Dystrybucje Linuksa > *Ubuntu
Jak zablokować możliwość opuszczenia swojego katalogu - vsftpd
stefan20:
Chciałbym zablokować użytkownikowi możliwość wyjścia poza swój katalog pod FTP.
plik vsftpd.conf mam następujący:
#Uruchamianie serwera w trybie standalone
listen=NO
listen_ipv6=YES
#Uzytkownik anonimowy niemoze sie logowac
anonymous_enable=NO
#Uzytkownik lokalny ma prawo logowania
local_enable=YES
#Umask 022
local_umask=022
#Zezwolenie na zapis w katalogu uzytkownika lokalnego
write_enable=YES
dirmessage_enable=YES
use_localtime=YES
xferlog_enable=YES
allow_writeable_chroot=YES
#Uzytkownik moze poruszac sie tylko w obrebie katalogu domowego
chroot_local_user=NO
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd.userlist
#Katalog dla chroot-a
secure_chroot_dir=/var/run/vsftpd/empty
w pliku '/etc/vsftpd.userlist' mam wpisaną nazwa usera:
vsftp
uprawnienia dla katalogu '/home/vsftp' mam tak:
drwx------ 4 vsftp vsftp 4096 lut 4 22:18 vsftp
restart vsftpd i user dalej może wyjść poza swój katalog :/
Paweł Kraszewski:
Wzdeh...
--- Kod: ---
chroot_local_user=YES
--- Koniec kodu ---
Ale wiesz, że używając FTP żyjesz w stanie grzechu? Jeżeli to widziane z internetu, to w stanie grzechu ciężkiego?
stefan20:
chroot_local_user=YES
też tak próbowałem ale nic to nie zmieniło, oczywiście restart po wszystkim :/
--- Cytuj ---Ale wiesz, że używając FTP żyjesz w stanie grzechu? Jeżeli to widziane z internetu, to w stanie grzechu ciężkiego?
--- Koniec cytatu ---
Tak wychodzi na zewnątrz. Sorry za to pytanie ale startuje z tym systemem, a dlaczego ? Precyzując to sFTP.
Lepsza jest Samba lub NFS ?
marcin'82:
--- Cytuj ---Tak wychodzi na zewnątrz. Sorry za to pytanie ale startuje z tym systemem, a dlaczego ?
--- Koniec cytatu ---
Przejrzyj kilka artykułów pod hasłem "why ftp is insecure", na przykład:
https://pragmaticparanoia.com/why-is-ftp-insecure/ .
--- Cytuj --- Precyzując to sFTP. Lepsza jest Samba lub NFS ?
--- Koniec cytatu ---
SSH, szczególnie SFTP + logowanie za pomocą klucza publicznego z hasłem.
https://wiki.archlinux.org/title/SFTP_chroot
Paweł Kraszewski:
--- Cytat: stefan20 w 2023-02-06, 15:03:18 --- Precyzując to sFTP.
--- Koniec cytatu ---
SFTP, FTP i FTPs to 3 różne rzeczy.
FTP - antyk, nieszyfrowany, jakiekolwiek hasła latają po sieci otwartym tekstem.
FTPs - FTP przykryty SSL/TLS. Ciut lepiej, ale dalej straszny antyk od dekad nie polecany.
SFTP - nowoczesny protokół bazujący na transporcie SSH. Zaszyfrowany, możliwość zabezpieczenia dostępu certyfikatami.
Właściwe rozwiązanie podał kolega Marcin'82: SFTP+chroot.
A co do niebezpieczności FTP/FTPs — prostym dowodem jest fakt całkowitego usunięcia wsparcia dla niego w przeglądarkach internetowych,
Nawigacja
[#] Następna strona
Idź do wersji pełnej