Chroot werkt alleen maar voor ftp klopt dit - Linux en overige clients

vrijdag 19 december 2003 14:31

Acties:

Verwijderd

Topicstarter

Ik ben nu een tijdje aan het spelen met linux en het is me nu gelukt om de webserver en ftp-server werkende te krijgen. Maar nu zag ik dat je wel over de hele harddisk kunt dwalen.

daarom heb ik bij de user het volgende ingesteld:

/home/test/./
/bin/bash

Nu klopt het dat je bij de ftp de home directory als root wordt aanzien. Maar is het ook zo te maken dat je ook als user ingelogd op het linux systeem alleen nog maar in je home folder kan komen. ook worden er bij het benader van de ftp folder bestanden met als begin een . weergeven die ik niet zie als ik gewoon naar die folder toe ga. Ik neem aan dat dit verborgen bestanden zijn maar is de ftp-server zo te configureren dat deze ook niet worden weergegeven

Ik gebruik REDHAT 9.0
Apache 2.0
Pureftp

Ik hoop dat het niet te domen vragen zijn maar ben eigenlijk een echte windows gebruiker vandaar

vrijdag 19 december 2003 15:44

Acties:

JaQ

Ok, uit de manual vanaf www.pureftpd.org

- '-a <gid>': Authenticated users will be granted access to their home
directory and nothing else (chroot) . This is especially useful for users
without shell access, for instance, WWW-hosting services shared by several
customers. Only member of group number <gid> will have unrestricted access
to the whole filesystem. So add a "staff", "admin" or "ftpadmin" group and
put your trusted users in. <gid> is a NUMERIC group number, not a group name.
This feature is mainly designed for system users, not for virtual ones.

- '-A': chroot() everyone, but root.

- '-x': In normal operation mode, authenticated users can read/write files
beginning with a dot ('.') . Anonymous users can't, for security reasons
(like changing banners or a forgotten .rhosts) . When '-x' is used,
authenticated users can download dot-files, but not overwrite/create them,
even if they own them. That way, you can prevent hosted users from messing
.qmail files. If you want to give user access to a special dot-file, create a
symbolic link to the dot-file with a file name that has no dot in it and the
client will be able to retrieve the file through that link.

- '-X': This flag is identical to the previous one (writing dot-files is
prohibited), but in addition, users can't even *read* files and directories
beginning with a dot (like "cd .ssh") .

Eerste les in linux: lees.. lees meer.. lees nog heel veel meer

Ow.. wacht ff... als je ftp users ook shell toegang geeft (zou ik niet doen trouwens), dan moet je de ssh manual lezen, niet de pureftpd manual. Ook is het handig om pureftpd te laten authenticeren tegen bijvoorbeeld mysql (of een andere database).

[ Voor 14% gewijzigd door JaQ op 19-12-2003 15:48 ]

Egoist: A person of low taste, more interested in themselves than in me

vrijdag 19 december 2003 18:29

Acties:

Verwijderd

Topicstarter

Thankx

De les lezen dus maar.

vrijdag 19 december 2003 18:59

Acties:

Ryceck

Constants and Variables

Om te voorkomen dat je ftp-users shell access krijgen kan je in je /etc/passwd file de sheel (waar probably /bin/bash staat) veranderen in /bin/false, mogen ze niet meer inloggen met ssh

If everything is working perfect, break something before someone else fucks up.

zaterdag 20 december 2003 13:21

Acties:

Verwijderd

Ryceck schreef op 19 december 2003 @ 18:59:
Om te voorkomen dat je ftp-users shell access krijgen kan je in je /etc/passwd file de sheel (waar probably /bin/bash staat) veranderen in /bin/false, mogen ze niet meer inloggen met ssh

Of nog handiger (vooral op een systeem waarbij je geen ftp-users in je /etc/passwd wilt hebben: gebruik virtual users! Werkt prima met pure-db en zit er nog standaard in