Saya menyiapkan vsftpd pada VPS saya, dan saya tidak ingin pengguna diizinkan meninggalkan direktori home ftp mereka. Saya menggunakan ftp local_user, bukan anonim, jadi saya menambahkan:
chroot_local_user = YA
Saya sudah membaca di banyak posting forum, bahwa ini tidak aman.
- Mengapa ini tidak aman?
- Jika ini tidak aman karena menggunakan ssh untuk bergabung dengan VPS saya juga, maka saya bisa mengunci pengguna ini dari sshd, kan?
- Apakah ada opsi lain untuk mencapai perilaku vsftpd ini? (Saya tidak ingin menghapus izin baca di semua folder / file untuk "dunia" di sistem saya)
vsftpd
memiliki cacat keamanan (à la buffer overflow) ??? Bagaimana menjalankanvsftpd
dengan pengguna chroot ke dir home mereka membuat skenario ini lebih mungkin? Tolong jelaskan ...Masalahnya adalah Anda tidak bisa menggunakan akun lokal dan juga menonaktifkan akun tersebut dari login shell. Jika Anda mengatur shell login mereka ke / bin / nologin, itu tidak akan membiarkan Anda masuk dengan vsftpd.
Daemon FTP yang lebih baik dan lebih aman adalah Pure-ftpd. Lihat itu, tersedia dari repositori EPEL, dan memungkinkan untuk membuat pengguna virtual. Server menggunakan pengguna / grup umum untuk mengatur semua izin untuk folder beranda pengguna dan "memetakan" pengguna virtual ke pengguna tersebut saat masuk untuk menangani izin. Itu lebih aman, dan Anda tidak harus berurusan dengan keamanan login openssh.
Pure-ftpd juga mendukung banyak fitur seperti kuota, rasio, dan semacamnya. Jauh lebih baik daripada vsftpd.
Berikut ini adalah tutorial sederhana tentang cara menginstalnya dan mengonfigurasi pengguna virtual dasar: http://blog.namran.net/2011/05/04/how-to-setup-virtual-ftp-server-using-pure-ftpd- dalam centos /
Jika Anda membaca dokumen lengkap (yang seharusnya) Anda akan tahu bahwa -d beralih saat membuat pengguna virtual adalah auto-chroot ke direktori itu untuk pengguna tersebut.
sumber
AllowUsers user1 user2
arahan di sshd_config saya, di mana saya tidak mengizinkan ftp_user1 untuk login dengan ssh, masih pengguna ftp_user1 dapat login dengan ftp. Jadi ini berfungsi sebagai niat, tapi pertanyaan utama saya tetap terbuka, mengapa tidak aman?