Jak zablokować możliwość opuszczenia swojego katalogu

Dystrybucje Linuksa > *Ubuntu

Jak zablokować możliwość opuszczenia swojego katalogu - vsftpd

(1/2) > >>

stefan20:
Chciałbym zablokować użytkownikowi możliwość wyjścia poza swój katalog pod FTP.
plik vsftpd.conf mam następujący:

#Uruchamianie serwera w trybie standalone
listen=NO
listen_ipv6=YES
#Uzytkownik anonimowy niemoze sie logowac
anonymous_enable=NO
#Uzytkownik lokalny ma prawo logowania
local_enable=YES
#Umask 022
local_umask=022
#Zezwolenie na zapis w katalogu uzytkownika lokalnego
write_enable=YES
dirmessage_enable=YES
use_localtime=YES
xferlog_enable=YES
allow_writeable_chroot=YES
#Uzytkownik moze poruszac sie tylko w obrebie katalogu domowego
chroot_local_user=NO
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd.userlist
#Katalog dla chroot-a
secure_chroot_dir=/var/run/vsftpd/empty

w pliku '/etc/vsftpd.userlist' mam wpisaną nazwa usera:
vsftp

uprawnienia dla katalogu '/home/vsftp' mam tak:
drwx------ 4 vsftp vsftp 4096 lut 4 22:18 vsftp

restart vsftpd i user dalej może wyjść poza swój katalog :/

Paweł Kraszewski:
Wzdeh...

--- Kod: ---
chroot_local_user=YES
--- Koniec kodu ---
Ale wiesz, że używając FTP żyjesz w stanie grzechu? Jeżeli to widziane z internetu, to w stanie grzechu ciężkiego?

stefan20:
chroot_local_user=YES
też tak próbowałem ale nic to nie zmieniło, oczywiście restart po wszystkim :/

--- Cytuj ---Ale wiesz, że używając FTP żyjesz w stanie grzechu? Jeżeli to widziane z internetu, to w stanie grzechu ciężkiego?
--- Koniec cytatu ---
Tak wychodzi na zewnątrz. Sorry za to pytanie ale startuje z tym systemem, a dlaczego ? Precyzując to sFTP.
Lepsza jest Samba lub NFS ?

marcin'82:

--- Cytuj ---Tak wychodzi na zewnątrz. Sorry za to pytanie ale startuje z tym systemem, a dlaczego ?
--- Koniec cytatu ---

Przejrzyj kilka artykułów pod hasłem "why ftp is insecure", na przykład:
https://pragmaticparanoia.com/why-is-ftp-insecure/ .

--- Cytuj --- Precyzując to sFTP. Lepsza jest Samba lub NFS ?
--- Koniec cytatu ---

SSH, szczególnie SFTP + logowanie za pomocą klucza publicznego z hasłem.
https://wiki.archlinux.org/title/SFTP_chroot

Paweł Kraszewski:

--- Cytat: stefan20 w 2023-02-06, 15:03:18 --- Precyzując to sFTP.

--- Koniec cytatu ---

SFTP, FTP i FTPs to 3 różne rzeczy.

FTP - antyk, nieszyfrowany, jakiekolwiek hasła latają po sieci otwartym tekstem.
FTPs - FTP przykryty SSL/TLS. Ciut lepiej, ale dalej straszny antyk od dekad nie polecany.
SFTP - nowoczesny protokół bazujący na transporcie SSH. Zaszyfrowany, możliwość zabezpieczenia dostępu certyfikatami.

Właściwe rozwiązanie podał kolega Marcin'82: SFTP+chroot.

A co do niebezpieczności FTP/FTPs — prostym dowodem jest fakt całkowitego usunięcia wsparcia dla niego w przeglądarkach internetowych,

Nawigacja

[0] Indeks wiadomości

[#] Następna strona

Idź do wersji pełnej