vsftp: por que allow_writeable_chroot = YES é uma má ideia?

Se as credenciais de FTP de um usuário (até mesmo um usuário virtual) com chroot gravável forem comprometidas, o invasor poderá conseguir executar um ATAQUE DE ANIMAÇÕES RESTANTES . Para resumir minha compreensão aproximada desse ataque, ele envolve explorar o fato de que algumas bibliotecas C (talvez incluindo aquelas usadas pelo servidor FTP) procurarão por bibliotecas dinâmicas das quais dependem em caminhos codificados em /etc ou outros locais comuns. . O atacante carrega versões ruins dessas bibliotecas para o /etc dentro do chroot , em seguida envia um comando para o servidor FTP (em execução como root) que o induz a executar algum código que carrega nessa biblioteca dinâmica de /etc . O código maligno do atacante é executado como root. Isso aumenta o ataque de um simples comprometimento da pasta FTP do usuário para fazer o root de toda a máquina.

Ter um chroot não gravável torna esse ataque impossível (a menos que você, o administrador do sistema, tenha criado pastas graváveis com nomes como /etc e /lib nos diretórios chroot dos usuários de FTP).

A principal preocupação é que isso torna os arquivos de ponto graváveis. Dependendo do seu shell, a maneira como o login é configurado, se o $ HOME / .ssh é usado, quais outros serviços estão sendo executados e algumas outras coisas, isso fornece muito mais superfície de ataque para abuso, principalmente através da manipulação de variáveis de ambiente do usuário. Não há um guia completo sobre o que e porque, porque isso exigiria conhecer os ataques antes que eles aconteçam.

Para encurtar a história, para facilitar o uso, a maioria das distribuições faz referência a um diretório pessoal de um usuário ou outro e torná-lo gravável significa que essas referências poderiam ser manipuladas.