GNU/Linux >> Linux Esercitazione >  >> Linux

Perché chroot_local_user di vsftpd non è sicuro?

Soluzione 1:

Controlla qui per le FAQ di VSFTPD per la risposta che stai cercando. Di seguito è riportato l'importante estratto che penso risponderà alla tua domanda.

D) Aiuto! Quali sono le implicazioni sulla sicurezza a cui fa riferimento l'opzione "chroot_local_user"?

A) In primo luogo notare che altri demoni ftp hanno le stesse implicazioni. Si tratta di un problema generico. Il problema non è troppo grave, ma è questo:alcune persone hanno account utente FTP a cui non è garantito l'accesso completo alla shell. Se questi account possono anche caricare file, c'è un piccolo rischio. Un cattivo utente ora ha il controllo della root del filesystem, che è la sua home directory. Il demone ftp potrebbe causare la lettura di alcuni file di configurazione, ad es. /etc/qualche_file. Conchroot(), questo file è ora sotto il controllo dell'utente. vsftpd è attento in quest'area. Ma la libc del sistema potrebbe voler aprire i file localeconfig o altre impostazioni...

Soluzione 2:

Il problema è che non puoi utilizzare sia gli account locali sia disabilitare quegli account dall'accesso alla shell. Se imposti la loro shell di login su /bin/nologin, non ti permetterà nemmeno di accedere con vsftpd.

Un demone FTP migliore e più sicuro sarebbe Pure-ftpd. Cercalo, è disponibile dal repository EPEL, e permette di creare utenti virtuali. Il server utilizza un utente/gruppo comune per impostare tutte le autorizzazioni per le cartelle home degli utenti e "associa" gli utenti virtuali a quell'utente quando accede per gestire le autorizzazioni. È più sicuro e non devi occuparti della sicurezza di accesso di openssh.

Pure-ftpd supporta anche un sacco di funzionalità come quote, rapporti e così via. Molto meglio di vsftpd.

Ecco un semplice tutorial su come installarlo e configurare un utente virtuale di base:http://blog.namran.net/2011/05/04/how-to-setup-virtual-ftp-server-using-pure-ftpd- in-centos/

Se leggi il documento completo (cosa che dovresti fare) saprai che l'opzione -d durante la creazione dell'utente virtuale è un auto-chroot in quella directory per quell'utente.


Linux

  1. Perché il server ha bloccato il mio IP?

  2. Perché l'utente root ha bisogno dell'autorizzazione Sudo?

  3. Limitare l'accesso FTP solo a /var/www con Vsftpd?

  4. La funzione di root del gruppo utente??

  5. Perché è necessario il segmento .bss?

Il comando di spegnimento?

Perché l'utente più potente su un sistema Unix/Linux si chiama "root?"

Perché il bit setuid funziona in modo incoerente?

Cos'è l'utente debian-+?

FTP non consente /usr/sbin/nologin utente

Centos 7 - aggiunta di un utente al gruppo sudoers - non è ancora nel file sudoers - perché?