BIND (serwer nazw) – konfiguracja

Generalnie prosto jest skonfigurować własny serwer DNS.

Serwery DNS najłatwiej mówiąc są odpowiedzialne za zmianę nazwy domeny (np.nith.pl) na

adresy IP (np. 187.33.179.116). Maszynom o wiele prościej jest posługiwać się liczbami, natomiast
ludziom napisami. Ktoś musi to zadanie wykonać.

Najpopularniejszym serwerem DNS jest BIND ( nazywany czasem named). Generalnie sami
musimy zadbać o zabezpieczenie binda

Bind
Pierwsze co musimy zrobić, aby posiadać własny serwer DNS to go zainstalować. W Debianie
wystarczy wydać komendę: Dobrym sposobem jest wydzielenie dla niego jail'a.

# apt-get install bind9

Konfiguracja

W katalogu konfiguracyjnym (/etc/bind/) znajdują się 2 pliki, które będą nas interesowały:

* /etc/bind/named.conf.options – konfiguracja usługi

* /etc/bind/named.conf.local – konfiguracja stref (domen), które obsługujemy

Mój plik named.conf.options wygląda następująco:

options {
version "nith-kula DNS";
directory "/var/cache/bind";

forwarders { XXX.XX.XX.XX; };

auth-nxdomain no;
listen-on { YYY.YYY.YYY.YY; 127.0.0.1; };
allow-recursion { 127.0.0.1; };
};

Znaczenie poszczególnych opcji:

- Ze względów bezpieczeństwa dobrze było by podać w version cokolwiek
- Opcja directory to katalog roboczy BIND-a
- forwarders – każdorazowe odpytywanie się Root Servers może okazać się mało wydajne, jeśli
chcemy przyspieszyć ten proces wpiszmy tutaj adresy IP serwerów DNS naszego ISP, do którego
wpięty jest serwer (droga zapytań będzie o wiele krótsza)
- auth-nxdomain jako parametry przyjmuje yes/no, ustawia czy negatywne odpowiedzi
zbuforowane przez serwer mają być traktowane jako autorytatywne
- listen-on zawiera listę adresów IP, na których ma nasłuchiwać serwer nazw. Możemy wydzielić
poszczególne IP (j.w) lub wpisać any;, wtedy będzie słuchał na wszelkich dostępnych
- allow-recursion po wpisaniu 127.0.0.1 nasz serwer DNS będzie zamknięty na cykliczne zapytania.
Jeśli ma to być Open DNS usuńmy zupełnie tą linijkę

Aby zacząć przygodę z domenami utwórzmy jeszcze 2 katalogi. Osobny dla domen, dla których
będziemy serwerem podstawowym, osobno dla zapasowych:
mkdir /etc/bind/M
mkdir /etc/bind/S

W pliku named.conf.local definiujemy jakie strefy (domeny) chcemy obsługiwać przez nasz serwer
DNS. Jeśli nasz BIND ma być serwerem podstawowym (primary) dla domeny domena.pl
powinniśmy dodać we wspomnianym pliku:

zone "domena.pl" {
type master;
file "/etc/bind/M/domena.pl";
notify yes;
allow-transfer { XXX.XXX.XXX.XX; };
};

Definicja strefy jest bardzo prosta:

* zone „domena.pl” – nazwa strefy

* type master – rodzaj serwera (master – primary, slave – secondary)
* file „/etc/bind/M/domena.pl” – nazwa pliku z konfiguracją naszej strefy
* notify yes – bardzo przydatna opcja, włącza automatyczne powiadamianie zapasowego serwera
DNS o zmianach w strefie
* allow-transfer { XXX.XXX.XXX.XX; } – adres serwera, który ma możliwość transferu całej
strefy, powinny znaleźć się tutaj wyłącznie adresy IP zapasowych serwerów nazw

W następnej kolejności dla domena.pl musimy utworzyć wspomniany plik strefy. Przykładowy plik
strefy:

$TTL 86400
$ORIGIN domena.pl.
@ IN SOA dns1.domena.pl. root.domena.pl. (
2010111801 ;; serial
2H ;; refresh
1H ;; retry
7D ;; expire
1D ;; TTL
)
@ IN NS dns1.domena.pl.
@ IN NS dns2.domena.pl.

@ IN MX 10 mail.domena.pl.

