[РЕШЕНО] ни как не могу понять почему vsftpd не запирает ...

ssergey	# 12 лет, 9 месяцев назад (отредактировано 12 лет, 9 месяцев назад)
Темы: 3 Сообщения: 17 Участник с: 30 июня 2012	Доброго дня всем! Настраиваю VSFTPD и не выходит запретить локальным пользователям выходить за пределы домашнего еаталога похоже туплю, но не могу понять где # grep -v "#" /etc/vsftpd.conf anonymous_enable=NO local_enable=YES write_enable=YES dirmessage_enable=YES xferlog_enable=YES connect_from_port_20=YES ftpd_banner=Welcome to TEST FTP service. passwd_chroot_enable=YES local_root=/home chroot_list_enable=YES chroot_list_file=/etc/vsftpd.chroot_list listen=YES ssl_enable=YES force_local_logins_ssl=YES ssl_tlsv1=YES ssl_sslv2=YES ssl_sslv3=YES rsa_cert_file=/etc/ssl/certs/vsftpd.pem rsa_private_key_file=/etc/ssl/certs/vsftpd.pem # cat /etc/vsftpd.chroot_list sergey # cat /etc/passwd \| grep "sergey" sergey:x:1000:100::/home/sergey:/bin/bash

# 12 лет, 9 месяцев назад (отредактировано 12 лет, 9 месяцев назад)

Сообщения: 17

Участник с: 30 июня 2012

Доброго дня всем!
Настраиваю VSFTPD и не выходит запретить локальным пользователям выходить за пределы домашнего еаталога
похоже туплю, но не могу понять где

# grep -v "#" /etc/vsftpd.conf
anonymous_enable=NO
local_enable=YES
write_enable=YES
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
ftpd_banner=Welcome to TEST FTP service.
passwd_chroot_enable=YES
local_root=/home
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd.chroot_list
listen=YES
ssl_enable=YES
force_local_logins_ssl=YES
ssl_tlsv1=YES
ssl_sslv2=YES
ssl_sslv3=YES
rsa_cert_file=/etc/ssl/certs/vsftpd.pem
rsa_private_key_file=/etc/ssl/certs/vsftpd.pem

# cat /etc/vsftpd.chroot_list
sergey

# cat /etc/passwd | grep "sergey"
sergey:x:1000:100::/home/sergey:/bin/bash

gineaser	# 12 лет, 9 месяцев назад
Темы: 9 Сообщения: 131 Участник с: 04 февраля 2012	chroot_local_user=YES вот тут в свое врем нашел много полезного.

ssergey	# 12 лет, 9 месяцев назад
Темы: 3 Сообщения: 17 Участник с: 30 июня 2012	и с chroot_local_user=YES директивой пытался снял коментарий и перезапустил демона опять могу ходить до реального /. # sftp sergey@127.0.0.1 sergey@127.0.0.1's password: Connected to 127.0.0.1. sftp> pwd Remote working directory: /home/sergey sftp> cd / sftp> pwd Remote working directory: / sftp> а может дело опять в правах? ls -l vsftpd.chroot_list -rw-r--r-- 1 root root 7 авг. 11 18:19 "vsftpd.chroot_list"

ssergey

# 12 лет, 9 месяцев назад

Темы: 3

Сообщения: 17

Участник с: 30 июня 2012

и с chroot_local_user=YES директивой пытался
снял коментарий и перезапустил демона
опять могу ходить до реального /.

# sftp sergey@127.0.0.1
sergey@127.0.0.1's password:
Connected to 127.0.0.1.
sftp> pwd
Remote working directory: /home/sergey
sftp> cd /
sftp> pwd
Remote working directory: /
sftp>

а может дело опять в правах?

 ls -l vsftpd.chroot_list
-rw-r--r-- 1 root root 7 авг.  11 18:19 "vsftpd.chroot_list"

ssergey	# 12 лет, 9 месяцев назад
Темы: 3 Сообщения: 17 Участник с: 30 июня 2012	Gineaser вот тут в свое врем нашел много полезного. за ссылку спасибо Если опция chroot_local_user включена, наоборот указывает файл списка пользователей не помещаемых в chroot() заточение. всего то! поспешил с выводом root и sergey могут подниматься выше своего каталога хотя в файле прописан только один пользователь. Результат одинаковый

ssergey

# 12 лет, 9 месяцев назад

Темы: 3

Сообщения: 17

Участник с: 30 июня 2012

Gineaser
вот тут в свое врем нашел много полезного.

