Это учебное руководство объясняет, как можно заблокировать пользователя в chroot тюрьме с vsftpd
. Ключевая опция:
chroot_local_user=YES
Это означает, что пользователь не может оставить их корневой каталог. Существует несколько способов создать пользователя. По умолчанию, adduser
предложит Вам информацию о каталоге и пароль.
Однако необходимо рассмотреть sftp, с openssh-сервером, вместо этого. Существуют способы защитить FTP, например, туннелирование его по SSH или SSL. Однако SFTP был первоначально разработан с учетом требований безопасности.
Таким образом, кажется, что разрешения по умолчанию для домашних каталогов пользователей в Ubuntu 12.04 - 700. Nginx должен иметь разрешение на чтение файлов, которые должны обслуживаться И иметь разрешение на выполнение в каждом из родительских каталогов на пути от корня до обслуживаемых файлов.
Вы можете предоставить своему пользовательскому каталогу эти разрешения, запустив
chmod 701 user_home
Вы также можете использовать 755, который является настройкой разрешений по умолчанию для домашний каталог во многих системах.
Каталоги / файлы в вашем корневом веб-каталоге могут принадлежать пользователю www-data или вашему обычному личному пользователю, если пользователь / группа, от имени которой работает nginx (как определено в nginx.conf), имеет разрешение READ для всех файлов для быть обслуживаемым и выполнять разрешение для всех корневых веб-каталогов.
Я просто установил, что все каталоги в моем корневом веб-каталоге принадлежат моей учетной записи пользователя и имеют разрешения 755, и я установил все файлы, которые будут обслуживаться из корневого веб-каталога, чтобы иметь разрешения 664 поскольку на моей машине это были значения по умолчанию.
Ex. drwxr-x--x becomes 751.
Игнорируйте первый символ (d для каталога, - для файла и т. д.). Оставшиеся 9 символов образуют двоичный триплет, где любой символ без тире равен 1, а тире - 0.
So drwxr-x--x becomes rwxr-x--x
becomes 111 101 001
which is converted to a decimal 751
Мне нужно было напомнить об этом, когда я имел дело с разрешениями.
conf) имеет разрешение READ для всех обслуживаемых файлов и разрешение на выполнение для всех корневых веб-каталогов.Я просто установил, что все каталоги в моем корневом веб-каталоге принадлежат моей учетной записи пользователя и имеют разрешения 755, и я установил все файлы как обслуживается из корневого веб-сайта, чтобы иметь разрешения 664, поскольку они были значениями по умолчанию на моей машине.
Ex. drwxr-x--x becomes 751.
Игнорируйте первый символ (d для каталога, - для файла и т. д.). Оставшиеся 9 символов образуют двоичный триплет, где любой символ без тире равен 1, а тире - 0.
So drwxr-x--x becomes rwxr-x--x
becomes 111 101 001
which is converted to a decimal 751
Мне нужно было напомнить об этом, когда я имел дело с разрешениями.
conf) имеет разрешение READ для всех обслуживаемых файлов и разрешение на выполнение для всех корневых веб-каталогов.Я просто установил, что все каталоги в моем корневом веб-каталоге принадлежат моей учетной записи пользователя и имеют разрешения 755, и я установил все файлы как обслуживается из корневого веб-сайта, чтобы иметь разрешения 664, поскольку они были значениями по умолчанию на моем компьютере.
Ex. drwxr-x--x becomes 751.
Игнорируйте первый символ (d для каталога, - для файла и т. д.). Оставшиеся 9 символов образуют двоичный триплет, где любой символ без тире равен 1, а тире - 0.
So drwxr-x--x becomes rwxr-x--x
becomes 111 101 001
which is converted to a decimal 751
Мне нужно было напомнить об этом, когда я имел дело с разрешениями.
Я просто установил, что все каталоги в моем корневом веб-каталоге принадлежат моей учетной записи и имею разрешения 755, и я установил для всех файлов, которые будут обслуживаться из корневого веб-сайта, разрешения 664, поскольку они были значениями по умолчанию на моей машине.
Ex. drwxr-x--x becomes 751.
Игнорируйте первый символ (d для каталога, - для файла и т. Д.). Оставшиеся 9 символов образуют двоичный триплет, где любой символ без тире равен 1, а тире - 0.
So drwxr-x--x becomes rwxr-x--x
becomes 111 101 001
which is converted to a decimal 751
Мне нужно было напомнить об этом, когда я имел дело с разрешениями.
Я просто установил, что все каталоги в моем корневом веб-каталоге принадлежат моей учетной записи и имею разрешения 755, и я установил для всех файлов, которые будут обслуживаться из корневого веб-сайта, разрешения 664, поскольку они были значениями по умолчанию на моей машине. ] Примечание по преобразованию номеров разрешений в строку Rep.
Ex. drwxr-x--x becomes 751.
Игнорируйте первый символ (d для каталога, - для файла и т. Д.). Оставшиеся 9 символов образуют двоичный триплет, где любой символ без тире равен 1, а тире - 0.
So drwxr-x--x becomes rwxr-x--x
becomes 111 101 001
which is converted to a decimal 751
Мне нужно было напомнить об этом, когда я имел дело с разрешениями.