FTP klienssel ne legyen böngészhető az egész gép

Linux-kezdő

Érzem, valami nagyon triviálisat kérdezek.

Egy CentOS 6.5-ön futkorászik egy vsftpd. Csináltam két felhasználót, ftp-vel ezen felhasználók a user/pass hitelesítés után a /home/user alá illetve onnan ftp-zhetnek. Eddig jó, de a kliens szépen fel tud jönni a /home-ba - ez már nem tetszik -, aztán a /-be, s bármit elhozhat, akár a /proc alól is. Na, ez így nagyon nem jó! Hogyan lehet azt elérni, hogy a saját $HOME-jánál feljebb ne tudjon browse-olni a kedves felhasználó? Egyáltalán hogyan szokták ezt csinálni?

  • 10061 megtekintés

( powermate | 2014. 03. 14., p – 01:45 )

Alapvetően:

vsftpd.conf:
chroot_local_user=yes

/etc/init.d/vsftpd restart

:)

( Dwokfur v | 2014. 03. 14., p – 02:40 )

Lehet hogy triviális, de nyugtass meg hogy 2014-ben nem mennek plain text password-ök public hálozaton.

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

Kicsit off. Lehet, tudatlan vagyok, ezért előre is elnézést kérek de válaszold meg a kérdésemet.
Hogyan tudsz Te, vagy bárki public hálózaton bármi jelszó szerűt elcsípni? Mert ugye fizikai hozzáférésed csak azon a ponton van ahol csatlakozol a gépeddel, és ott is csak a rád tartozó adatokkal találkozol a vezeték végén...
A gerinchez piszkosul nem fér hozzá átlag ember. Szóval akkor hol, és hogyan????

"A gerinchez piszkosul nem fér hozzá átlag ember"

Az jelszavaidra nem is átlagemberek pályáznak ;)

És az a droidhadsereg, aki a routereket üzemelteti... vagy valaha üzemeltette ;) Ők persze egytől-egyig mind ellenőrzött, leinformálható és megbízható, és security szemléletű egyedek :D

+ az a swich sem atombiztos amin a a kliens és/vagy a szerver lóg. Könnyedén rá lehet beszélni, hogy ne csak a neked szóló csomagokat küldje feléd.

És persze a 'Man In The Middle' szituáció is nagyon sokféleképp (meghökkentően könnyen) elérhető.

Konrét tippeket ehhez itt biztosan nem fogsz kapni, de ha guglizol egy kicsit :)

--
zrubi.hu

Jogos felvetés olyan szempontból, hogy aki hozzáfér a gerinchez, annak meg a titkosítás sem feltétlenül akadály, kell egyet választani a tucatnyi SSL gyengeség közül, és mehet a MITM. De ez csak az az eset, amikor direkt rád vadásznak.

Ha meg nem direkt rád vadásznak, csak valaki hébe-hóba titkosítatlan jelszavakat keresgél egy core routeren, az ellen már egész jól megvéd a titkosítás.

Szóval a hibái ellenére is jobb a titkosítás, mint a semmi.

--

( NevemTeve | 2014. 03. 14., p – 15:52 )

AIX-on sftp+rssh-val értünk el valami hasonlót: a kérdéses user a saját home-könyvtárába van bezárva (chroot), és csak sftp-vel tud belépni (ezt a /etc/rssh.conf-ban lehet szabályozni).

( janoszen v | 2014. 03. 18., k – 22:37 )

Ha jot akarsz magadnak, az FTP-t probald meg eltuntetni. Ha erdekelnek a reszletek, ime. Ha nem erdekelnek, akkor elegedj meg annyival, hogy szivni fogsz.

Mit hasznalj helyette? SSH+SFTP-t vagy SCP-t ProFTPd-vel. Szepen be lehet chrootolni es WinSCP-vel osszetevesztesig fog hasonlitani a sokak altal balvanyozott Total Commanderre az eleterzes. Cserebe megszabadulsz a tuzfalas szopasoktol, a titkositasos szopasoktol es a protokoll elbarmoltsagabol adodo egyeb, ugyfeloldali szopasoktol.

Lassúnak nem nevezném, legalábbis annyival lassabbnak, mint amennyivel többet nyújt más területen, mint az ftp biztosan nem.
Több authentikációs forma, egyszerűbb titkosítás, alapból chrootolt - hogy csak párat említsek.
Mint említettem - Bitkinex win alá tökéletess választás, sftp, ftp, webdav egyaránt szerepel a repertoárban. Igaz, nem használom, mert nincs Windowsom :)
--
PtY - www.onlinedemo.hu