GNU/Linux >> Znalost Linux >  >> Linux

Proč je chroot_local_user vsftpd nejistý?

Řešení 1:

Zde se podívejte na nejčastější dotazy VSFTPD, kde najdete odpověď, kterou hledáte. Níže je uveden důležitý úryvek, který podle mého názoru odpoví na vaši otázku.

Q) Pomoc! Jaké jsou bezpečnostní důsledky uvedené ve volbě „chroot_local_user“?

A) Nejprve si všimněte, že ostatní ftp démoni mají stejné důsledky. Je to obecný problém. Problém není příliš závažný, ale je toto:Někteří lidé mají uživatelské účty FTP, kterým nelze důvěřovat, že mají plný přístup k shellu. Pokud tyto účty mohou také nahrávat soubory, existuje malé riziko. Špatný uživatel má nyní kontrolu nad kořenovým adresářem souborového systému, což je jeho domovský adresář. ftpdaemon může způsobit načtení některého konfiguračního souboru - např. /etc/some_file. Withchroot(), tento soubor je nyní pod kontrolou uživatele. vsftpd je v této oblasti opatrný. Ale knihovna libc systému může chtít otevřít soubory localeconfig nebo jiná nastavení...

Řešení 2:

Problém je v tom, že nemůžete používat místní účty a také tyto účty deaktivovat z přihlášení do shellu. Pokud nastavíte jejich přihlašovací shell na /bin/nologin, nedovolí vám přihlásit se ani pomocí vsftpd.

Lepší a bezpečnější FTP démon by byl Pure-ftpd. Vyhledejte si to, je to dostupné z úložiště EPEL a umožňuje vytvářet virtuální uživatele. Server používá společného uživatele/skupinu k nastavení všech oprávnění pro domovské složky uživatelů a „mapuje“ virtuální uživatele na tohoto uživatele, když se přihlásí, aby se vypořádal s oprávněními. To je bezpečnější a nemusíte řešit zabezpečení přihlášení openssh.

Pure-ftpd také podporuje spoustu funkcí, jako jsou kvóty, poměry a podobně. Mnohem lepší než vsftpd.

Zde je jednoduchý návod, jak jej nainstalovat a nakonfigurovat základního virtuálního uživatele:http://blog.namran.net/2011/05/04/how-to-setup-virtual-ftp-server-using-pure-ftpd- in-centos/

Pokud si přečtete celý dokument (což byste měli), budete vědět, že přepínač -d při vytváření virtuálního uživatele je automatickým chrootem do tohoto adresáře pro daného uživatele.


Linux
  1. Nastavení FTP serveru s vsFTPd na Raspberry Pi

  2. Proč je vyžadován segment .bss?

  3. Proč se nejvýkonnější uživatel v systému Unix/Linux nazývá „root“?

  1. Proč setuid bit funguje nekonzistentně?

  2. Jaký je uživatel debian-+?

  3. FTP nepovoluje uživatele /usr/sbin/nologin

  1. Proč server zablokoval moji IP?

  2. Proč potřebuje uživatel root oprávnění sudo?

  3. Centos 7 - přidání uživatele do skupiny sudoers - stále není v souboru sudoers - proč?