任何“例外”用户

让咱们举个例子:

 

假设有ftp1, ftp2两个ftp用户, 计划让ftp1用户锁定在主目录下，不容许切换到其余目录, 可是容许ftp2用户自由切换目录，则能够分以下两种方式实现：

方式一:

令：
chroot_local_user=YES
chroot_list_enable=YES
/etc/vsftpd/chroot_list名单列表为:
ftp2
 
解释：chroot_local_user=YES将全部用户限定在主目录内，chroot_list_enable=YES表示要启用chroot_list_file, 由于chroot_local_user=YES，即全体用户都被“限定在主目录内”,因此老是做为“例外列表”的chroot_list_file这时列出的是那些“不会被限制在主目录下”的用户。
 
方式二:

令：
chroot_local_user=NO
chroot_list_enable=YES
/etc/vsftpd/chroot_list名单列表为:
ftp1

解释：chroot_local_user=NO则全部用户不被限定在主目录内，chroot_list_enable=YES表示要启用chroot_list_file, 由于chroot_local_user=NO，即全体用户都“不被限定在主目录内”,因此老是做为“例外列表”的chroot_list_file这时列出的是那些“会被限制在主目录下”的用户。

 

其余状况：

 

对于chroot_local_user和chroot_list_enable的组合还有这样两种状况：

chroot_local_user=YES
chroot_list_enable=NO
和
chroot_local_user=NO
chroot_list_enable=NO

当chroot_list_enable=NO时，就再也不启用chroot_list_file，此时就是单纯的把所有用户限定或不限定在主目录下了！
 

补充：

• 关于chroot_local_user的设置，一般咱们倾向于：全局禁止跳出主目录，使用chroot_list添加例外！即：使用Case 1的设置！

• 匿名用户默认的root是/var/ftp