Forum Debian Users Gang

Grzeslaw · 2014-10-13 23:29:29

Witam,

Od paru dni próbuje aktywować JAILA w vsftpd na najnowszym świeżym Debianie 7.6 wheezy.
Niestety za cholerę nie mogę uwięzić użytkowników..
Konfiguracja wygląda następująco:

Kod:

# MAIN
anonymous_enable=NO
check_shell=NO
chmod_enable=YES
connect_from_port_20=YES
dirmessage_enable=YES
idle_session_timeout=3600
listen_address=IP_ADDR
listen=YES
local_enable=YES
local_umask=027
user_sub_token=$USER
local_root=/var/www/$USER.pl/
file_open_mode=0640
write_enable=YES
pasv_enable=YES
pasv_min_port=50000
pasv_max_port=50200
pasv_address=IP_ADDR

# SECURITY:
chroot_local_user=YES
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd.chroot # tutaj lokalni userzy ktorzy nie moga sie logowac
passwd_chroot_enable=YES
secure_chroot_dir=/var/run/vsftpd
pam_service_name=vsftpd

# SSL
ssl_enable=YES
force_local_data_ssl=YES
force_local_logins_ssl=YES
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO
ssl_ciphers=HIGH
require_ssl_reuse=NO
rsa_cert_file=/etc/ssl/private/vsftpd.pem

# LOGING
log_ftp_protocol=NO
syslog_enable=NO
xferlog_enable=YES
xferlog_std_format=YES
dual_log_enable=YES
vsftpd_log_file=/var/log/vsftpd.log

No i wszystko fajnie, ftp działa, TLS tez, userzy tez.. Ale cały czas mogą wyjść ze swojego katalogu..
Dodam, ze selinux jest jeszcze nie zainstalowany. Apparmor również. Manuala już chyba na pamięć znam..

Będę bardzo zobowiązany za wypowiedzi i jakiekolwiek rozsądne :)

enether · 2014-10-14 00:01:08

za: man vsftpd.conf

chroot_list_enable
If activated, you may provide a list of local users
who are placed in a chroot() jail in their home
directory upon login. The meaning is slightly dif_
ferent if chroot_local_user is set to YES. In this
case, the list becomes a list of users which are
NOT to be placed in a chroot() jail. By default,
the file containing this list is
/etc/vsftpd.chroot_list, but you may override this
with the chroot_list_file setting.

*wink wink*

BTW: Przed SELinuxem polecam wdrożenie grseca :)

Ostatnio edytowany przez enether (2014-10-14 00:10:58)

Grzeslaw · 2014-10-14 07:49:02

Tak jak pisałem w komentarzu:

Kod:

chroot_local_user=YES  # chrootuj lokalnych userow
chroot_list_enable=YES # aktywuje liste lokalnych userow ktorzy nie moga sie logowac
chroot_list_file=/etc/vsftpd.chroot # tutaj lokalni userzy ktorzy nie moga sie logowac

Wiec wsio wyglada dobrze..

enether · 2014-10-14 21:10:35

Grzeslaw napisał(-a):
Witam,

Od paru dni próbuje aktywować JAILA w vsftpd na najnowszym świeżym Debianie 7.6 wheezy.
Niestety za cholerę nie mogę uwięzić użytkowników..
[...]
Kod:
# SECURITY:
chroot_local_user=YES
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd.chroot # tutaj lokalni userzy ktorzy nie moga sie logowac
No i wszystko fajnie, ftp działa, TLS tez, userzy tez.. Ale cały czas mogą wyjść ze swojego katalogu..

Powiedz nam czy użytkownicy na których testujesz znajdują się w pliku vstfpd.chroot

W aktualnej konfiguracji wygląda to raczej tak, że logować się może każdy użytkownik i każdy z nich zostanie zchrootowany ZA WYJĄTKIEM tych wymienionych w vsftpd.chroot.

Ponieważ jak podaje wklejony przeze mnie fragment man'a w sytuacji w której aktywujesz chroot_list_enable ORAZ chroot_local_users plik vsftpd.chroot definiuje listę userów którzy restrykcjami chroota objęci nie będą.

Jacekalex · 2014-10-14 23:46:40

Może być Pure-ftpd?

IMHO jest 57 razy łatwiejszy w konfiguracji.

http://www.howtoforge.com/pureftpd_mysql_virtual_hosting
http://www.howtoforge.com/virtual-hosting-with-pure … n-ubuntu-8.10
Jak ostatnio robiłem taki na Debianie, to był gotowy w 3 minuty.

