Unter der VSFTP-Standardkonfiguration können VSFTP-Anmeldebenutzer zu Verzeichnissen der obersten Ebene navigieren, was Sicherheitsprobleme verursachen kann. Es gibt Situationen, in denen Sie nicht möchten, dass FTP-Benutzer auf Dateien außerhalb ihres eigenen Home-Verzeichnisses zugreifen können. Der vsftp-Daemon kann chrooted werden, um diese Richtlinie zu implementieren.
Chroot-Jail für alle lokalen Benutzer auf das standardmäßige $HOME-Verzeichnis setzen
Befolgen Sie die nachstehenden Schritte, um das Jail für alle lokalen Benutzer auf dem System in das Standard-Home-Verzeichnis zu chrooten.
1. In der Konfigurationsdatei des VSFTP-Servers /etc/vsftpd/vsftpd.conf , stellen Sie den folgenden Parameter ein:
# vi /etc/vsftpd/vsftpd.conf chroot_local_user=YESHinweis :Stellen Sie sicher, dass „chroot_list_enable “ ist nicht auf „JA setzen “. Wenn chroot_list_enable=YES, müssen Sie auch den Parameter chroot_list_file=/etc/vsftpd/chroot_list in Ihrer vsftpd.conf-Datei gesetzt haben, um dem Deamon mitzuteilen, wo er die chroot_list-Datei finden kann. vsftpd wird sich diese Datei ansehen und jeder in dieser Datei aufgeführte Benutzer wird in ein Chroot-Gefängnis platziert
2. Starten Sie den vsftpd-Dienst auf dem VSFTP-Server neu:
# service vsftpd restart Shutting down vsftpd: [ OK ] Starting vsftpd for vsftpd: [ OK ]
3. Testen Sie mit einem Chroot-Jail-Benutzer und erstellen Sie ein Verzeichnis unter dem Chroot-Verzeichnis.
# ftp ftphost Connected to ftphost (192.168.149.10). 220 (vsFTPd 2.0.5) Name (192.168.149.10:root): testuser 331 Please specify the password. Password: 230 Login successful. Remote system type is UNIX. Using binary mode to transfer files. ftp> pwd 257 "/" ftp> ls 227 Entering Passive Mode (192.168.149.10,72,224) 150 Here comes the directory listing. 226 Directory send OK. ftp> cd / 250 Directory successfully changed. ftp> ls 227 Entering Passive Mode (192.168.149.10,135,209) 150 Here comes the directory listing. 226 Directory send OK. ftp> mkdir chroot_jail_dir 257 "/chroot_jail_dir" created ftp> ls 227 Entering Passive Mode (192.168.149.10,40,202) 150 Here comes the directory listing. drwxr-xr-x 2 511 511 4096 Nov 12 11:40 chroot_jail_dir 226 Directory send OK. ftp>
4. Überprüfen Sie den Speicherort des erstellten Verzeichnisses auf dem VSFTP-Server. Sie würden ein Verzeichnis sehen, das unter dem Home-Verzeichnis (/home/testuser) des Benutzers „testuser“ erstellt wurde, anstelle des eigentlichen Root-Verzeichnisses (/)
Das Verzeichnis wird nicht unter / erstellt, wie unten gezeigt:
# ls / | grep chroot_jail_dir
Stattdessen wird es im Home-Verzeichnis des Benutzers „testuser“ erstellt.
# ls /home/testuser/ | grep chroot_jail_dir chroot_jail_dirCentOS / RHEL :So legen Sie das Chroot-Gefängnis für vsftp nur für bestimmte Benutzer fest