chroot Jailを使用してユーザーのホームディレクトリ以外の操作を無効にしますか?

tag-icon tag-icon users chroot vsftpd
chroot Jailを使用してユーザーのホームディレクトリ以外の操作を無効にしますか?

gclegal私はchroot Jailを使用してユーザーを特定のディレクトリに制限したいと思います。/etc/vsftpd.confファイルからその行のコメントを解除しました。

chroot_local_user=YES

次の名前の新しいユーザーを作成しましたkg

$ sudo groupadd xenomai
$ sudo useradd -d /var/www/html/gclegal -g xenomai kg
$ sudo passwd kg

この設定では、ユーザーを使用してvsftpdを介してログインできますが、親kgディレクトリに戻って参照してください/var/www/html

/var/www/html/gclegaluser() 家の外のすべての操作を無効にする方法は?

ベストアンサー1

バージョン2.2.2以降、ユーザーを刑務所に閉じ込めるvsftpd2つのオプションがあります。chroot

  • chroot_list_enable

入れたいchrootリストにユーザーを追加するだけです。/etc/vsftpd/chroot_listchroot jail

  • chroot_local_user

chrootこれにより、すべてのローカルユーザーが刑務所に閉じ込められます。しかし、、このオプションを設定すると、chroot_listユーザーのリストになります。欲しくないchroot jail.

kgしたがって、設定した場合は、リストにユーザーが含まれていないことを確認してくださいchroot_local_user=YES

明らかにvsftpd設定を変更した後、デーモンを再起動してください。

man vsftpd.confからの抜粋

   chroot_list_enable
          If activated, you may provide a list of local users who are placed in a chroot() jail  in  their  home  directory  upon  login.  The  meaning  is  slightly  different  if
          chroot_local_user  is set to YES. In this case, the list becomes a list of users which are NOT to be placed in a chroot() jail.  By default, the file containing this list
          is /etc/vsftpd/chroot_list, but you may override this with the chroot_list_file setting.

          Default: NO

   chroot_local_user
          If set to YES, local users will be (by default) placed in a chroot() jail in their home directory after login.  Warning: This option has security implications, especially
          if  the  users  have  upload permission, or shell access. Only enable if you know what you are doing.  Note that these security implications are not vsftpd specific. They
          apply to all FTP daemons which offer to put local users in chroot() jails.

          Default: NO

ユーザー用にvsftpdを設定しましたchroot。以下は/etc/vsftpd.conf私が使用する設定です(Ubuntu 14.04)。

listen=YES
anonymous_enable=NO
local_enable=YES
dirmessage_enable=YES
use_localtime=YES
xferlog_enable=YES
connect_from_port_20=YES
chroot_local_user=YES
chroot_list_enable=YES
secure_chroot_dir=/var/run/vsftpd/empty
pam_service_name=vsftpd
rsa_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
rsa_private_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
allow_writeable_chroot=YES

メモ: 確認/etc/vsftpd.chroot_listまたは/etc/vsftpd/chroot_list空にしてください。

操作が完了したらログインを追跡したい場合は、ftpこれを設定するsession_support=YESと次のようにlast表示されます。

username   vsftpd:12025 IP address     Tue Oct 14 14:05 - 14:10  (00:05)
username   vsftpd:12011 IP address     Tue Oct 14 14:04 - 14:05  (00:00)

注 – utmp および wtmp サポートは、PAM サポートバージョンでのみ使用できます。

おすすめ記事