user chrooting in VSFTPD

0

3

Лежат у меня в /var/www сайтики всякие и я хочу понасоздавать юзерей для каждого из них и чтоб они когда по фтп заходили бы, то чтоб чрутились автоматом каждый в папочке своего проекта и выйти оттуда не могли бы. Вот как такое грамотно замутить?

Я понасоздал юзверей, указав им домашней папкой папку с проектом и выставил в /etc/vsftpd.conf chroot_local_user=YES

Однако тут же(через пару часиков гуглений) выяснилось что чрутить можно только в папку с read only. Между тем мои юзеры должны иметь возможность невозбранно писать везде по своему сайтику. Таким образом мне пришлось сделать вложенную папку и вместо /var/www/site1 у меня теперь сам сайтик лежит в /var/www/site1/www/, а юзер же чрутится в /var/www/site1 которому я сделал chmod a-w И так оно заработало но я не обрел счястья ибо вижу несколько недостатоков такого метода.

1. Во первых необходимость этой вложенной папки не гуд.

2. Во вторых - что делать если мне нужно двух разных пользователей иметь для одного сайтика и чрутить их туда же, я же не смогу создать двух юзеров с одной home dir.

Ссылка

←	Debian Oracle Сlient

Очистка диска в рейде на RedHat 4.1.2-46

→

Подписался на комменты. Реально, vsftpd стало неюзабельным с этой новой фишкой.

Bers666 ★★★★★
(30.07.12 02:20:29 MSK)

Ссылка

1. Как раз твоя изначальная структура каталогов неудобна и нерасширяема: попробуй добавить вебморду или дай юзеру шелл-доступ и обрадуйся хистори в корне сайта.

2. Для этого используются виртуальные пользователи, аутентификация делается через pam. как-то так

Q) Help! I'm getting the error message «refusing to run with writable root».
A) vsftpd is protecting against dangerous configurations. The cause of this message is usually dodgy ownership of the ftp home directory. The home directory should NOT be owned by the ftp user itself. Neither should it be writable by the ftp user. A way to fix this is: chown root ~ftp; chmod -w ~ftp Another cause might be an attempt to use chroot_local_user without setting up the directory ownership properly.

ЕМНИП, это была идея SolarDesigner'а

leave ★★★★★
(30.07.12 12:33:44 MSK)

Ссылка

Ничего плохого не вижу. У меня именно так, плюс кроме www root ещё добавлен каталог с логами сайта. При необходимости, можно добавить ещё всякие полезные подкаталоги, которым совсем не нужна видимость в www-дереве сайта.

~~berrywizard~~ ★★★★★
(30.07.12 13:22:23 MSK)

Ссылка

хм, странно, а я у себя настраивал как раз недели 3 назад, и читают и пишут всё без проблем :) Завтра посмотрю конфиг.
А вообще, плохая идея давать ftp доступ, т.к. как показала практика, пароли на ftp очень часто воруют у виндовых пользователей всякие левые сборки тотал коммандеров и прочая фигня. Я только на тестовом серваке ftp дал, на продакшене везде только ssh по ключам + несколько дней на обучение девелоперов пользоваться WinSCP.

Prius ★
(30.07.12 22:49:30 MSK)

Ответ на: комментарий от Prius 30.07.12 22:49:30 MSK

А. Извиняюсь, не дочитал, у меня как раз с вложенной директорией система.
И всё ровно так, как описал berrywizard, там есть директория в httpdocs с сайтиком, директория logs, где девелопер может посмотреть логи, ну и конфиги апача и нжинкса там же лежат, чтобы девелопер мог править, на тестовом серваке мне не жалко :)

Prius ★
(30.07.12 22:58:23 MSK)

Ссылка

Ответ на: комментарий от Prius 30.07.12 22:49:30 MSK

Какая разница, следующие версии троянов будут красть пароли из Winscp/Wincrt. Только тут еще хуже — мало кто из админов будет заморачиваться отключением шелла для SFTP юзеров.

Bers666 ★★★★★
(31.07.12 03:13:33 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Debian Oracle Сlient

Admin

Очистка диска в рейде на RedHat 4.1.2-46

→

Похожие темы