GNU/Linux >> LINUX-Kenntnisse >  >> Linux

Warum ist chroot_local_user von vsftpd unsicher?

Lösung 1:

Suchen Sie hier nach den häufig gestellten Fragen von VSFTPD, um die Antwort zu finden, nach der Sie suchen. Nachfolgend finden Sie den wichtigen Auszug, der Ihrer Meinung nach Ihre Frage beantworten wird.

F) Hilfe! Auf welche Sicherheitsimplikationen bezieht sich die Option "chroot_local_user"?

A) Beachten Sie zunächst, dass andere FTP-Daemons die gleichen Auswirkungen haben. Es ist ein allgemeines Problem. Das Problem ist nicht allzu schwerwiegend, aber es ist folgendes:Einige Leute haben FTP-Benutzerkonten, denen nicht vertraut wird, dass sie vollen Shell-Zugriff haben. Wenn diese Konten auch Dateien hochladen können, besteht ein geringes Risiko. Ein böswilliger Benutzer hat jetzt die Kontrolle über das Stammverzeichnis des Dateisystems, das sein Home-Verzeichnis ist. Der ftpdaemon kann dazu führen, dass einige Konfigurationsdateien gelesen werden - z. /etc/some_file. Mit chroot() ist diese Datei nun unter der Kontrolle des Benutzers. vsftpd ist in diesem Bereich vorsichtig. Aber die libc des Systems möchte vielleicht localeconfig-Dateien oder andere Einstellungen öffnen...

Lösung 2:

Das Problem ist, dass Sie nicht sowohl lokale Konten verwenden als auch diese Konten für die Shell-Anmeldung deaktivieren können. Wenn Sie ihre Anmelde-Shell auf /bin/nologin setzen, können Sie sich auch nicht mit vsftpd anmelden.

Ein besserer und sichererer FTP-Daemon wäre Pure-ftpd. Schlagen Sie es nach, es ist im EPEL-Repository verfügbar und ermöglicht die Erstellung virtueller Benutzer. Der Server verwendet einen gemeinsamen Benutzer/eine gemeinsame Gruppe, um alle Berechtigungen für die Home-Ordner der Benutzer festzulegen, und "ordnet" die virtuellen Benutzer diesem Benutzer zu, wenn er sich anmeldet, um mit Berechtigungen umzugehen. Das ist sicherer und Sie müssen sich nicht mit der Openssh-Login-Sicherheit auseinandersetzen.

Pure-ftpd unterstützt auch eine ganze Reihe von Funktionen wie Quoten, Verhältnisse und dergleichen. Viel besser als vsftpd.

Hier ist ein einfaches Tutorial zur Installation und Konfiguration eines grundlegenden virtuellen Benutzers:http://blog.namran.net/2011/05/04/how-to-setup-virtual-ftp-server-using-pure-ftpd- in-centos/

Wenn Sie das vollständige Dokument lesen (was Sie tun sollten), werden Sie wissen, dass der Schalter -d beim Erstellen des virtuellen Benutzers ein Auto-Chroot zu diesem Verzeichnis für diesen Benutzer ist.


Linux
  1. Warum hat der Server meine IP blockiert?

  2. Die Funktion von User Group Root??

  3. Warum ist das .bss-Segment erforderlich?

  4. Warum heißt der mächtigste Benutzer auf einem Unix/Linux-System „root“?

  5. Fragen zur gespeicherten Benutzer-ID

Der Shutdown-Befehl?

Fehler „530:Berechtigung verweigert“, wenn sich der Benutzer über FTP beim vsftpd-Server anmeldet

Warum den Linux-Kernel vor dem Root-Benutzer schützen?

Warum benötigt der 'bin'-Benutzer eine Login-Shell?

Warum funktioniert das Setuid-Bit inkonsistent?

FTP lässt den Benutzer /usr/sbin/nologin nicht zu