@ IN A XXX.XX.XX.X
dns1 IN A XXX.XX.XX.X
dns2 IN A YYY.YY.YY.Y

www IN CNAME @
mail IN CNAME @
ftp IN CNAME www

Plik strefy dzieli się na 3 sekcje: nazwa domeny i okres ważności wpisów, kto zarządza domeną
oraz zawartość. Kiedyś wszelkie czasy podawane był w sekundach, dzisiaj możemy tworzyć
„skróty” podając 1D (Day) lub 2H (Hours).Komentarze oznaczamy podwójnym średnikiem (;;).
Zauważyliście powyżej zapewne kropki podawane na końcach domen – dns1.domena.pl., gdyby
zabrakło kropki BIND automatycznie dokleiłby domenę z $ORIGIN. Wtedy z dns1.domena.pl
zrobiłoby się dns1.domena.pl.domena.pl. I ostatnia sprawa: @ jest pewnego rodzaju zmienną, która
przechowuje nazwę domeny.

Omówmy powyższy przykład:

* $TTL 86400 – czas ważności rekordów w domenie (jednostka – sekundy)

* $ORIGIN domena.pl. – nazwa domeny, którą plik strefy opisuje
* @ IN SOA dns1.domena.pl. root.domena.pl. – rekord typu Start Of Authority (SOA), informuje
jaki jest adres serwera primary DNS (dns1.domena.pl) oraz kto zarządza domeną
(root@domena.pl). W adresie e-mail należy pamiętać, że @ zamieniamy na kropkę (.). Dodatkowo
rekord SOA posiada własną strukturę:
o 2010111801 ;; serial - numer seryjny domeny, przyjęło się że jego format to
YYYYMMDDnn (rok – miesiąc – dzień – kolejny numer); po każdorazowej zmianie w tym pliku
powinniśmy podbić numer
o 2H ;; refresh – jak często serwery slave mają sprawdzać czy dane domeny nie zmieniły się
na primary DNS (wg RFC 1035 wartość powinna być z przedziału 1200-43200 sekund)
o 1H;; retry – czas, po którym secondary DNS na ponowić próbę kontaktu, gdy wcześniej się
nie powiedzie (zalecana wartość 120-7200 sekund)
o 14D ;; expire – po jakim czasie dane domeny mają zostać uznane za nieaktualny, gdy
serwer secondary DNS nie będzie mógł skontaktować się z primary (zalecana wartość 1209600-
2419200 sekund, czyli 2-4 tygodni)
o 1D ;; TTL – Time To Live, długość ważności rekordu, czyli jak długo dane pobrane przez
dany serwer DNS są ważne (zalecana wartość 86400-432000 sekund, czyli 1-5 dni)
* @ IN NS dns1.domena.pl. – definicja serwerów DNS, które obsługują domenę domena.pl; jest
to pole wymagane, bez tego nasza domena nie będzie działać. Minimalnie musimy podać 2 serwery.
Jeśli ich adresy są w ramach naszej domeny (czyli wcześniej nie pełniły roli serwerów DNS)
musimy podać ich adresy IP poprzez rekord IN A.

Reszta pliku strefy jest dowolna, ale omówimy co znaczą poszczególne wpisy.

Jak wspomniałem każda domena, musi mieć zdefiniowane swoje serwery DNS:

@ IN NS dns1.domena.pl.
@ IN NS dns2.domena.pl.

Mogą to być oczywiście serwery spoza naszej domeny, np.:

@ IN NS dns1.example.com.
@ IN NS dns2.example.com.

Jeśli jest to definicja serwerów nazw, które sami obsługujemy musimy rozwiązać nazwę
dns1.domena.pl na adres IP:

@ IN A XXX.XX.XX.X
dns1 IN A XXX.XX.XX.X
dns2 IN A YYY.YY.YY.Y

W ten oto sposób powiedzieliśmy światu, że domena.pl obsługuje maszyna o IP XXX.XX.XX.X,

ma primary DNS na XXX.XX.XX.X, a secondary na YYY.YY.YY.Y. Gdybyśmy musieli „podpiąć”
inne IP-ki pod domeną posługujemy się właśnie wpisami IN A.

Jeśli chcemy ustawić serwer poczty dla naszej domeny musimy posłużyć się rekordem IN MX:

@ IN MX 10 mail.domena.pl.
Wpis ten mówi, że wszelka poczta kierowana na @domena.pl ma być kierowana na serwer
pocztowy mail.domena.pl o priorytecie 10. Priorytet przydaje się nam wtedy, gdy podamy kilka
serwerów pocztowych.

