Vsftpd असुरक्षित का chroot_local_user क्यों है?


20

मैं अपने VPS a vsftpd पर स्थापित कर रहा हूं, और मैं नहीं चाहता कि उपयोगकर्ताओं को छोड़ने की अनुमति दी जाए ताकि वे ftp होम डायरेक्टरी हों। मैं local_user ftp का उपयोग कर रहा हूं, अनाम नहीं, इसलिए मैंने जोड़ा:

chroot_local_user = हाँ

मैंने बहुत सारे फोरम पोस्ट में पढ़ा है, कि यह असुरक्षित है।

  1. यह असुरक्षित क्यों है?
  2. यदि यह मेरे वीपीएस में शामिल होने के लिए ssh का उपयोग करने के कारण असुरक्षित है, तो मैं इन उपयोगकर्ताओं को sshd से बंद कर सकता हूं, है ना?
  3. क्या vsftpd के इस व्यवहार को प्राप्त करने के लिए कोई अन्य विकल्प है? (मैं अपने सिस्टम पर "दुनिया" के लिए सभी फ़ोल्डर / फ़ाइलों पर पढ़ने की अनुमति नहीं निकालना चाहता)

जवाबों:


20

आपके उत्तर की तलाश के लिए VSFTPD के अक्सर पूछे जाने वाले प्रश्न के लिए यहां देखें । नीचे महत्वपूर्ण अंश है जो मुझे लगता है कि आपके प्रश्न का उत्तर देगा।

क्यू) मदद करो! "Chroot_local_user" विकल्प में संदर्भित सुरक्षा निहितार्थ क्या हैं?

ए) सबसे पहले ध्यान दें कि अन्य एफ़टीपी डेमॉन का एक ही निहितार्थ है। यह एक सामान्य समस्या है। समस्या बहुत गंभीर नहीं है, लेकिन यह इस प्रकार है: कुछ लोगों के पास एफ़टीपी उपयोगकर्ता खाते हैं जिन पर पूर्ण शेल एक्सेस का भरोसा नहीं है। यदि ये खाते भी फाइलें अपलोड कर सकते हैं, तो एक छोटा जोखिम है। एक बुरे उपयोगकर्ता के पास अब फाइल सिस्टम रूट का नियंत्रण है, जो कि उनकी होम डायरेक्टरी है। Ftp डेमन कुछ कॉन्फिग फाइल को पढ़ने का कारण बन सकता है - जैसे / etc / some_file। चेरोट () के साथ, यह फ़ाइल अब उपयोगकर्ता के नियंत्रण में है। इस क्षेत्र में vsftpd सावधान है। लेकिन, सिस्टम के परिवाद स्थानीय विन्यास फाइल या अन्य सेटिंग्स खोलना चाहते हैं ...


उस के लिए धन्यवाद, मैं खुद वह सब नहीं जानता था। कुछ सीखा! +1
यानिक गिरौद

4
वास्तव में मैं अक्सर पूछे जाने वाले प्रश्न पढ़ने के बाद यहां आया क्योंकि मुझे यह चिंताजनक बयान समझ में नहीं आता है: "ftp डेमन के कारण कुछ कॉन्फिग फाइल पढ़ने में आ सकती है - जैसे / etc / some_file। chroot () के साथ, यह फाइल अब नियंत्रण में है। उपभोक्ता।"। संभवतः यह केवल तभी मामला होगा जब vsftpdसुरक्षा दोष था (आ ला बफर अतिप्रवाह) ??? कैसे vsftpdउपयोगकर्ताओं के साथ चल रहा है उनके घर के लिए chroot'ed यह परिदृश्य अधिक संभावना है? कृपया समझाएँ ...
sxc731

4

समस्या यह है कि आप दोनों स्थानीय खातों का उपयोग नहीं कर सकते हैं और शेल लॉगिन से उन खातों को अक्षम भी कर सकते हैं। यदि आप अपना लॉगिन शेल / बिन / कोलोन में सेट करते हैं, तो यह आपको vsftpd के साथ लॉगिन नहीं करने देगा।

एक बेहतर और अधिक सुरक्षित एफ़टीपी डेमॉन प्योर-एफटीपी होगा। इसे देखें, यह ईपीईएल रिपॉजिटरी से उपलब्ध है, और यह आभासी उपयोगकर्ताओं को बनाने की अनुमति देता है। सर्वर उपयोगकर्ताओं के होम फ़ोल्डर के लिए सभी अनुमतियों को सेट करने के लिए एक सामान्य उपयोगकर्ता / समूह का उपयोग करता है और अनुमतियों से निपटने के लिए लॉग होने पर उस उपयोगकर्ता को वर्चुअल उपयोगकर्ता "मैप" करता है। यह अधिक सुरक्षित है, और आपको ओपनश लॉगिन सुरक्षा से निपटना नहीं है।

Pure-ftpd भी कोटा, अनुपात और जैसे कई विशेषताओं का समर्थन करता है। Vsftpd से बहुत बेहतर।

इसे कैसे स्थापित करें और एक बुनियादी आभासी उपयोगकर्ता को कॉन्फ़िगर करने के बारे में एक सरल ट्यूटोरियल यहां दिया गया है: http://blog.namran.net/2011/05/04/how-to-setup-virtual-ftp-server-use-pure-ftpd- इन-centos /

यदि आप पूरा डॉक पढ़ते हैं (जो आपको चाहिए) तो आपको पता होगा कि वर्चुअल उपयोगकर्ता बनाते समय -d स्विच उस उपयोगकर्ता के लिए उस निर्देशिका के लिए एक ऑटो चेरोट है।


मैं AllowUsers user1 user2अपने sshd_config में निर्देश का उपयोग करता हूं, जहां मैं ftp_user1 को ssh के साथ लॉगिन करने की अनुमति नहीं देता, फिर भी उपयोगकर्ता ftp_user1 ftp के साथ लॉगिन करने में सक्षम है। तो यह इरादा के रूप में काम कर रहा है, लेकिन अभी भी मेरा मुख्य सवाल खुला है, यह असुरक्षित क्यों है?
p1100i

4
हाँ यह होगा! आपको बस "गैर-शेल" को / etc / गोले में जोड़ना होगा। कई प्रणालियों पर या तो / बिन / झूठे या / बिन / नोलिन / आदि / गोले में मौजूद हैं। यदि शेल है, तो vsftpd वास्तव में आपको लॉगिन करने देगा, वह भी chroot_local_user सक्षम होने के साथ।
फ्रांसेस हेंसन

1
मैं तब सही हुआ। इस पर ध्यान दिलाने के लिए धन्यवाद!
यानिक गिरौद
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.