Вопросы Теги

Что безопасный путь состоит в том, чтобы изолировать пользователей FTP-сервера на Unix?

Согласно этой регистрации формы поддержки Google, необходимо использовать простую аутентификацию.

5
задан 27 April 2010 в 02:39
2 ответа

Корректная практика, которую Вы будете использовать, зависит от программного обеспечения, которое Вы используете.

Если бы Вы знаете всех своих пользователей, то я сказал бы, что использование chroot не является грандиозным предприятием. Если Вы делаете отчеты людям, Вы не делаете, если можно доверять, то Вы не можете хотеть.

Можно хотеть также смотреть на pureftpd, и это - "chroot" опции:

Кроме флага "-a", Чистого-FTPd, имеет другой способ подстроить chroot () правила. Давайте возьмем/etc/passwd запись:

mimi:x:501:100:Mimi:/home/mimi:/bin/zsh

Без любого специального правила mimi сможет войти в систему и получить любой читаемый общественностью файл в файловой системе. Теперь, давайте изменим немного его корневого каталога:

mimi:x:501:100:Mimi:/home/mimi/./:/bin/zsh

И что? Корневой каталог Mimi является все еще теми же и распространенными приложениями, не должен замечать различие. Но Чистый-FTPd понимает "chroot () до/./". Таким образом, когда mimi затем выполняет FTP, входят в систему, только/home/mimi каталог будет достижим, не целая файловая система. Если Вам не нравится"-a" и его доверяемая вещь ценуроза, это - хороший путь к только chroot () некоторые пользователи.

http://download.pureftpd.org/pub/pure-ftpd/doc/README

Конечно, проведите свое исследование относительно проблем безопасности. Не берите anyones слово для него.

Вы не должны использовать chroot для достижения изоляции. Это просто заставляет его выглядеть хорошим для пользователя, и неосведомленное будет думать, что на сервере нет никаких других файлов. Вы могли также использовать полномочия файла помешать пользователям шпионить вокруг. Вы могли также выполнить своего демона ftp в VM и снизить риск далее.

1
ответ дан 3 December 2019 в 02:17
  • 1
    Если я доверяю пользователям, что точка к использованию chroot затем? Если я don' t доверяют пользователям, и они незнакомы, почему я хотел бы перепутать их с корневым каталогом, который показывает много материала, не связанного с их корневым каталогом? –  djs 27 April 2010 в 04:44
  • 2
    Да, точно. Почему Вы хотели бы сделать это? Вы знаете о проблемах безопасности, связанных с chroot в FTP-сервере? Если Вы обеспокоены этим, то Вы, очевидно, очень осторожны. Если Вы настолько осторожны, то мой комментарий применяется. Однако, что еще более важно, you' d нравится находить безопасный путь к chroot. Корректный? I' ll редактируют мой ответ для включения то, к чему я обращался от pureftp. Надежда, которая помогает. –  d-_-b 28 April 2010 в 03:43

Используйте vsftpd, "Вероятно, самый безопасный и самый быстрый FTP-сервер для подобных UNIX систем". Yada Yada Yada, (который я стал прямым от их веб-сайта, которому я также верю, чтобы быть верным.) Я вещью vsftpd является по умолчанию самый безопасный FTP-сервер Unix.... это записано исследователем уязвимости.

http://vsftpd.beasts.org/ Это разработано для использования chroot на основную конфигурацию.

Что имеют общего все эти FTP-сайты?

  1. ftp.redhat.com
  2. ftp.suse.com
  3. ftp.debian.org
  4. ftp.openbsd.org
  5. ftp.freebsd.org
  6. ftp.gnu.org
  7. ftp.gnome.org
  8. ftp.kde.org
  9. ftp.kernel.org
-1
ответ дан 3 December 2019 в 02:17

Теги

Похожие вопросы