Z naszego przykładu zostały nam jeszcze wpisy IN CNAME.

www IN CNAME @
mail IN CNAME @
ftp IN CNAME www

Najprościej mówiąc IN CNAME to alias, który tworzy sub-domenę. Najlepiej wskazywać na rekord
IN A, niż inny IN CNAME.

Po wszystkim należy ponownie uruchomić usługę bind:

# /etc/init.d/bind9 restart

Secondary DNS

Dla naszego zapasowego serwera DNS konfiguracja usługi (named.conf.options) wygląda

dokładnie tak samo (ew. zmieńmy IP). W tym wypadku nie tworzymy pliku strefy DNS, ponieważ
będzie on ściągany z primary DNS. Jedyne co należy zrobić to w pliku named.conf.local
zdefiniować strefy, które obsługujemy. Dla przykładu domena.pl:

zone "domena.pl" {
type slave;
file "/etc/bind/S/domena.pl";
masters { ZZZ.ZZZ.ZZZ.ZZ; };
};

Jak zapewne zauważyliście nie ma wpisu dotyczącego notify oraz allow-transfer, natomiast pojawia
się opcja masters. Masters wskazuje nam na podstawowy serwer nazw naszej domeny. To wszystko.
Po przeładowaniu BIND:

# /etc/init.d/bind9 reload

powinna pojawić się definicja strefy domena.pl w katalogu /etc/bind/S.

Sprawdzanie pliku ze strefą

Na początku naszej przygody z definiowaniem stref DNS na pewno przyda nam się program
named-checkzone (paczka bind9utils), który służy do sprawdzenia poprawności naszego pliku
strefy. Wywołanie jest bardzo proste.:

# named-checkzone domena.pl /etc/bind/M/domena.pl

Jako pierwszy parametr podajemy nazwę domeny, natomiast po nim ścieżkę do pliku strefy tej
domeny.
PS: Warto spojrzeć na rozwiązania konkurencji, np. PowerDNS.

Uzupełnienie:
Trzy podstawowe sposoby zabezpieczeń

1. chroot – trudny do zrobienia przy bind'zie w najnowszej wersji.

2. widoki (internal , external) – opisane powyzje
3. allow-transfer -opsiane powyzej

SSH

Najpierw zainstaluj serwer i klienta OpenSSH.

apt-get update && apt-get install ssh

apt-get --yes install openssh-server
Zeby skonfugurować ssh, trzeba edytować plik /etc/ssh/sshd_config
Kod:
vi /etc/ssh/sshd_config
Opcje SSH:
Zmiana portu:
Port 222 #ustawia ssh by sluchalo na porcie 222
Zablokowanie logowania na root-a
PermitRootLogin no
Pozwalanie na logowanie się danego usera
AllowUsers <USER>
Gdzie za <USER> wstawiamy naszą nazwę użytkownika
Blokowanie innych adresów IP - edytujemy
vi lub vim /etc/hosts.deny dodajemy :
sshd: ALL EXCEPT localhost <IP>
gdzie <IP> odpowiada adresowi IP, któremu chcemy zezwolić na logowanie się, np. 172.16.118.20

Główne pliki konfiguracyjne to:

• /etc/ssh/ssh_config: Ustawienia domyślne klienta SSH.
- Host: Ogranicza następujące po nim deklaracje ( aż do następnego wystąpienia Host)
jedynie do komputerów pasujących do wzorca podanego po danym słowie kluczowym. -
Protocol: Określa wersje protokołu SSH. Domyślnie to "2,1". - PreferredAuthentications:
Określa metodę identyfikacji klienta SSH2. Domyślna wartość to
"hostbased,publickkey,keyboard-interactive,password". - PasswordAuthentication: Jeśli
chcesz logować się używając hasła, upewnij się, że pole to nie jest ustawione na "no". -
ForwardX11: Domyślnie wyłączone. Nadrzędna wobec tego ustawienia jest opcja wiersza
poleceń "-X".
• /etc/ssh/sshd_config: Domyślne ustawienia serwera SSH.
- ListenAddress: określa lokalny adres, na którym "sshd" powinien nasłuchiwać. Dozwolona
 jest więcej niż jedna opcja. - AllowTcpForwarding: Domyślnie wyłączone. -
X11Forwarding: Domyślnie wyłączone.
• $HOME/.ssh/authorized_keys: lista domyślnych kluczy publicznych, które zostały użyte
przez klientów do połączenia na dane konto na tym komputerze.
• $HOME/.ssh/identity: Zobacz ssh-add(1) oraz ssh-agent(1).
Rozpoczęcie połączenia przez klienta "ssh".

