VSFTPD procházení adresářů

[urgo272]

Ahoj, dnes jsem objevil docela zásadní problém na mém serveru. Používám server jako FTP. Dnes jsem si zkusil náhodně přejít o úroveň výše a zjsitil jsem že si můžu na serveru procházet všechny adresáře ne jenom /var/www/web... Můžete prosím poradit jak uživatelům ftp zakázat prohlížení jiných adresářů než jejich home adresáře ?

Díky moc předem

[ntz_reloaded]

no, to asi muselo byt nepekne a prekvapive zjisteni

prosim precti si manualovou stranku pro vsftpd.conf a venuj pozornost vsemu, co pojednava o "chroot" .. dale si nastav pro sve uzivatele defaultni umasku 0077 (viz man umask) atd ... samozrejme muzes primountovat /proc s hidepid=2,gid=N (kde N je gid polkitd) atd ...

[urgo272]

Ahoj, děkuju moc za odpověď. Jo malem jsem se rozbrečel  Jsem blb že jsem to ani nevyzkoušel, ale já jel podle tohodle návodu https://wiki.debian.org/vsftpd#User_access_control a měl jsem za to že tim chrootem jak je v návodu pořešim všechno, proto jsem ani nezkoušel jít o úroveň výše, ani by mě to nenapadlo že by to mohlo jít...

[urgo272]

Tak jsem našel tohle http://unix.stackexchange.com/questions/94603/limit-ftp-access-only-to-the-var-www-with-vsftpd
Bohužel ani po tom co jsem odkomentoval řádek

Kód: [Vybrat]

chroot_local_user=YES a přiradil home directory pro uživatele, stejně se dostanu mimo jeho home directory :-(
usermod --home /var/www/ username
I tak si v klidu brouzdam v /etc/....

[urgo272]

Tak jsem asi objevil příčinu proč to nejde :-(

Hi!

The term SFTP is a little bit confusing since it doesn't have anything to do with FTP. Instead, SFTP is a file transfer protocol on top of SSH and this is the problem here. By using the "sftp" program, you are *not* connecting to vsFTPd, but to the OpenSSH server, which does not have any chroot limits.

So if you really want to use SFTP, you have to set up something like "rssh" or "libpam-chroot", which is not trivial though. But your vsFTPd server supports FTP over SSL (FTPS), which should already work the way you want it to. So it might be easier to disable SFTP in /etc/ssh/sshd_config (comment out "Subsystem sftp ...") and use FTPS instead. You can test that with the "lftp" or "ftp-ssl" packages from the command line, or with the graphical "filezilla". Unfortunately, Nautilus doesn't seem to support FTPS.

[Petr Merlin Vaněček]

Aha, takže ne FTP/FTPS, ale SFTP, to je trochu rozdíl no

https://wiki.archlinux.org/index.php/SFTP_chroot

[urgo272]

Hm, nějak se mi to nedaří nastavit a popravdě nejsem si v tom linuxu zas tak jistej :-(, když zkoušim si přepsat pro debian hází mi to chyby. Nechci mít totální bordel v systému. Asi zkusim pohledat jinou možnost než SFTP, můžete poradit, nějakou bezpečnou alternativu, pro provoz web serveru s FTP ?

Díky moc

[urgo272]

  dyt tady je přesně návod pro SFTP :-D Já si toho nevšimnul

http://forum.ubuntu.cz/index.php?topic=56701.0

[urgo272]

Takže jsem to všechno nastavil podle tohodle návodu a stejně se nepřihlásim



V /etc/ssh/sshd_config zakomentujeme řádek: Subsystem sftp /usr/lib/openssh/sftp-server
a nahradíme řádkem: Subsystem sftp internal-sftp

Nakonec konfigu přidáme ještě pravidlo pro odchyt skupiny sftp a její chrootnutní do domovského adresáře:
Kód: [Vybrat]
Match group sftp
X11Forwarding no
ChrootDirectory %h
AllowTcpForwarding no
ForceCommand internal-sftp

Pro uživatele, které chceme chrootovat si vytvoříme skupinu sftp
Kód: [Vybrat]
sudo addgroup sftp

Teď tedy koupíme doménu google.cz a budeme jí chtít nabídnout externímu webmasterovi ke správě.
/var/www/google.cz/ bude domovský adresář pro uživatele google a je potřeba podstoupi nějakou rutinu.
Kód: [Vybrat]
sudo mkdir /var/www/google.cz
sudo useradd -d /var/www/google.cz google
sudo passwd google
sudo usermod -s /bin/false google
sudo usermod -g sftp google
chown root:root /var/www/google.cz
chown google:sftp -R /var/www/google.cz

Když se chci přihlásit vykopne me to a v logu je tohle

fatal bad ownership or modes for chroot directory

Prosím nevíte někde kde by ještě mohla bejt chyba ?

[ntz_reloaded]

Rika ti ze v pravech te slozky

[urgo272]

ale i když se přihlásim jako google uživatel tak prostě se nepřipojim práva jsou 755...

sudo usermod -g sftp google
chown root:root /var/www/google.cz
chown google:sftp -R /var/www/google.cz