Я просто установил Чистый-FTPd (pure-ftpd-1.0.30-1.el6.x86_64
) на моем сервере CentOS 6.5.
Я использую "виртуальных пользователей", таким образом, пользователи FTP разъединяются от системных учетных записей.
Тем не менее, чистый-ftpd демон самостоятельно работает как корень, и все загруженные файлы являются корневыми.
На руководстве я считал, что все клиенты являются chrooted к своему домашнему dir, но я немного обеспокоен на предмет загруженного файла, являющегося uploaded+owned корнем. Я должен изменить чистых-ftpd пользователей, или я не волнуюсь ни для чего?
Несколько разъяснений:
1) Я пытаюсь сделать оценку безопасности этой конфигурации: если я узнаю, что это значение по умолчанию безопасно, я более, чем рад сохранить его, как это, и не смешивайте с ним
2) Переполнение буфера является одним из аспекта, о котором я волнуюсь
В кратком обзоре документации упоминается возможность запуска «100% без полномочий root», если вы нервничаете, почему бы не изучить это?
Вы ни о чем не волнуетесь, нет никакого способа (о котором я знаю) выполнить код внутри корневой оболочки FTP (если у вас нет удаленного доступа к системе, то есть SSH) .