Re: lug-bg: proftpd limitirane na users

[Vesselin Kolev <vlk@xxxxxxxxxxxxxxxxx>]

Vasil Kolev wrote:

> Блаааааааа.
>
> Бих предпочел няколко пъти mount --bind пред каквото и да било друго
> куцо решение, което важи само за ftp демона, и чиито код трябва да
> прегледам няколко пъти, преди да му вярвам. Определено на автора на
> patch-а трябва да се обясни, че това е гадна, безсмилена и опасна
> кръпка...
>  
И е така и не е така:) Нека да обясня.

Самата възможност за следване на symlink извън chroot се прилага или 
глобално или локално на ниво директория в конфигурацията на ProFTPD. 
Първо малко интродукция.
Целта на модулът mod_vroot не е просто да поставя в chroot даден дъщерен 
процес (каквито са сесиите за потребителите), а да изпълнява всички 
процеси на ProFTPD без права на root. Разбира се, това води до някои 
неудобства, като например невъзможността да се иницират активни FTP сесии.
Следването на symlink по правило е изключено (!) и е нужно изрично 
редактиращият файла proftpd.conf да укаже тази възможност. Тя може да се 
укаже в два контекста: глобален и локален. Когато се използва в 
контекста на глобално разрешаване, това значи, че винаги ще се следват 
symlink-ове извън chroot директорията. В този вариант се препоръчва при 
решения от рода на анонимен файлов сървър, при който няма сесии за 
потребители, а всички сесии се пускат с правата на потребител ftp или 
друг подобен, направен специално за целта.
Използването на следването на symlink в контекста на локално задаване на 
тази възможност е на ниво структура <Directory></Directory>. Ако се е 
бил направен symlink например за /etc и потребителят има $HOME/etc, то 
ако е използвана дефиницията DefaultRoot няма никаква опасност това да 
са следва symlink-а в /etc. Дори изобщо няма да се активира процедурата 
за проследяване на линка. При мен по принцип потребителите нямат валиден 
команден интерпретатор и са винаги в chroot от гледна точка на login 
процесите. Именно за това, те имат в своите директории аналози на etc/ 
lib/ usr/ и home/.
Така, че нещата не са чак толкова грозни:)

 Поздрави
    Весо



============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================