I oczywiście skanowanie lub inne akcje z pakowanymi na serwer plikami:
http://www.howtoforge.com/how-to-integrate-clamav-i … -debian-lenny

Ostatnio edytowany przez Jacekalex (2014-10-14 23:51:59)

enether · 2014-10-15 00:07:36

Jacekalex napisał(-a):
Może być Pure-ftpd?

IMHO jest 57 razy łatwiejszy w konfiguracji.

Popieram ;) konfiguracja pure-ftpd to czysta przyjemność, do tego jest bardzo elastyczny.

Jacekalex · 2014-10-15 00:23:17

I w przeciwieństwie do Proftpd i Vsftpd nie miał w ostatnich latach zaszytego backdoora:
http://www.exploit-db.com/exploits/17491/
http://www.aldeid.com/wiki/Exploits/proftpd-1.3.3c-backdoor

Dlatego też jest warty uwagi. :D

Ostatnio edytowany przez Jacekalex (2014-10-15 00:23:36)

Grzeslaw · 2014-10-15 08:58:05

enether: Użytkownicy których testuje nie znajdują sie w pliku /etc/vsftpd.chroot.
Jacekalex: Ok, być może jest lepszy, ale jak jest problem, to chce go rozwiązać, a nie znaleźć alternatywę ;)

Inna sprawa: Udało mi się schrotować użytkowników w /var/www/ poprzez ustawienie opcji: local_root=/var/www , jednakże problem jest taki, że każdy może czytać dane stron innych, co mija się z celem ;/ Każdy user jest w głównej grupie www-data, aby mógł pisać via ftp bezpośrednio kod stronki. Tak więc plik wrzucany na ftp jest ownowany przez usera, i grupa defaultowa to www-data, uprawienia są 660/770. Wczoraj spróbowałem ustawić /var/www/user_domain/ uprawnienia user:user, a pliki w środku user:www-data - i super! FTP działa pięknie w takiej konfiguracji, jednakże stronka nie działa i jest permission denied, bo główny katalog /var/www/user_domain/ nie jest w grupie www-data, a inni go czytać nie mogą ;/ Tak sobie kombinuje może jakoś od strony uprawnień do tego podejść...

Jacekalex · 2014-10-15 09:47:43

Przy kilku pacjentach stronki mają trzymać w $HOME/public_html/ każdy u siebie a nie w /var/www.

Widzę tu problem między krzesłem a klawiaturą ;)

Rzuć okiem na to:
http://lazowski.wordpress.com/2009/07/28/konfigurac … e-ftp-server/

Ostatnio edytowany przez Jacekalex (2014-10-15 09:50:36)

Grzeslaw · 2014-10-16 09:42:20

Jacekalex: To jest produkcyjny serwer www, na którym FTP pełni bardzo ważną rolę, także jest tylu użytkowników, ile stron - czyli koło 5ciu. Wszystkie strony są w /var/www/*, także konfiguracja jak najbardziej poprawna.

Co do stronki, którą wysłałeś, to nic nowego. Naprawdę przerobiłem masę opcji już i przewertowałem ostro dokumentacje. Jeśli używam nawet przykładowych configów z tej stronki, to dostaje taki msg:

Kod:

Response:    500 OOPS: vsftpd: refusing to run with writable root inside chroot()
Error:            Critical error: Could not connect to server

Jest to issue typowy dla obecnego pakietu vsftpd w Debianie, w wersji debiana latest - stable. Tutaj jest to całkiem nieźle opisane:
https://www.benscobie.com/fixing-500-oops-vsftpd-re … nside-chroot/
Sugestie są trzy, co zrobić:

Kod:

 Dmitriy   January 13, 2012 at 12:51 pm
you can choose one of 3 ways:
1. Define option local_root= in configuration file. must by /home or other path to directory with users folders.
In this way vsftpd chrooting to /home directory.
2. Define option passwd_chroot_enable=yes in configuration file and change in /etc/passwd file user home directory from «/home/user» to «/home/./user» (w/o quotes).
In this way vsftpd chrooting to /home directory.
3. Download sources of vsftpd-ext, compile and overwrite exist vsftpd binaries or take it from repositories and add to configuration file option allow_writeable_root=yes.

1. local_root - dziala calkiem fajnie, jednakze w moim przypadku uzytkownicy moga wchodzic do swoich katalogow, poniewaz kazdy jest w grupie www-data a foldery w /var/www maja prawa 0700 username:www-data.
2. Opcja druga niestety nie dziala mi nie wiem czemu, probowalem kilka razy
3. vsftpd-ext - odpada, jako ze nowa paczka vsftpd jest jeszcze w testowym debianie, wiec nie zamierzam wprowadzać testowych pakietów na produkcji.

