Eu quero configurar um pequeno servidor FTP para uso pessoal e decidi usar vsftpd para isso. Eu pensei que eu deveria ativar chroot_local_user , então os usuários são chrooted para o seu diretório home no login. Embora todos os usuários não devam ter acesso de leitura fora de seu diretório pessoal, você nunca está a salvo de erros, certo?
Mas man vsftpd.conf diz:
chroot_local_user
If set to YES, local users will be (by default) placed in a chroot() jail in
their home directory after login. Warning: This option has security
implications, especially if the users have upload permission, or shell
access. Only enable if you know what you are doing. Note that these
security implications are not vsftpd specific. They apply to all FTP daemons
which offer to put local users in chroot() jails.
Quais "implicações de segurança" significam? Preciso remover a permissão de gravação de cada usuário em seu diretório inicial? Por que é que? Eu não posso imaginar que seja mais seguro não usar o chroot do que usá-lo ...
Você pode configurar uma cadeia chroot que é quase impossível, mas isso não impedirá que um invasor faça coisas como ganhar acesso à rede local ou enviar spam ou forçar o sistema a entrar em uma rede de bots. Uma cadeia chroot impedirá que eles obtenham acesso root, mas muitos danos podem ser causados por uma conta de usuário padrão. Se o servidor é apenas para uso pessoal que o chroot deve ser mais do que suficiente segurança IMHO.
Tags permissions security chroot ftp vsftpd