Przekierowywanie portów dla tuneli SMTP/POP3

Aby utworzyć potok łączący port 25 komputera (zdalny-serwer) i port 4025 na komputerze
lokalnym, oraz potok łączący port 110 komputera (zdalny-serwer) z portem 4110 lokalnej maszyny,
poprzez "ssh", wykonaj na lokalnej maszynie:

# ssh -q -L 4025:zdalny-serwer:25 4110:zdalny-serwer:110 \użytkownik@zdalny-serwer

Jest to bezpieczny sposób na nawiązywanie połączenia z serwerami SMTP/POP3 w Internecie.
Ustaw "AllowTcpForwarding" na "yes" w pliku "/etc/ssh/sshd_config" zdalnego komputera.
Bezpieczniej jest chronić swój klucz SSH hasłem. Jeśli nie zostało ono ustawione, użyj polecenia
"ssh-keygen -p" aby to zmienić.
Jeśli masz problemy, sprawdź prawa dostępu do plików konfiguracyjnych i uruchom "ssh" z opcją
"-v".
Użyj parametru "-P" jeśli jesteś rootem i masz problem z firewallem; pozwala to uniknąć
korzystania z portów 1-1023.
Jeśli zdalne połączenie "ssh" nagle przestaje działać, może być to spowodowane działaniami
administratora, a najbardziej, prawdopodobną zmianą w "host_key". Po upewnieniu się, że nie jest
to jednak sprytna próba włamania poprzez podszywanie się za zdalnej maszyny, możesz odzyskać
połączenie usuwając pozycje "host_key" z "$HOME/.ssh/known_hosts" na lokalnej maszynie.

Uzupełnienie:
Najlepsze sposoby zabezpieczenia openssh servera:
1. Usuń openssh jeśli nie potrzebujesz z niego korzystać, na stacjach roboczych na pewno nie
potrzebujesz ssh

apt-get remove openssh-server

2. Używaj SSH Protocol w wersji 2

Pierwsza wersja jest podatna na ataki man-in-the-middle i ogólnie dosyć dziurawa. Otwórz
sshd_config i upewnij się ze zawiera linie :
Protocol 2

3: Ogranicz uzytkowników którzy mają dostęp do SSH

Standardowo wszyscy użytkownicy maja dostęp do systemu przez SSH. Nawet konta UNIX/Linux
dla użytkowników korzystających tylko z ftp czy email mogą mieć dostęp do ssh. Jest to sporym
zagrożeniem gdyż daje dostęp do całego systemu w tym perla czy pythona a to z kolei daje duże
pole do popisu dla nieproszonych gości.
Ograniczenie użytkowników, dodać linie do pliku
AllowUsers root kula nith
Możemy zezwolić na dostęp wszystkim oprócz kilku
DenyUsers jez judio damian

4: Automatyczne wylogowanie

Aby użytkownik który loguje się do serwera nie pozostawił sesji ssh bez nadzoru możemy ustawić
czas po którym automatycznie zostanie on wylogowany. W tym celu w sshd_config konfigurujemy
następujące wartości:
ClientAliveInterval 300
ClientAliveCountMax 0

Interesuje nas idle timeout interval podawany w sekundach (300 s = 5 min). Po tym czasie sesja
zostanie zerwana a użytkownik oznaczony jako wylogowany
5: Wyłacz pliki.rhosts
Nie czytaj plikó ~/.rhosts and ~/.shosts. Obniża to wygodę ale zwiększa bezpieczeństwo
zapobiegając automatycznemu logowaniu. Należy uaktualnić sshd_config o :
IgnoreRhosts yes

6: Wyłaczenie Autentykacji Host-Based

Uaktualnic sshd_config o:
HostbasedAuthentication no

7: Zablokować logowanie dla root'a przez SSH

Nie ma potrzeby logowania się do ssh jako root. Normalny użytkownik może uzyc polecenia su lub
sudo aby uzyskać pełny dostęp do istotnych funkcji. Podnosi to bezpieczeństwo, nazwa
niedomyślnego użytkownika jest tez trudniejsza do zgadnięcia, zwykle sniffuje się tylko
początkowe dane. W sshd_config ustawić:
PermitRootLogin no

8: Właczyć Warning Banner

Uaktualnic sshd_config o linie:

Banner /etc/issue

Przykładowy plik /etc/issue :

You are accessing a XYZ Government (XYZG) Information System (IS) that is
provided for authorized use only.
By using this IS (which includes any device attached to this IS), you consent to
the following conditions:

+ The XYZG routinely intercepts and monitors communications on this IS for

purposes including, but not limited to,
penetration testing, COMSEC monitoring, network operations and defense,
personnel misconduct (PM),
law enforcement (LE), and counterintelligence (CI) investigations.