Swoja droga taki sam watek zalorzylem na innym forum, i wciaz nie ma koncepcji:
http://www.linuxquestions.org/questions/linux-serve … e-4175521842/

Jacekalex · 2014-10-16 09:49:10

Na produkcji taka papranina?

Na każdym serwerze produkcyjnym bezpieczniej dać równocześnie dwa działające serwery, z których jeden włączasz, a drugi, skonfigurowany czeka w rezerwie, jakby tamten pierwszy się zjebał.
I oba pakujesz do jednakowego systemu autoryzacji, żeby nie było problemu z przełączaniem między serwerami.

Ja bym wziął Proftpd i Pure-ftpd równocześnie w takim zastosowaniu.
W każdym razie postawienie obu z autoryzacją PAM-*SQL, to jest roboty na 15 minut, licząc dwie butelki piwa w komplecie.

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2014-10-16 17:15:07)

ethanak · 2014-10-16 17:08:50

Grzeslaw napisał(-a):
To jest produkcyjny serwer www, (...)Wszystkie strony są w /var/www/*, także konfiguracja jak najbardziej poprawna.

Ośmielam się być innego zdania.

Ja tam bym zaczął od prawidłowej konfiguracji Apacza, a potem (jak już się nauczę jednego) brał się za FTP (z Pure-ftpd na czele). Ale wiesz, ja to się nie znam na tych nowomodnych wynalazkach...

Grzeslaw · 2014-10-16 21:46:10

Jacekalex: Na "przyszłej produkcji" - buduje jeden serwerek, i ot taki issue.. A to chyba troszkę perwersja z tymi dwoma FTP ;) Nigdy nie miałem problemów a nim coś zupdatuje, zmienie na produkcji, robie to w Dev. Anyway, wciąż nie ma żadnych konkretnych pomysłów co z tym zrobić.. (oprócz najprostszego - nie działa jedno, weź drugie) :)

BTW:(Off Topic) ethanak:
1. to gdzie wrzucę stronki to chyba moja sprawa co?
Ale z chęcią wysłucham Twojej wypowiedzi na temat, tego:
- "dlaczego" jak to mówisz "nie umiem" konfigurować apache? Wydedukowałeś to na podstawie tego gdzie wrzucam stronki, czy może tez uprawnień jakie daje?
- Co jest złego w trzymaniu stron w /var/www/ (dodam, iz jest to osobna partycja) ?
Ale aby nie robie OT, napisz mi to na priv, z chęcią przedyskutuje i wysłucham Twoich argumentów i poddam sie dyskusji :)

Forum Debian Users Gang

Ogłoszenie

#1 2014-10-13 23:29:29

Grzeslaw - Użytkownik

Vsftpd + TLS i niedzialajacy chroot

Kod:

#2 2014-10-14 00:01:08

enether - wiecznie niewyspany

Re: Vsftpd + TLS i niedzialajacy chroot

#3 2014-10-14 07:49:02

Grzeslaw - Użytkownik

Re: Vsftpd + TLS i niedzialajacy chroot

Kod:

#4 2014-10-14 21:10:35

enether - wiecznie niewyspany

Re: Vsftpd + TLS i niedzialajacy chroot

Grzeslaw napisał(-a):

Kod:

#5 2014-10-14 23:46:40

Jacekalex - Podobno człowiek...;)

Re: Vsftpd + TLS i niedzialajacy chroot

#6 2014-10-15 00:07:36

enether - wiecznie niewyspany

Re: Vsftpd + TLS i niedzialajacy chroot

Jacekalex napisał(-a):

#7 2014-10-15 00:23:17

Jacekalex - Podobno człowiek...;)

Re: Vsftpd + TLS i niedzialajacy chroot

#8 2014-10-15 08:58:05

Grzeslaw - Użytkownik

Re: Vsftpd + TLS i niedzialajacy chroot

#9 2014-10-15 09:47:43

Jacekalex - Podobno człowiek...;)

Re: Vsftpd + TLS i niedzialajacy chroot

#10 2014-10-16 09:42:20

Grzeslaw - Użytkownik

Re: Vsftpd + TLS i niedzialajacy chroot

Kod:

Kod:

#11 2014-10-16 09:49:10

Jacekalex - Podobno człowiek...;)

Re: Vsftpd + TLS i niedzialajacy chroot

#12 2014-10-16 17:08:50

ethanak - Użytkownik

Re: Vsftpd + TLS i niedzialajacy chroot

Grzeslaw napisał(-a):

#13 2014-10-16 21:46:10

Grzeslaw - Użytkownik

Re: Vsftpd + TLS i niedzialajacy chroot

Stopka forum