Vsftpd असुरक्षित का chroot_local

20

मैं अपने VPS a vsftpd पर स्थापित कर रहा हूं, और मैं नहीं चाहता कि उपयोगकर्ताओं को छोड़ने की अनुमति दी जाए ताकि वे ftp होम डायरेक्टरी हों। मैं local_user ftp का उपयोग कर रहा हूं, अनाम नहीं, इसलिए मैंने जोड़ा:

chroot_local_user = हाँ

मैंने बहुत सारे फोरम पोस्ट में पढ़ा है, कि यह असुरक्षित है।

यह असुरक्षित क्यों है?
यदि यह मेरे वीपीएस में शामिल होने के लिए ssh का उपयोग करने के कारण असुरक्षित है, तो मैं इन उपयोगकर्ताओं को sshd से बंद कर सकता हूं, है ना?
क्या vsftpd के इस व्यवहार को प्राप्त करने के लिए कोई अन्य विकल्प है? (मैं अपने सिस्टम पर "दुनिया" के लिए सभी फ़ोल्डर / फ़ाइलों पर पढ़ने की अनुमति नहीं निकालना चाहता)

— p1100i
स्रोत

20

आपके उत्तर की तलाश के लिए VSFTPD के अक्सर पूछे जाने वाले प्रश्न के लिए यहां देखें । नीचे महत्वपूर्ण अंश है जो मुझे लगता है कि आपके प्रश्न का उत्तर देगा।

क्यू) मदद करो! "Chroot_local_user" विकल्प में संदर्भित सुरक्षा निहितार्थ क्या हैं?

ए) सबसे पहले ध्यान दें कि अन्य एफ़टीपी डेमॉन का एक ही निहितार्थ है। यह एक सामान्य समस्या है। समस्या बहुत गंभीर नहीं है, लेकिन यह इस प्रकार है: कुछ लोगों के पास एफ़टीपी उपयोगकर्ता खाते हैं जिन पर पूर्ण शेल एक्सेस का भरोसा नहीं है। यदि ये खाते भी फाइलें अपलोड कर सकते हैं, तो एक छोटा जोखिम है। एक बुरे उपयोगकर्ता के पास अब फाइल सिस्टम रूट का नियंत्रण है, जो कि उनकी होम डायरेक्टरी है। Ftp डेमन कुछ कॉन्फिग फाइल को पढ़ने का कारण बन सकता है - जैसे / etc / some_file। चेरोट () के साथ, यह फ़ाइल अब उपयोगकर्ता के नियंत्रण में है। इस क्षेत्र में vsftpd सावधान है। लेकिन, सिस्टम के परिवाद स्थानीय विन्यास फाइल या अन्य सेटिंग्स खोलना चाहते हैं ...

— निक यंग
स्रोत

उस के लिए धन्यवाद, मैं खुद वह सब नहीं जानता था। कुछ सीखा! +1

— यानिक गिरौद

4

वास्तव में मैं अक्सर पूछे जाने वाले प्रश्न पढ़ने के बाद यहां आया क्योंकि मुझे यह चिंताजनक बयान समझ में नहीं आता है: "ftp डेमन के कारण कुछ कॉन्फिग फाइल पढ़ने में आ सकती है - जैसे / etc / some_file। chroot () के साथ, यह फाइल अब नियंत्रण में है। उपभोक्ता।"। संभवतः यह केवल तभी मामला होगा जब vsftpdसुरक्षा दोष था (आ ला बफर अतिप्रवाह) ??? कैसे vsftpdउपयोगकर्ताओं के साथ चल रहा है उनके घर के लिए chroot'ed यह परिदृश्य अधिक संभावना है? कृपया समझाएँ ...

— sxc731

4

समस्या यह है कि आप दोनों स्थानीय खातों का उपयोग नहीं कर सकते हैं और शेल लॉगिन से उन खातों को अक्षम भी कर सकते हैं। यदि आप अपना लॉगिन शेल / बिन / कोलोन में सेट करते हैं, तो यह आपको vsftpd के साथ लॉगिन नहीं करने देगा।

एक बेहतर और अधिक सुरक्षित एफ़टीपी डेमॉन प्योर-एफटीपी होगा। इसे देखें, यह ईपीईएल रिपॉजिटरी से उपलब्ध है, और यह आभासी उपयोगकर्ताओं को बनाने की अनुमति देता है। सर्वर उपयोगकर्ताओं के होम फ़ोल्डर के लिए सभी अनुमतियों को सेट करने के लिए एक सामान्य उपयोगकर्ता / समूह का उपयोग करता है और अनुमतियों से निपटने के लिए लॉग होने पर उस उपयोगकर्ता को वर्चुअल उपयोगकर्ता "मैप" करता है। यह अधिक सुरक्षित है, और आपको ओपनश लॉगिन सुरक्षा से निपटना नहीं है।

Pure-ftpd भी कोटा, अनुपात और जैसे कई विशेषताओं का समर्थन करता है। Vsftpd से बहुत बेहतर।

इसे कैसे स्थापित करें और एक बुनियादी आभासी उपयोगकर्ता को कॉन्फ़िगर करने के बारे में एक सरल ट्यूटोरियल यहां दिया गया है: http://blog.namran.net/2011/05/04/how-to-setup-virtual-ftp-server-use-pure-ftpd- इन-centos /

यदि आप पूरा डॉक पढ़ते हैं (जो आपको चाहिए) तो आपको पता होगा कि वर्चुअल उपयोगकर्ता बनाते समय -d स्विच उस उपयोगकर्ता के लिए उस निर्देशिका के लिए एक ऑटो चेरोट है।

— यानिक गिरौद
स्रोत

मैं AllowUsers user1 user2अपने sshd_config में निर्देश का उपयोग करता हूं, जहां मैं ftp_user1 को ssh के साथ लॉगिन करने की अनुमति नहीं देता, फिर भी उपयोगकर्ता ftp_user1 ftp के साथ लॉगिन करने में सक्षम है। तो यह इरादा के रूप में काम कर रहा है, लेकिन अभी भी मेरा मुख्य सवाल खुला है, यह असुरक्षित क्यों है?

— p1100i

4

हाँ यह होगा! आपको बस "गैर-शेल" को / etc / गोले में जोड़ना होगा। कई प्रणालियों पर या तो / बिन / झूठे या / बिन / नोलिन / आदि / गोले में मौजूद हैं। यदि शेल है, तो vsftpd वास्तव में आपको लॉगिन करने देगा, वह भी chroot_local_user सक्षम होने के साथ।

— फ्रांसेस हेंसन

1

मैं तब सही हुआ। इस पर ध्यान दिलाने के लिए धन्यवाद!

— यानिक गिरौद

Vsftpd असुरक्षित का chroot_local_user क्यों है?