+ At any time, the XYZG may inspect and seize data stored on this IS.

+ Communications using, or data stored on, this IS are not private, are subject
to routine monitoring,
interception, and search, and may be disclosed or used for any XYZG authorized
purpose.

+ This IS includes security measures (e.g., authentication and access controls)

to protect XYZG interests--not
for your personal benefit or privacy.

+ Notwithstanding the above, using this IS does not constitute consent to PM, LE
or CI investigative searching
or monitoring of the content of privileged communications, or work product,
related to personal representation
or services by attorneys, psychotherapists, or clergy, and their assistants.
Such communications and work
product are private and confidential. See User Agreement for details.

Jest to lekarstwo na wielki procent jeleni którzy mają ochotę dostać się do naszego systemu. Można
wpisać tam cokolwiek ale im bardziej rządowe wydaje się być tym lepiej.
9: Zablokuj na firewallu SSH (Port 22)
Pozwala to zablokować niepożądane próby logowania spoza lokalnej sieci oraz wyznaczonych
hostów z sieci WAN.
-bez przykładów bo iptables dopiero będzie
10: Zmiana portu SSH i ograniczenie ip na których nasłuchuje połączeń
Domyślnie ssh nasłuchuje na wszystkich interfejsach oraz adresach ip. Aby podnieść poziom
bezpieczeństwa można ograniczyć adresy na których nasłuchuje i zmienić domyślny port. W
ssh_config poprawiamy i dodajemy:
Port 300
ListenAddress 192.168.1.5
ListenAddress 202.54.1.5

11: Uzywaj silnych haseł

Używaj trudnych, długich i nieszablonowych haseł. Pozwoli to ograniczyć ataki słownikowe i

większość ataków brute-force
12: Chroot SSHD
Trudne do wykonania. Blokuje użytkowników w obrębie ich folderu.
13: Wyłączenie pustych haseł
Aby zabronić logowania użytkownikom bez ustawionego hasła dopisujemy w sshd_config:
PermitEmptyPasswords no

14: Zabezpieczenie przed atakami Brute Force

Należy użyć zewnętrznego oprogramowania jak np. Fail2ban czy Brute Force Detection
15: Ograniczenie liczby połączeń na port ssh
Zmniejszenie maksymalnej liczby zapytań do ssh. W tym celu wykorzystujemy regułę iptables np.
max 5 połaczeń na 60 sekund.
16: Analiza logów
Upewnij się ze LogLevel jest ustawiony na INFO lub DEBUG w sshd_config:
LogLevel INFO
17: Aktualizuj regularnie system operacyjny i openssh

