Prosíme přihlašte se nebo zaregistrujte.

Přihlašte se svým uživatelským jménem a heslem.
World of Warcraft

Novinky: Děkujeme všem návštěvníkům fóra, kteří ochotně radí ostatním. Vaše práce je velmi potřebná a vážíme si jí.

Autor Téma: VSFTPD procházení adresářů  (Přečteno 2432 krát)

urgo272

  • Člen
  • **
  • Příspěvků: 111
  • Karma: +3/-0
    • Zobrazit profil
VSFTPD procházení adresářů
« kdy: 02 Červenec 2015, 20:21:21 »
Ahoj, dnes jsem objevil docela zásadní problém na mém serveru. Používám server jako FTP. Dnes jsem si zkusil náhodně přejít o úroveň výše a zjsitil jsem že si můžu na serveru procházet všechny adresáře ne jenom /var/www/web... Můžete prosím poradit jak uživatelům ftp zakázat prohlížení jiných adresářů než jejich home adresáře ?

Díky moc předem

ntz_reloaded

  • Lokaj
  • Moderátor
  • Závislák
  • *****
  • Příspěvků: 3725
  • Karma: +363/-65535
  • skill :: ur home erly
    • Zobrazit profil
Re:VSFTPD procházení adresářů
« Odpověď #1 kdy: 02 Červenec 2015, 20:37:02 »
no, to asi muselo byt nepekne a prekvapive zjisteni :D

prosim precti si manualovou stranku pro vsftpd.conf a venuj pozornost vsemu, co pojednava o "chroot" ;) .. dale si nastav pro sve uzivatele defaultni umasku 0077 (viz man umask) atd ... samozrejme muzes primountovat /proc s hidepid=2,gid=N (kde N je gid polkitd) atd ...
tikejte mi, taky Vam tikam ...
song of the day - openSUSE, openindiana, DuckDuckGo
The noise ain't noise anymore, who's to blame, WHO'S TO BLAME ??

urgo272

  • Člen
  • **
  • Příspěvků: 111
  • Karma: +3/-0
    • Zobrazit profil
Re:VSFTPD procházení adresářů
« Odpověď #2 kdy: 02 Červenec 2015, 21:00:49 »
Ahoj, děkuju moc za odpověď. Jo malem jsem se rozbrečel  :-\ Jsem blb že jsem to ani nevyzkoušel, ale já jel podle tohodle návodu https://wiki.debian.org/vsftpd#User_access_control a měl jsem za to že tim chrootem jak je v návodu pořešim všechno, proto jsem ani nezkoušel jít o úroveň výše, ani by mě to nenapadlo že by to mohlo jít...

urgo272

  • Člen
  • **
  • Příspěvků: 111
  • Karma: +3/-0
    • Zobrazit profil
Re:VSFTPD procházení adresářů
« Odpověď #3 kdy: 02 Červenec 2015, 21:29:31 »
Tak jsem našel tohle http://unix.stackexchange.com/questions/94603/limit-ftp-access-only-to-the-var-www-with-vsftpd
Bohužel ani po tom co jsem odkomentoval řádek
Kód: [Vybrat]
chroot_local_user=YES a přiradil home directory pro uživatele, stejně se dostanu mimo jeho home directory :-(
usermod --home /var/www/ username
I tak si v klidu brouzdam v /etc/....

urgo272

  • Člen
  • **
  • Příspěvků: 111
  • Karma: +3/-0
    • Zobrazit profil
Re:VSFTPD procházení adresářů
« Odpověď #4 kdy: 02 Červenec 2015, 22:50:06 »
Tak jsem asi objevil příčinu proč to nejde :-(

Hi!

The term SFTP is a little bit confusing since it doesn't have anything to do with FTP. Instead, SFTP is a file transfer protocol on top of SSH and this is the problem here. By using the "sftp" program, you are *not* connecting to vsFTPd, but to the OpenSSH server, which does not have any chroot limits.

So if you really want to use SFTP, you have to set up something like "rssh" or "libpam-chroot", which is not trivial though. But your vsFTPd server supports FTP over SSL (FTPS), which should already work the way you want it to. So it might be easier to disable SFTP in /etc/ssh/sshd_config (comment out "Subsystem sftp ...") and use FTPS instead. You can test that with the "lftp" or "ftp-ssl" packages from the command line, or with the graphical "filezilla". Unfortunately, Nautilus doesn't seem to support FTPS.

