WU.FTPD

[Vojtech Pavlik]

> Potrebuju rozbehnout wu.ftpd demona (nebo jineho ftp demona) s pravy
> jineho uzivatele nez root,
> s korenovym adresarem nastavenym nekam do /xxxx adresare pomoci chroot.
> Bohuzel se mi wu.ftpd nepodarilo spustit jinak nez pomoci inetd.

Myslim, ze to je naprosto v poradku. Ani neni duvod jej spoustet jinak.

> Dalsi problem je, ze ftp pouziva porty 21 a 20, a porty pod 1024 muze
> pouzit pouze root. Navic nevim, jak donutit inetd, aby slo pouzit chroot.

Chroot muze pouzit taky jen root. A chroot i nastaveni prav si ftp
daemon provadi sam.

> System, na nemz to pobezi, ma byt co nejvice zabezpeceny, tj. ftp nema
> mit pokud mozno
> vubec pristup k root filesystemu a ftp uzivatele nemaji mit zadnou
> moznost zasahnout do nej.
> Pritom predpokladam, ze ve wu.ftpd budou nejake bezp. diry (kde nejsou
> ?)

Nejake byly, v soucasne dobe nikdo o zadne nove nevi. I kdyz vetsinou
slo o chyby ne primo v ftpd, ale v nastaveni celeho systemu, ktere sly
pres ftpd vyuzit.

> Zatim jedine, co jsem nasel, je vytvoreni uzivatelu, kteri maji v
> /etc/passwd misto /bin/sh 
> nejake /dev/null ci restricted shell apod. Nevyhovuje.

Ja bych to videl jako jednoduchou upravu do ftpd v miste, kde se
rozhoduje, o jakou tridu uzivatele jde a zda/jak se ma provest chroot
a nastaveni uzivatele.

> Nedelal uz nekdo upravu std. knihovny "getpwnam" tak, aby misto
> /etc/passwd pracovala napr. mSQL
> databazi ?

Nevim o tom. BTW: K cemu to? (Minimalne by to bylo znacne napadnutelne.)

Vojtech.