Najprościej przy użyciu apt-get upgrade

Ftp – Very Secure FTP deamon vsftpd

Jest to prawdopodobnie najbezpieczniejszy i najszybszy UNIX’owy serwer FTP. Jego zaletami są
m.in. prostota konfiguracji, bezpieczeństwo i szybkość (transfer jest o wiele większy niż w
przypadku innych serwerów ftp). Dodatkowo warto wspomnieć, że w jego kodzie nie znaleziono
„błędów krytycznych”. Używany jest m.in. na serwerach ftp.redhat.com, ftp.openbsd.org,
ftp.suse.com, ftp.ximian.com, ftp.kde.org, ftp.debian.org, ftp.gnome.org, ftp.gnu.org i inne, co
potwierdza tezę, że vsftpd jest zaufanym i dojrzałym narzędziem. Sama nazwa mówi za siebie –
„vs” jest skrótem od Very Secure. Jeżeli chcesz mieć bezpieczny, wydajny i stabilny serwer FTP,
powinieneś spróbować vsftpd.
Instalacja
# apt-get update
# apt-get install vsftpd
Konfiguracja
vsftpd pozwala nam na odpalenie wielu serwerów FTP jednocześnie na różnych portach, dzięki
temu zyskujemy możliwość odpalenia serwera anonimowego osobno konfigurowalnego obok
serwera produkcyjnego. Zmiana konfiguracji jednego lub wyłączenie nie zakłóci pracy drugiego.
Postaram się przedstawić taką konfigurację w tym wpisie.
Standardowy plik konfiguracyjny vsftpd znajduje się w /etc/vsftpd.conf . Od razu po instalacji
znajdziemy w nim sporo już gotowych ustawień, jednak polecałbym wykasować jego zawartość i
stworzyć go od nowa. Oto niektóre z najważniejszych opcji jakie możemy wykorzystać podczas
budowania własnego configa.
# Poziom z którego zostaje uruchomiony serwer
nopriv_user=
# Uruchamianie serwera w trybie standalone
listen=
# Określenie portu, na którym serwer ma nasłuchiwać (domyślnym jest port 21)
listen_port=
# Zabronienie na logowanie się użytkownikom anonimowym, domyślnie jest to YES
anonymous_enable=
# Zezwolenie na logowanie się użytkownikom lokalnym, domyślnie jest to NO
local_enable=
# Zezwolenie na zapis w katalogu użytkownika lokalnego
write_enable=
# Umask (w większości serwerów używany jest 022)
local_umask=
# Umask dotyczący anonimowych
anon_umask=022
# limit szybkości podawany jest w bajtach na sekundę, jeśli jest ustawiony na 0 to brak
jakiegokolwiek limitu.
local_max_rate=
# Włączenie logowania
xferlog_enable=
# Ścieżka do pliku z logami
xferlog_file=/var/log/vsftpd.log
# Maksymalna liczba połączonych użytkowników
max_clients=
# Maksymalna liczba użytkowników mogących się połączyć z tego samego adresu IP
max_per_ip=
# Banner, który będzie wyświetlany podczas logowania. W jego stworzeniu może być pomocny
program app-misc/figlet.
banner_file=/etc/vsftpd/vsftpd.banner
# Ograniczenie użytkownikom do poruszania się jedynie w obrębie katalogu domowego
chroot_local_user=
# Katalog dla chroot’a
secure_chroot_dir=/var/chroot/vsftpd
# Dodanie użytkowników, którzy mogą poruszać się poza katalogiem domowym
chroot_list_enable=YES
# Dodajemy użytkownika z przywilejami poruszania się poza katalogiem domowym np:
# echo „użytkownik” >> /etc/vsftpd/chroot.list
chroot_list_file=/etc/vsftpd/chroot.list
# Serwer nie będzie pytał o hasło, podczas logowania na anonymous:
no_anon_password=
# Pozwalamy na download plików, które będą miały ustawione prawa do odczytu (readable):
anon_world_readable_only=
# Zabraniamy na upload plików:
anon_upload_enable=
# Ukrywamy prawdziwych użytkowników oraz grup dla plików lub katalogów
# (vsftpd zamieni je na nazwy użytkownika odpowiedzialnego za anonimowy ftp):
hide_ids=
# Pozwala na tworzenie katalogów
anon_mkdir_write_enable=
# Pozwala na kasowanie i zmienianie nazw katalogów przez anonimowych
anon_other_write_enable=
# Pozwala ograniczyć transfer dla anonimowych
anon_max_rate=
# Maxymalny czas bezczynności
idle_session_timeout=300
# Jeżeli jest ustawione na YES pozwala na ściąganie metodą ASCII
ascii_download_enable=
# Jeżeli jest ustawione na YES pozwala na wysyłanie metodą ASCII
ascii_upload_enable=NO
# Sam decydujesz czy mogą się łączyć Aktywnie czy Pasywnie
connect_from_port_20=NO
# Ustawione na NO zablokuje polecenia PORT i ustawi serwer w tryb pasywny (lepiej YES)
port_enable=YES
# Ustawione na YES loguje polecenia FTP wydawane przez użytkowników
log_ftp_protocol=NO
# Pozwala ograniczyć możliwość wydawania komand do minimum(możemy zabronić ściągania,
sprawdzania wielkości plików itp), pełna lista możliwość tutaj ->
http://www.nsftools.com/tips/RawFTP.htm
cmds_allowed=
# Opcja ta pokazuje informację o procesie systemowym vsftpd, inaczej mówiąc pokazuje co dany
użytkownik robi po połączeniu się z naszym serwerem
setproctitle_enable=YES
Uruchamianie
Jeżeli posiadamy tylko jeden plik konfiguracyjny to możemy po prostu wydać polecenie
/etc/init.d/./vsftpd start
Jeżeli posiadamy parę plików konfiguracyjnych to musimy każdy osobno załadować :
vsftpd /etc/vsftpd.conf.annonymus
vsftpd /etc/vsftpd.conf.normalny
vsftpd /etc/vsftpd.conf.bartek

Uzupełnienie