Q&ACentOS7でvsftpdでftpサーバの設定をしていますが、上の階層にアクセス
できなくするようにvsftpd.confの変更を行なっています。
行102,102にある下記の部分のコメントアウトを外して、
chroot_local_user=YES #接続時のディレクトリをユーザのルートディレクトリにする chroot_list_enable=YES #ログインディレクトリより上の階層へのアクセスを拒否
行104もコメントアウトを外して
chroot_list_file=/etc/vsftpd/chroot_list
空のファイル/etc/vsftpd/chroot_listを作成すれば、
どのユーザも上の階層にはアクセスできなくなる、とあちこち参照して
情報を集めました。
vsftpd.confのコメント部分に"dangerous"とあったので、この方法で設定して
よいものか不安になりました。
ユーザに対して上位のディレクトリのアクセス権を与なければこの
コメントの通りになるのですが、
そもそも、chroot_local_userとchroot_list_enableの設定を
する意味が分からなくなりました。
たしかに、/home/hoge で一つ上に移動できて、そこで/homeの下は
見られないようにはしたいのですが、"dangerous"と書かれていると
ここを変更するのが心配になりました。
質問 chroot_local_userとchroot_list_enableの部分をコメントアウト
のままにしておくと、どのような問題が起きるのでしょうか。
下記のコメント部分で
dangerous If using chroot (危険 もしchrootを使うなら)、とあるのですが、
使いたくて使おうとしているのではなく、
危険を無くそうとしているのに、その部分を触ろうとすると、
あぶないよ、と言われて混乱しています
You may specify an explicit list of local users to chroot() to their home
directory. If chroot_local_user is YES, then this list becomes a list of
users to NOT chroot().
(Warning! chroot'ing can be very dangerous. If using chroot, make sure that
the user does not have write access to the top level directory within the
chroot)
回答2件
0
自己解決
chroot_local_user YESにすると、全てのローカルユーザのログインをchrootした環境で処理する
自分のホームディレクトリ以外のデータを参照できなくなる
すべてのユーザが対象となると不便な時はchroot_list_enableを使用する
chroot_list_enable
chroot_local_user YES のとき
YESとすると、chrot_listに指定されたユーザ 以外 をchrootした環境で処理
chroot_local_user NO のとき
YESとすると、chrot_listに指定されたユーザ だけ をchrootした環境で処理
【まとめ】
例外を設けないで良いのであれば
chroot_list_enable , chroot_local_user どちらもYES
空のchrot_listファイルを作成する
投稿2020/01/27 02:59
総合スコア189
0
(Warning! chroot'ing can be very dangerous. If using chroot, make sure that
the user does not have write access to the top level directory within the
chroot)
と、書いてありますよね。
訳:
chrootは危険かも知れません。もしchrootを使うなら、ユーザーがchroot内のトップレベルディレクトリに書き込み権限を持っていないことを確認してください。
例えば、chroot後の/bin/lsに書き込めると、ftpコマンドのlsやdirで、その書き込んだ任意のコマンドを実行できます。
投稿2020/01/24 08:12
編集2020/01/24 08:15
総合スコア86208
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。