Nowe posty

Autor Wątek: Jak zablokować możliwość opuszczenia swojego katalogu - vsftpd  (Przeczytany 1263 razy)

Offline stefan20

  • Nowy na forum
  • *
  • Wiadomości: 13
    • Zobacz profil
Chciałbym zablokować użytkownikowi możliwość wyjścia poza swój katalog pod FTP.
plik vsftpd.conf mam następujący:

#Uruchamianie serwera w trybie standalone
 listen=NO
 listen_ipv6=YES
#Uzytkownik anonimowy niemoze sie logowac
 anonymous_enable=NO
#Uzytkownik lokalny ma prawo logowania
 local_enable=YES
#Umask 022
 local_umask=022
#Zezwolenie na zapis w katalogu uzytkownika lokalnego
 write_enable=YES
 dirmessage_enable=YES
 use_localtime=YES
 xferlog_enable=YES
 allow_writeable_chroot=YES
#Uzytkownik moze poruszac sie tylko w obrebie katalogu domowego
 chroot_local_user=NO
 chroot_list_enable=YES
 chroot_list_file=/etc/vsftpd.userlist
#Katalog dla chroot-a
 secure_chroot_dir=/var/run/vsftpd/empty


w pliku '/etc/vsftpd.userlist' mam wpisaną nazwa usera:
vsftp

uprawnienia dla katalogu '/home/vsftp' mam tak:
drwx------ 4 vsftp   vsftp   4096 lut  4 22:18 vsftp

restart vsftpd i user dalej może wyjść poza swój katalog :/

Offline Paweł Kraszewski

  • Administrator
  • Guru
  • *****
  • Wiadomości: 3066
  • Lenistwo jest matką potrzeby = babcią wynalazku
    • Zobacz profil
Odp: Jak zablokować możliwość opuszczenia swojego katalogu - vsftpd
« Odpowiedź #1 dnia: 2023-02-06, 14:44:19 »
Wzdeh...
chroot_local_user=YES
Ale wiesz, że używając FTP żyjesz w stanie grzechu? Jeżeli to widziane z internetu, to w stanie grzechu ciężkiego?
Paweł Kraszewski
~Arch/Void/Gentoo/FreeBSD/OpenBSD/Specjalizowane customy

Offline stefan20

  • Nowy na forum
  • *
  • Wiadomości: 13
    • Zobacz profil
Odp: Jak zablokować możliwość opuszczenia swojego katalogu - vsftpd
« Odpowiedź #2 dnia: 2023-02-06, 15:03:18 »
chroot_local_user=YES
też tak próbowałem ale nic to nie zmieniło, oczywiście restart po wszystkim :/

Cytuj
Ale wiesz, że używając FTP żyjesz w stanie grzechu? Jeżeli to widziane z internetu, to w stanie grzechu ciężkiego?
Tak wychodzi na zewnątrz. Sorry za to pytanie ale startuje z tym systemem, a dlaczego ? Precyzując to sFTP.
Lepsza jest Samba lub NFS ?
« Ostatnia zmiana: 2023-02-06, 15:07:42 wysłana przez stefan20 »

Offline marcin'82

  • Users
  • Prawie jak Guru
  • ****
  • Wiadomości: 404
    • Zobacz profil
Odp: Jak zablokować możliwość opuszczenia swojego katalogu - vsftpd
« Odpowiedź #3 dnia: 2023-02-06, 18:35:58 »
Cytuj
Tak wychodzi na zewnątrz. Sorry za to pytanie ale startuje z tym systemem, a dlaczego ?

Przejrzyj kilka artykułów pod hasłem "why ftp is insecure", na przykład:
https://pragmaticparanoia.com/why-is-ftp-insecure/ .

Cytuj
Precyzując to sFTP. Lepsza jest Samba lub NFS ?

SSH, szczególnie SFTP + logowanie za pomocą klucza publicznego z hasłem.
https://wiki.archlinux.org/title/SFTP_chroot
« Ostatnia zmiana: 2023-02-06, 18:42:40 wysłana przez marcin'82 »
marcin82

Offline Paweł Kraszewski

  • Administrator
  • Guru
  • *****
  • Wiadomości: 3066
  • Lenistwo jest matką potrzeby = babcią wynalazku
    • Zobacz profil
Odp: Jak zablokować możliwość opuszczenia swojego katalogu - vsftpd
« Odpowiedź #4 dnia: 2023-02-06, 19:50:49 »
Precyzując to sFTP.

SFTP, FTP i FTPs to 3 różne rzeczy.

FTP - antyk, nieszyfrowany, jakiekolwiek hasła latają po sieci otwartym tekstem.
FTPs - FTP przykryty SSL/TLS. Ciut lepiej, ale dalej straszny antyk od dekad nie polecany.
SFTP - nowoczesny protokół bazujący na transporcie SSH. Zaszyfrowany, możliwość zabezpieczenia dostępu certyfikatami.

Właściwe rozwiązanie podał kolega Marcin'82: SFTP+chroot.

A co do niebezpieczności FTP/FTPs — prostym dowodem jest fakt całkowitego usunięcia wsparcia dla niego w przeglądarkach internetowych,
« Ostatnia zmiana: 2023-02-06, 19:52:27 wysłana przez Paweł Kraszewski »
Paweł Kraszewski
~Arch/Void/Gentoo/FreeBSD/OpenBSD/Specjalizowane customy

Offline stefan20

  • Nowy na forum
  • *
  • Wiadomości: 13
    • Zobacz profil
Odp: Jak zablokować możliwość opuszczenia swojego katalogu - vsftpd
« Odpowiedź #5 dnia: 2023-02-06, 23:49:31 »
OK, dzięki za zwięzłe wytłumaczenie wszystkiego co chciałem !

Mam (SFTP - SSH File Transfer Protocol) i na niestandardowym porcie oczywiście.

Offline Paweł Kraszewski

  • Administrator
  • Guru
  • *****
  • Wiadomości: 3066
  • Lenistwo jest matką potrzeby = babcią wynalazku
    • Zobacz profil
Paweł Kraszewski
~Arch/Void/Gentoo/FreeBSD/OpenBSD/Specjalizowane customy