Como confinar usuários de FTP em um diretório raiz com segurança

1

Eu preciso fornecer logins FTP de vários usuários, alguns capazes de escrever, alguns apenas para ler, em um único diretório raiz FTP. Eu quero muito restringir o acesso para que eles não possam ver o sistema de arquivos acima desse diretório. Após a pesquisa, defini a opção user_local config como o diretório raiz e confinei os usuários a esse diretório usando a opção chroot_local_users ou chroot jail. Isso basicamente funciona.

Ao ler, estou descobrindo que usar o chroot jail neste contexto de segurança pode ser problemático:

Chroot jail is not secure because it only "modifies pathname lookups for a process and its children so that any reference to a path starting '/' will effectively have the new root, which is passed as the single argument, prepended onto the path" but "the current working directory is left unchanged and relative paths can still refer to files outside of the new root."

fonte link

Agora, esse problema parece ser um problema apenas se o cwd estiver acima da raiz do FTP que atribuí aos usuários do FTP por meio do parâmetro de configuração Local_Root do vsftpd. Qual seria o CWD para o daemon FTP? É esse que eu designei para Local_Root ? Estou certo em que chroot não é um problema, então, no meu caso de uso?

Além disso, acho que existem soluções melhores, embora difíceis de implementar, por exemplo, que, embora, para citar o desenvolvedor de kernel do Linux Alan Cox, "o chroot não seja e nunca tenha sido uma ferramenta de segurança. As pessoas construíram coisas com base nas propriedades do chroot, mas estendidas (cadeias BSD, Linux vserver), mas elas são bem diferentes. Você provavelmente poderia escrever um módulo LSM para fazer isso também. "

Este método, que endurece o conceito de prisão, uma abordagem profissional padrão, ou faz administradores competentes do Linux simplesmente usa o chroot jail? Ou alguma outra coisa, inteiramente?

Essa pergunta foi feita em toda a Internet, mas não encontrei nada que forneça mais do que o que incluí nesta pergunta. Assim, encontramos sites de downloads FTP hospedados pelos melhores dos melhores, das várias distribuições Linux aos próprios mantenedores do kernel. Como o confinamento dos usuários de FTP é feito de forma segura?

    
por naftalimich 22.05.2013 / 17:00

0 respostas