Petr Merlin Vaněček

  • Moderátor
  • Závislák
  • *****
  • Příspěvků: 4952
  • Karma: +349/-11
    • Zobrazit profil
    • Lomítkáři
Re:VSFTPD procházení adresářů
« Odpověď #5 kdy: 02 Červenec 2015, 23:05:28 »
Aha, takže ne FTP/FTPS, ale SFTP, to je trochu rozdíl no :)

https://wiki.archlinux.org/index.php/SFTP_chroot
Registered Linux user #421281
Stiskni CTRL + W ...
80% mozku tvoří kapalina ... u některých brzdová

urgo272

  • Člen
  • **
  • Příspěvků: 111
  • Karma: +3/-0
    • Zobrazit profil
Re:VSFTPD procházení adresářů
« Odpověď #6 kdy: 03 Červenec 2015, 10:30:29 »
Hm, nějak se mi to nedaří nastavit a popravdě nejsem si v tom linuxu zas tak jistej :-(, když zkoušim si přepsat pro debian hází mi to chyby. Nechci mít totální bordel v systému. Asi zkusim pohledat jinou možnost než SFTP, můžete poradit, nějakou bezpečnou alternativu, pro provoz web serveru s FTP ?

Díky moc

urgo272

  • Člen
  • **
  • Příspěvků: 111
  • Karma: +3/-0
    • Zobrazit profil
Re:VSFTPD procházení adresářů
« Odpověď #7 kdy: 03 Červenec 2015, 10:48:32 »
 ;D ;D ;D dyt tady je přesně návod pro SFTP :-D Já si toho nevšimnul

http://forum.ubuntu.cz/index.php?topic=56701.0

urgo272

  • Člen
  • **
  • Příspěvků: 111
  • Karma: +3/-0
    • Zobrazit profil
Re:VSFTPD procházení adresářů
« Odpověď #8 kdy: 04 Červenec 2015, 15:51:16 »
Takže jsem to všechno nastavil podle tohodle návodu a stejně se nepřihlásim



V /etc/ssh/sshd_config zakomentujeme řádek: Subsystem sftp /usr/lib/openssh/sftp-server
a nahradíme řádkem: Subsystem sftp internal-sftp

Nakonec konfigu přidáme ještě pravidlo pro odchyt skupiny sftp a její chrootnutní do domovského adresáře:
Kód: [Vybrat]
Match group sftp
X11Forwarding no
ChrootDirectory %h
AllowTcpForwarding no
ForceCommand internal-sftp

Pro uživatele, které chceme chrootovat si vytvoříme skupinu sftp
Kód: [Vybrat]
sudo addgroup sftp

Teď tedy koupíme doménu google.cz a budeme jí chtít nabídnout externímu webmasterovi ke správě.
/var/www/google.cz/ bude domovský adresář pro uživatele google a je potřeba podstoupi nějakou rutinu.
Kód: [Vybrat]
sudo mkdir /var/www/google.cz
sudo useradd -d /var/www/google.cz google
sudo passwd google
sudo usermod -s /bin/false google
sudo usermod -g sftp google
chown root:root /var/www/google.cz
chown google:sftp -R /var/www/google.cz

Když se chci přihlásit vykopne me to a v logu je tohle

fatal bad ownership or modes for chroot directory

Prosím nevíte někde kde by ještě mohla bejt chyba ?

ntz_reloaded

  • Lokaj
  • Moderátor
  • Závislák
  • *****
  • Příspěvků: 3725
  • Karma: +363/-65535
  • skill :: ur home erly
    • Zobrazit profil
Re:VSFTPD procházení adresářů
« Odpověď #9 kdy: 04 Červenec 2015, 16:14:51 »
Rika ti ze v pravech te slozky
tikejte mi, taky Vam tikam ...
song of the day - openSUSE, openindiana, DuckDuckGo
The noise ain't noise anymore, who's to blame, WHO'S TO BLAME ??

urgo272

  • Člen
  • **
  • Příspěvků: 111
  • Karma: +3/-0
    • Zobrazit profil
Re:VSFTPD procházení adresářů
« Odpověď #10 kdy: 04 Červenec 2015, 17:45:14 »
ale i když se přihlásim jako google uživatel tak prostě se nepřipojim práva jsou 755...

sudo usermod -g sftp google
chown root:root /var/www/google.cz
chown google:sftp -R /var/www/google.cz