за ссылку спасибо

Если опция chroot_local_user включена, наоборот указывает
файл списка пользователей не помещаемых в chroot() заточение.

всего то!

поспешил с выводом
root и sergey могут подниматься выше своего каталога
хотя в файле прописан только один пользователь.
Результат одинаковый

sleepycat	# 12 лет, 9 месяцев назад
Темы: 98 Сообщения: 3291 Участник с: 19 июля 2011	читать ман, ваш конфиг противоречит сам себе. имхо УДалите его и начните снова, но перед тем как оставлять директиву, прочтите ее описание в мане ну или в др. источнике , которому доверяете. Этот фтп самый простой из тех что я видел, достаточно часов чтобы изучить его вдоль и поперек. Лозунг у них был такой: "Познание бесконечности требует бесконечного времени". С этим я не спорил, но они делали из этого неожиданный вывод: "А потому работай не работай — все едино". И в интересах неувеличения энтропии Вселенной они не работали. (с)

sleepycat

# 12 лет, 9 месяцев назад

Темы: 98

Сообщения: 3291

Участник с: 19 июля 2011

читать ман, ваш конфиг противоречит сам себе. имхо УДалите его и начните снова, но перед тем как оставлять директиву, прочтите ее описание в мане ну или в др. источнике , которому доверяете. Этот фтп самый простой из тех что я видел, достаточно часов чтобы изучить его вдоль и поперек.

Лозунг у них был такой: "Познание бесконечности требует бесконечного времени". С этим я не спорил, но они делали из этого неожиданный вывод: "А потому работай не работай — все едино". И в интересах неувеличения энтропии Вселенной они не работали. (с)

ssergey	# 12 лет, 9 месяцев назад
Темы: 3 Сообщения: 17 Участник с: 30 июня 2012	разобрался на днях может кому-то поможет время сэкономить и ещё каталог в котором запирается пользователь НЕ должен быть доступен ему на запись. Подкаталоги под это правило не подпадают (естественно) anonymous_enable=NO local_enable=YES write_enable=YES local_umask=037 dirmessage_enable=YES xferlog_enable=YES connect_from_port_20=YES idle_session_timeout=600 ftpd_banner=Welcome to TEST FTP service. chroot_local_user=YES chroot_list_enable=NO local_root=/home/$USER/www user_sub_token=$USER chroot_list_file=/etc/vsftpd.chroot_list listen=YES listen_port=21 listen_address=X.X.X.X ssl_enable=YES force_local_logins_ssl=YES ssl_tlsv1=YES ssl_sslv2=YES ssl_sslv3=YES rsa_cert_file=/etc/ssl/certs/vsftpd.pem rsa_private_key_file=/etc/ssl/certs/vsftpd.pem

ssergey

# 12 лет, 9 месяцев назад

Темы: 3

Сообщения: 17

Участник с: 30 июня 2012

разобрался на днях
может кому-то поможет время сэкономить
и ещё каталог в котором запирается пользователь НЕ должен быть доступен ему на запись. Подкаталоги под это правило не подпадают (естественно)

anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=037
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
idle_session_timeout=600
ftpd_banner=Welcome to TEST FTP service.
chroot_local_user=YES
chroot_list_enable=NO
local_root=/home/$USER/www
user_sub_token=$USER
chroot_list_file=/etc/vsftpd.chroot_list
listen=YES
listen_port=21
listen_address=X.X.X.X
ssl_enable=YES
force_local_logins_ssl=YES
ssl_tlsv1=YES
ssl_sslv2=YES
ssl_sslv3=YES
rsa_cert_file=/etc/ssl/certs/vsftpd.pem
rsa_private_key_file=/etc/ssl/certs/vsftpd.pem