বনফুটপিডি এর ক্রুট_লোকাল_উজার কেন নিরাপদ?

20

আমি আমার ভিপিএসে একটি বনফুটপিডি স্থাপন করছি, এবং আমি চাই না যে ব্যবহারকারীদের এফটিপি হোম ডিরেক্টরি হতে দেওয়া হবে। আমি স্থানীয়_ ব্যবহারকারী এফটিপি ব্যবহার করছি, বেনামে নয়, তাই আমি যুক্ত করেছি:

chroot_local_user = yes

আমি অনেক ফোরাম পোস্টে পড়েছি, এটি অনিরাপদ।

  1. এই অনিরাপদ কেন?
  2. আমার ভিপিএসে যোগ দিতে এসএসএস ব্যবহার করার কারণে যদি এটি অনিশ্চিত হয় তবে আমি এই ব্যবহারকারীদের কেবল এসএসডি থেকে লক আউট করতে পারি, তাই না?
  3. বনফুটপিডি এর এই আচরণটি অর্জন করার জন্য কি অন্য কোনও বিকল্প আছে? (আমি আমার সিস্টেমে "ওয়ার্ল্ড" এর জন্য সমস্ত ফোল্ডার / ফাইলগুলিতে পড়ার অনুমতিগুলি সরাতে চাই না)
linux  centos  ftp  vps  vsftpd 
p1100i
সূত্র

উত্তর:

20

আপনার উত্তরটির সন্ধানের জন্য ভিএসএফটিপিডির FAQ দেখুন । নীচে গুরুত্বপূর্ণ অংশটি আমার মনে হয়েছে যে আপনার প্রশ্নের উত্তর দেবে।

প্রশ্ন) সহায়তা! "Chroot_local_user" বিকল্পে সুরক্ষা সম্পর্কিত কী কী প্রভাব রয়েছে?

ক) প্রথমে নোট করুন যে অন্যান্য এফটিপি ডিমনগুলির একই প্রভাব রয়েছে। এটি একটি জেনেরিক সমস্যা। সমস্যাটি খুব তীব্র নয়, তবে এটি হ'ল: কিছু লোকের এফটিপি ব্যবহারকারীর অ্যাকাউন্ট রয়েছে যা সম্পূর্ণ শেল অ্যাক্সেসের জন্য বিশ্বাসযোগ্য নয়। এই অ্যাকাউন্টগুলি যদি ফাইলগুলিও আপলোড করতে পারে তবে একটি ছোট ঝুঁকি রয়েছে। একজন খারাপ ব্যবহারকারীর এখন ফাইল সিস্টেমের মূলের নিয়ন্ত্রণ রয়েছে, এটি তাদের হোম ডিরেক্টরি। Ftp ডিমন কিছু কনফিগার ফাইল পড়তে পারে - যেমন / ইত্যাদি / কিছু_ফাইলে। ক্রুট () সহ এই ফাইলটি এখন ব্যবহারকারীর নিয়ন্ত্রণে রয়েছে। vsftpd এই ক্ষেত্রে সাবধানতা অবলম্বন করে। তবে, সিস্টেমের লিবিসি লোকেল কনফিগারেশন ফাইল বা অন্যান্য সেটিংস খুলতে চাইবে ...

নিক ইয়ং
সূত্র
তার জন্য ধন্যবাদ, আমি নিজেও সব জানতাম না। কিছু শিখেছি! +1
Yanick Girouard
4
প্রকৃতপক্ষে আমি এফএকিউ পড়ার পরে এখানে এসেছি কারণ আমি এই উদ্বেগজনক বক্তব্যটি বুঝতে পারি না: "ftp ডিমন কিছু কনফিগার ফাইল পড়তে পারে - যেমন / ইত্যাদি / কিছু_ফাইল ile ক্রুট () সহ, এই ফাইলটি এখন নিয়ন্ত্রণের মধ্যে রয়েছে ব্যবহারকারী.". সম্ভবত এটির ক্ষেত্রে তখনই যদি vsftpdসুরক্ষা ত্রুটি থাকে (à লা বাফার ওভারফ্লো) ??? কীভাবে vsftpdব্যবহারকারীদের সাথে তাদের ঘরের দিরে ছুটে চলা এই দৃশ্যপটটিকে আরও সম্ভবত তৈরি করে? দয়া করে ব্যাখ্যা করুন ...
sxc731
4

