bezpecne (?) ftp (Re: (mozna) zacatecnicky dotaz o telnetu)
Pavel Kankovsky
peak na kerberos.troja.mff.cuni.cz
Úterý Leden 28 19:48:29 CET 1997
On Mon, 27 Jan 1997, Zdenek Havelka wrote:
> IMHO schopneho hackera odrazim takto:
> Potreboval jsem, aby nektere accounty byly pouze pro ftp a pro nic
> jineho, a mel jsem strach z der v ftpd a z hackeru.
> V /etc/inetd.conf spustim ftp demona pres chroot do nejakeho adresare, v
> nemz vytvorim
>
wu-ftpd umi delat chroot i sam od sebe i pro jine uzivatele nez anonymous
(uz to tady bylo parkrat popsano, viz man ftpd), sice chroot provadi az po
nalogovani uzivatele, ale dale je uveden duvod, proc je to asi jedno
> Ja jsem si vyhradil UID a GID od urcite hodnoty vyse jen pro ucely ftp
> accountu, a funguje to celkem dobre (s wu.ftp 2.4.b11). Vyhoda je, ze
> FTP demon nema pristup nikam jinam nez do vyhrazeneho adresare, a neni
> mi znamo, jakym zpusobem by slo chroot obejit.
bezi-li nejaky proces s rootovskymi pravy, ma moznost (aspon na Linuxu)
vlozit do jadra modul, ktery to "spravi" (a mozna existuji i jine cesty)
wu-ftpd bezi s rootovskymi pravy az do nalogovani uzivatele, cili z tohoto
pohledu je pravdepodobne irelevantni, zda-li bude chrootovan cely nebo az
jeho instance obsluhujici jednoho uzivatele (a podle man page se zda se i
pak by se bylo mozno vratit k rootovskym pravum...?)
> Odpadaji i problemy s pruniky pres upload konfiguracnich souboru (.rexec
> ..). Pri nejhorsim na serveru prijdete o cely ftp prostor, ale jinak je
> server bezpecny (bavme se jen o ftp).
zakazat rexec a podobna zvirata (rsh, rlogin) je obecne DOBRA VEC (tm) :)
nicmene by se takove veci mely ridit login shellem a predavat rizeni jemu
(cili nic, pokud nejde spustit)
> - Potrebuju nakonfigurovat virtual FTP servery, ale pomoci jedine IP
> adresy. Je to mozne upravou FTP demona, nebo by to musel podporovat taky
> ftp klient, jako u virt. www serveru ?
vzhledem k tomu, zer FTP protokol (narozdil od HTTP) nepredava symbolicke
jmeno, na ktere byl pozadavek vznesen, pak asi ne
> - jak spustit ftp demona na jinem portu ? V konfig. souborech jsem nic
> ohledne cisla portu nenasel, musim opravovat zdrojaky ? (Predpokladam,
> ze pokud pak pouziju vyssi port nez 1024, nemusi bezet s pravy roota).
zrejme by nemusel bezet jako root, jenze pak by musela bezet extra
instance pro kazdeho FTP-only uzivatele a uzivatele by museli mit klienty,
kteri umi fungovat na nestandardnich portech
--Pavel Kankovsky aka Peak (troja.mff.cuni.cz network administration)
Další informace o konferenci Linux