Intereting Posts
Как установить чашки для использования всех лотков для бумаги на принтере? vte.sh не сохраняет мою директорию gnome-terminal на новой вкладке Почему блок-разделитель (ASCII 31) невидим в выводах терминала? Ограничение гостевого Wi-Fi в Интернет soundblast live on linx mint: фатальный: модуль snd-emu10k1 не найден Как я могу ограничить количество ядер процессора, которые пользователь может использовать в любой момент в Linux? Как открыть скопированный файл по VI установка Oracle 11g r2 на Linux 6.1 Как взять «пароль» как вход в сценарий оболочки? Сценарий RedHat init.d не запускается после службы после остановки Ошибка ServeRAID в syslog, важно ли это? Почему существует ключевое слово bash перед некоторыми heredocs? Запуск AVD и VirtualBox одновременно Использовать IP-адрес локальной машины в правиле iptables? Когда символическая ссылка рассматривается как вещь, на которую она ссылается, и как символическая ссылка?

Отключить операции вне домашней директории пользователя с помощью chroot jail?

Я пытаюсь ограничить пользователя конкретным каталогом gclegal используя chroot jail. Я раскоментировал строку в файле /etc/vsftpd.conf

 chroot_local_user=YES 

Создал нового пользователя под названием kg :

 $ sudo groupadd xenomai $ sudo useradd -d /var/www/html/gclegal -g xenomai kg $ sudo passwd kg 

С помощью этой конфигурации я могу войти в систему через vsftpd с пользователем kg но я также могу вернуться к родительским каталогам и изменить их до /var/www/html .

Как отключить все операции за пределами дома пользователя ( /var/www/html/gclegal )?

Работая с версии 2.2.2 vsftpd , существует два варианта сохранения пользователей в chroot тюрьме:

  • chroot_list_enable

Просто добавьте пользователей в список chroot например ( /etc/vsftpd/chroot_list ), который вы хотите разместить в chroot jail .

  • chroot_local_user

Это поместит всех местных пользователей в тюрьму chroot , однако , если это установлено, chroot_list станет списком пользователей, которые НЕ chroot_list в chroot jail .

Поэтому проверьте, что ваш список не содержит пользователя kg если у вас chroot_local_user=YES .

Очевидно, перезапустите демон vsftpd после внесения изменений в конфигурацию.

Извлечение из человека vsftpd.conf

  chroot_list_enable If activated, you may provide a list of local users who are placed in a chroot() jail in their home directory upon login. The meaning is slightly different if chroot_local_user is set to YES. In this case, the list becomes a list of users which are NOT to be placed in a chroot() jail. By default, the file containing this list is /etc/vsftpd/chroot_list, but you may override this with the chroot_list_file setting. Default: NO chroot_local_user If set to YES, local users will be (by default) placed in a chroot() jail in their home directory after login. Warning: This option has security implications, especially if the users have upload permission, or shell access. Only enable if you know what you are doing. Note that these security implications are not vsftpd specific. They apply to all FTP daemons which offer to put local users in chroot() jails. Default: NO 

Я настроил vsftpd для chroot пользователей, и это настройки /etc/vsftpd.conf , которые я использовал ( Ubuntu 14.04 ):

 listen=YES anonymous_enable=NO local_enable=YES dirmessage_enable=YES use_localtime=YES xferlog_enable=YES connect_from_port_20=YES chroot_local_user=YES chroot_list_enable=YES secure_chroot_dir=/var/run/vsftpd/empty pam_service_name=vsftpd rsa_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem rsa_private_key_file=/etc/ssl/private/ssl-cert-snakeoil.key allow_writeable_chroot=YES и listen=YES anonymous_enable=NO local_enable=YES dirmessage_enable=YES use_localtime=YES xferlog_enable=YES connect_from_port_20=YES chroot_local_user=YES chroot_list_enable=YES secure_chroot_dir=/var/run/vsftpd/empty pam_service_name=vsftpd rsa_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem rsa_private_key_file=/etc/ssl/private/ssl-cert-snakeoil.key allow_writeable_chroot=YES и listen=YES anonymous_enable=NO local_enable=YES dirmessage_enable=YES use_localtime=YES xferlog_enable=YES connect_from_port_20=YES chroot_local_user=YES chroot_list_enable=YES secure_chroot_dir=/var/run/vsftpd/empty pam_service_name=vsftpd rsa_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem rsa_private_key_file=/etc/ssl/private/ssl-cert-snakeoil.key allow_writeable_chroot=YES 

ПРИМЕЧАНИЕ. Убедитесь, что /etc/vsftpd.chroot_list или /etc/vsftpd/chroot_list пусты.


Как только вы его заработаете, если вы хотите отслеживать ftp логины, тогда вы можете установить session_support=YES и затем они должны появиться с использованием last команды:

 username vsftpd:12025 IP address Tue Oct 14 14:05 - 14:10 (00:05) username vsftpd:12011 IP address Tue Oct 14 14:04 - 14:05 (00:00) 

ПРИМЕЧАНИЕ. Поддержка utmp и wtmp предоставляется только с поддержкой PAM.

Я установил selinux для permissive и перезапуска vsftpd.service , что vsftpd.service проблему.