[РЕШЕНО] ни как не могу понять почему vsftpd не запирает ...

Доброго дня всем!
Настраиваю VSFTPD и не выходит запретить локальным пользователям выходить за пределы домашнего еаталога
похоже туплю, но не могу понять где

# grep -v "#" /etc/vsftpd.conf
anonymous_enable=NO
local_enable=YES
write_enable=YES
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
ftpd_banner=Welcome to TEST FTP service.
passwd_chroot_enable=YES
local_root=/home
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd.chroot_list
listen=YES
ssl_enable=YES
force_local_logins_ssl=YES
ssl_tlsv1=YES
ssl_sslv2=YES
ssl_sslv3=YES
rsa_cert_file=/etc/ssl/certs/vsftpd.pem
rsa_private_key_file=/etc/ssl/certs/vsftpd.pem

# cat /etc/vsftpd.chroot_list
sergey

# cat /etc/passwd | grep "sergey"
sergey:x:1000:100::/home/sergey:/bin/bash
chroot_local_user=YES

вот тут в свое врем нашел много полезного.
и с chroot_local_user=YES директивой пытался
снял коментарий и перезапустил демона
опять могу ходить до реального /.

# sftp sergey@127.0.0.1
sergey@127.0.0.1's password:
Connected to 127.0.0.1.
sftp> pwd
Remote working directory: /home/sergey
sftp> cd /
sftp> pwd
Remote working directory: /
sftp>

а может дело опять в правах?
 ls -l vsftpd.chroot_list
-rw-r--r-- 1 root root 7 авг.  11 18:19 "vsftpd.chroot_list"
Gineaser
вот тут в свое врем нашел много полезного.

за ссылку спасибо
Если опция chroot_local_user включена, наоборот указывает
файл списка пользователей не помещаемых в chroot() заточение.

всего то!

поспешил с выводом
root и sergey могут подниматься выше своего каталога
хотя в файле прописан только один пользователь.
Результат одинаковый
читать ман, ваш конфиг противоречит сам себе. имхо УДалите его и начните снова, но перед тем как оставлять директиву, прочтите ее описание в мане ну или в др. источнике , которому доверяете. Этот фтп самый простой из тех что я видел, достаточно часов чтобы изучить его вдоль и поперек.
Лозунг у них был такой: "Познание бесконечности требует бесконечного времени". С этим я не спорил, но они делали из этого неожиданный вывод: "А потому работай не работай — все едино". И в интересах неувеличения энтропии Вселенной они не работали. (с)
разобрался на днях
может кому-то поможет время сэкономить
и ещё каталог в котором запирается пользователь НЕ должен быть доступен ему на запись. Подкаталоги под это правило не подпадают (естественно)
anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=037
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
idle_session_timeout=600
ftpd_banner=Welcome to TEST FTP service.
chroot_local_user=YES
chroot_list_enable=NO
local_root=/home/$USER/www
user_sub_token=$USER
chroot_list_file=/etc/vsftpd.chroot_list
listen=YES
listen_port=21
listen_address=X.X.X.X
ssl_enable=YES
force_local_logins_ssl=YES
ssl_tlsv1=YES
ssl_sslv2=YES
ssl_sslv3=YES
rsa_cert_file=/etc/ssl/certs/vsftpd.pem
rsa_private_key_file=/etc/ssl/certs/vsftpd.pem
 
Зарегистрироваться или войдите чтобы оставить сообщение.