Nowe posty

xx Dystrybucja pod HP Omen (6)
Wczoraj o 23:30:08
xx [Poradnik] Wyszukiwanie Sterowników (2)
Wczoraj o 21:08:23
lamp Problem z Linux Lite po instalacji (0)
Wczoraj o 19:50:30
xx Ile pingwinów? (1)
Wczoraj o 08:59:24
xx konfiguracja pale moon (0)
2024-03-24, 21:53:42
xx Plasma 6 w Neonie ssie trochę mniej ... (10)
2024-03-23, 02:38:11
xx problem z instalacja sterowników do karty sieciowej (3)
2024-03-18, 18:10:16
xx Plik abc.001 (1)
2024-03-17, 17:48:27
xx Zlecę dopracowanie programu w MatLab (0)
2024-03-13, 15:28:40
xx Linux Mint 21.3 XFCE brak dźwieku po paru minutach (karta muzyczna zintegrowana) (5)
2024-03-12, 23:07:01

Autor Wątek: Jak zablokować możliwość opuszczenia swojego katalogu - vsftpd  (Przeczytany 992 razy)

Offline stefan20

  • Nowy na forum
  • *
  • Wiadomości: 13
    • Zobacz profil
Chciałbym zablokować użytkownikowi możliwość wyjścia poza swój katalog pod FTP.
plik vsftpd.conf mam następujący:

#Uruchamianie serwera w trybie standalone
 listen=NO
 listen_ipv6=YES
#Uzytkownik anonimowy niemoze sie logowac
 anonymous_enable=NO
#Uzytkownik lokalny ma prawo logowania
 local_enable=YES
#Umask 022
 local_umask=022
#Zezwolenie na zapis w katalogu uzytkownika lokalnego
 write_enable=YES
 dirmessage_enable=YES
 use_localtime=YES
 xferlog_enable=YES
 allow_writeable_chroot=YES
#Uzytkownik moze poruszac sie tylko w obrebie katalogu domowego
 chroot_local_user=NO
 chroot_list_enable=YES
 chroot_list_file=/etc/vsftpd.userlist
#Katalog dla chroot-a
 secure_chroot_dir=/var/run/vsftpd/empty


w pliku '/etc/vsftpd.userlist' mam wpisaną nazwa usera:
vsftp

uprawnienia dla katalogu '/home/vsftp' mam tak:
drwx------ 4 vsftp   vsftp   4096 lut  4 22:18 vsftp

restart vsftpd i user dalej może wyjść poza swój katalog :/

Offline Paweł Kraszewski

  • Administrator
  • Guru
  • *****
  • Wiadomości: 3049
  • Lenistwo jest matką potrzeby = babcią wynalazku
    • Zobacz profil
Odp: Jak zablokować możliwość opuszczenia swojego katalogu - vsftpd
« Odpowiedź #1 dnia: 2023-02-06, 14:44:19 »
Wzdeh...
chroot_local_user=YES
Ale wiesz, że używając FTP żyjesz w stanie grzechu? Jeżeli to widziane z internetu, to w stanie grzechu ciężkiego?
Paweł Kraszewski
~Arch/Void/Gentoo/FreeBSD/OpenBSD/Specjalizowane customy

Offline stefan20

  • Nowy na forum
  • *
  • Wiadomości: 13
    • Zobacz profil
Odp: Jak zablokować możliwość opuszczenia swojego katalogu - vsftpd
« Odpowiedź #2 dnia: 2023-02-06, 15:03:18 »
chroot_local_user=YES
też tak próbowałem ale nic to nie zmieniło, oczywiście restart po wszystkim :/

Cytuj
Ale wiesz, że używając FTP żyjesz w stanie grzechu? Jeżeli to widziane z internetu, to w stanie grzechu ciężkiego?
Tak wychodzi na zewnątrz. Sorry za to pytanie ale startuje z tym systemem, a dlaczego ? Precyzując to sFTP.
Lepsza jest Samba lub NFS ?
« Ostatnia zmiana: 2023-02-06, 15:07:42 wysłana przez stefan20 »

Offline marcin'82

  • Users
  • Prawie jak Guru
  • ****
  • Wiadomości: 402
    • Zobacz profil
Odp: Jak zablokować możliwość opuszczenia swojego katalogu - vsftpd
« Odpowiedź #3 dnia: 2023-02-06, 18:35:58 »
Cytuj
Tak wychodzi na zewnątrz. Sorry za to pytanie ale startuje z tym systemem, a dlaczego ?

Przejrzyj kilka artykułów pod hasłem "why ftp is insecure", na przykład:
https://pragmaticparanoia.com/why-is-ftp-insecure/ .

Cytuj
Precyzując to sFTP. Lepsza jest Samba lub NFS ?

SSH, szczególnie SFTP + logowanie za pomocą klucza publicznego z hasłem.
https://wiki.archlinux.org/title/SFTP_chroot
« Ostatnia zmiana: 2023-02-06, 18:42:40 wysłana przez marcin'82 »
marcin82

Offline Paweł Kraszewski

  • Administrator
  • Guru
  • *****
  • Wiadomości: 3049
  • Lenistwo jest matką potrzeby = babcią wynalazku
    • Zobacz profil
Odp: Jak zablokować możliwość opuszczenia swojego katalogu - vsftpd
« Odpowiedź #4 dnia: 2023-02-06, 19:50:49 »
Precyzując to sFTP.

SFTP, FTP i FTPs to 3 różne rzeczy.

FTP - antyk, nieszyfrowany, jakiekolwiek hasła latają po sieci otwartym tekstem.
FTPs - FTP przykryty SSL/TLS. Ciut lepiej, ale dalej straszny antyk od dekad nie polecany.
SFTP - nowoczesny protokół bazujący na transporcie SSH. Zaszyfrowany, możliwość zabezpieczenia dostępu certyfikatami.

Właściwe rozwiązanie podał kolega Marcin'82: SFTP+chroot.

A co do niebezpieczności FTP/FTPs — prostym dowodem jest fakt całkowitego usunięcia wsparcia dla niego w przeglądarkach internetowych,
« Ostatnia zmiana: 2023-02-06, 19:52:27 wysłana przez Paweł Kraszewski »
Paweł Kraszewski
~Arch/Void/Gentoo/FreeBSD/OpenBSD/Specjalizowane customy

Offline stefan20

  • Nowy na forum
  • *
  • Wiadomości: 13
    • Zobacz profil
Odp: Jak zablokować możliwość opuszczenia swojego katalogu - vsftpd
« Odpowiedź #5 dnia: 2023-02-06, 23:49:31 »
OK, dzięki za zwięzłe wytłumaczenie wszystkiego co chciałem !

Mam (SFTP - SSH File Transfer Protocol) i na niestandardowym porcie oczywiście.

Offline Paweł Kraszewski

  • Administrator
  • Guru
  • *****
  • Wiadomości: 3049
  • Lenistwo jest matką potrzeby = babcią wynalazku
    • Zobacz profil
Paweł Kraszewski
~Arch/Void/Gentoo/FreeBSD/OpenBSD/Specjalizowane customy