GNU/Linux >> Tutoriales Linux >  >> Linux

¿Por qué el chroot_local_user de vsftpd es inseguro?

Solución 1:

Consulte aquí las preguntas frecuentes de VSFTPD para encontrar la respuesta que busca. A continuación se muestra el extracto importante que creo que responderá a su pregunta.

P) ¡Ayuda! ¿Cuáles son las implicaciones de seguridad a las que se hace referencia en la opción "chroot_local_user"?

A) En primer lugar, tenga en cuenta que otros demonios ftp tienen las mismas implicaciones. Es un problema genérico. El problema no es demasiado grave, pero es el siguiente:algunas personas tienen cuentas de usuario de FTP en las que no se confía para tener acceso completo al shell. Si estas cuentas también pueden cargar archivos, existe un pequeño riesgo. Un mal usuario ahora tiene el control de la raíz del sistema de archivos, que es su directorio de inicio. El ftpdaemon puede hacer que se lea algún archivo de configuración, p. /etc/algun_archivo. Withchroot(), este archivo ahora está bajo el control del usuario. vsftpd es cuidadoso en esta área. Pero, la libc del sistema podría querer abrir archivos localeconfig u otras configuraciones...

Solución 2:

El problema es que no puede usar cuentas locales y también deshabilitar esas cuentas desde el inicio de sesión de shell. Si configura su shell de inicio de sesión en /bin/nologin, tampoco le permitirá iniciar sesión con vsftpd.

Un demonio FTP mejor y más seguro sería Pure-ftpd. Búscalo, está disponible en el repositorio de EPEL y permite crear usuarios virtuales. El servidor utiliza un usuario/grupo común para configurar todos los permisos para las carpetas de inicio de los usuarios y "asigna" los usuarios virtuales a ese usuario cuando inicia sesión para gestionar los permisos. Eso es más seguro y no tienes que lidiar con la seguridad de inicio de sesión de openssh.

Pure-ftpd también admite una gran cantidad de funciones, como cuotas, proporciones y demás. Mucho mejor que vsftpd.

Aquí hay un tutorial simple sobre cómo instalarlo y configurar un usuario virtual básico:http://blog.namran.net/2011/05/04/how-to-setup-virtual-ftp-server-using-pure-ftpd- en-centos/

Si lee el documento completo (que debería) sabrá que el interruptor -d al crear el usuario virtual es un chroot automático a ese directorio para ese usuario.


Linux

  1. ¿Cómo configurar VSFTPD en CentOS 7.x?

  2. Configurar un sitio FTP de IIS

  3. Deshabilitar el usuario administrador en Windows

  4. Error "530:permiso denegado" cuando el usuario inicia sesión en el servidor vsftpd a través de ftp

  5. ¿Por qué se requiere el segmento .bss?

Configuración de un servidor FTP con vsFTPd en Raspberry Pi

¿Por qué el servidor bloqueó mi IP?

¿La función de la raíz del grupo de usuarios?

¿El comando de apagado?

¿Por qué el usuario 'bin' necesita un shell de inicio de sesión?

¿Por qué el bit setuid funciona de manera inconsistente?