সমস্যাটি হ'ল আপনি উভয় স্থানীয় অ্যাকাউন্ট ব্যবহার করতে পারবেন না এবং সেই অ্যাকাউন্টগুলি শেল লগইন থেকে অক্ষম করতে পারবেন না। যদি আপনি তাদের লগইন শেলটিকে / bin / nologin এ সেট করেন তবে এটি আপনাকে vsftpd দিয়ে লগইন করতে দেবে না।

আরও ভাল এবং আরও সুরক্ষিত এফটিপি ডিমন খাঁটি-এফটিপিডি হবে। এটি দেখুন, এটি EPEL সংগ্রহস্থল থেকে পাওয়া যায় এবং এটি ভার্চুয়াল ব্যবহারকারী তৈরি করতে দেয়। অনুমতিগুলির সাথে ডিল করার জন্য লগ ইন করলে ব্যবহারকারীর হোম ফোল্ডারগুলির জন্য সমস্ত অনুমতি সেট করার জন্য সার্ভারটি একটি সাধারণ ব্যবহারকারী / গোষ্ঠী এবং ভার্চুয়াল ব্যবহারকারীদের "মানচিত্র" ব্যবহার করে user এটি আরও সুরক্ষিত এবং আপনার ওপেনশ লগইন সুরক্ষা নিয়ে কাজ করতে হবে না।

খাঁটি- ftpd এছাড়াও কোটা, অনুপাত এবং এই জাতীয় বৈশিষ্ট্যগুলির সম্পূর্ণ প্রচুর সমর্থন করে। Vsftpd থেকে অনেক ভাল।

এটি কীভাবে ইনস্টল করতে হবে এবং একটি বেসিক ভার্চুয়াল ব্যবহারকারীকে কনফিগার করার জন্য একটি সহজ টিউটোরিয়াল এখানে দেওয়া হয়েছে: http://blog.namran.net/2011/05/04/how-to-setup-virtual-ftp-server- using-pure-ftpd- ইন-CentOS /

আপনি যদি পুরো ডকটি পড়েন (যা আপনার হওয়া উচিত) আপনি জানতে পারবেন যে ভার্চুয়াল ব্যবহারকারী তৈরি করার সময় -d স্যুইচটি সেই ব্যবহারকারীর জন্য সেই ডিরেক্টরিতে একটি স্বয়ংক্রিয়-ক্রোট হয়।

ইয়ানিক গিরোয়ার্ড
সূত্র
আমি AllowUsers user1 user2আমার sshd_config এ ডিরেক্টরিটি ব্যবহার করি , যেখানে আমি ftp_user1 কে ssh এর মাধ্যমে লগইন করতে দিই না, তবুও ব্যবহারকারী ftp_user1 ftp দিয়ে লগইন করতে সক্ষম। সুতরাং এটি ইচ্ছাকৃত হিসাবে কাজ করছে, তবে এখনও আমার মূল প্রশ্নটি উন্মুক্ত, কেন এটি অনিরাপদ?
p1100i
4
হ্যা এটা হবে! আপনাকে কেবল / ইত্যাদি / শেলগুলিতে "নন-শেল" যুক্ত করতে হবে। অনেকগুলি সিস্টেমে / বিন / মিথ্যা বা / বিন / নোলগিন / ইত্যাদি / শেলগুলিতে বিদ্যমান। যদি শেলটি থাকে, তবে vsftpd আপনাকে chroot_local_user সক্ষম করেও লগইন করতে দেবে।
ফ্রেডস হ্যানসেন
1
আমি তখন সংশোধন করলাম। এটা ইশারা জন্য ধন্যবাদ!
ইয়ানিক গিরোয়ার্ড
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.