Enjaular usaurios ftp en un determinado subdirectoriodistintoalhome
Gain Paolo Mureddu
gmureddu at prodigy.net.mx
Thu Mar 16 09:51:48 UTC 2006
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Gain Paolo Mureddu wrote:
> Por eso, por raíz quise decir el home (o directorio principal) del
> usuario. Te recomiendo que tengas un usuario específico para dichas
> acciones (subir información vía FTP) y a ese usuario le hagas un
> "chroot", en el vsftpd.con hay una opción con la que puedes
> controlar si los usuarios regulares están "enjaulados", esto está
> eterminado según un archivo (en mi caso archivo es
> /etc/vsftpd.chroot_list, pero lo puedes cambiar). Esto lo haces
> cambiando las siguientes líneas:
>
> chroot_list_enable=Yes
>
> y
>
> chroot_list_file=/etc/vsftpd.chroot_list
>
> En esta última línea es donde puedes cambiar el archivo que
> contendrá la lista con los usuarios "encarcelados".
>
> RECOMENDACION: Todos los archivos de configuración de vsftpd déjalo
> únicamente legibles para root (chmod 600 /etc/{vsftpd.*,vsftpd/*
> y chmod 700 vsftpd/) o puedes mover todos los archivos
> concernientes a vsftpd a /etc/vsftpd/ y reflejar dicho cambio en el
> vfstpd.conf.
>
> Suerte!
Encontré un par de errores en mi mensaje... perimero que nada, el
archivo vsftpd.user_list *debe* estar en /etc/, de lo contrario,
cuando trates de entrar al servidor recibirás como respuesta que no se
puede encontrar dicho archivo.
Segundo, que no dejé bien en claro como lo podrías lograr:
1.- Crea el usuario webapps cuyo home sea /usr/local/tomcat/webapps (y
cambia los permisos acorde)
2.- Crea el archivo /etc/vsftpd/vsftpd.chroot_list y simplemente lista
el usuario en el archivo (el archivo debería contener una única línea
que diga "webapps")
3.- En el archivo /etc/vstpd/vstpd.conf habilita el chroot_list y
simplemente apunta el archivo con la lista a /etc/vstpd/vstpd.chroo_list
4.- Reinicia el demonio vsftpd (puede no ser estrictamente necesario,
pero por las dudas...)
5.- Prueba tu configuración.
NOTA: El usuario webapps, puede no tener shell de login
(shell=/sbin/nologin), así evitas un posible hueco de seguridad y
mantienes al usuario donde quieres.
Suerte!
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2.2 (GNU/Linux)
Comment: Using GnuPG with Fedora - http://enigmail.mozdev.org
iD8DBQFEGTUzXM+XOp70dwoRAuLcAJ9qnIgyFGfNpu6oIOeYd21HldeuUACeMnkS
fXyejXnXxIugkmulhhWwOjU=
=2Rl1
-----END PGP SIGNATURE-----
More information about the es-users
mailing list