vsftp - chroot nicht ins Home-Verzeichnis
Hallo Liste. Wie kann man bei vsftp einen Benutzer in ein Verzeichnis chrooten, welches nicht sein Homeverzeichnis ist? In man vsftpd lese ich: passwd_chroot_enable If enabled, along with chroot_local_user , then a chroot() jail location may be specified on a per-user basis. Each user's jail is derived from their home directory string in /etc/passwd. Wie definiert man denn nun die jail location so, daß sie vom Home-Verzeichnis abweicht? Gruß. -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Freitag, 23. Februar 2007 07:55 schrieb Andre Tann:
Hallo Liste.
Wie kann man bei vsftp einen Benutzer in ein Verzeichnis chrooten, welches nicht sein Homeverzeichnis ist? In man vsftpd lese ich:
passwd_chroot_enable If enabled, along with chroot_local_user , then a chroot() jail location may be specified on a per-user basis. Each user's jail is derived from their home directory string in /etc/passwd.
Wie definiert man denn nun die jail location so, daß sie vom Home-Verzeichnis abweicht?
Hallo, wenn für das eigentliche Home-Verzeichnis keine chroot Umgebung nötig ist, weil es eh nicht gebraucht wird (ist ja bei ftp-Zugängen z.B. auf Web-Servern häufig so), dann richte doch einfach das benötigte Verzeichnis als "Home-Verzeichnis" ein. Gruß Burkhard -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Burkhard Schichtel, Freitag, 23. Februar 2007 08:24:
wenn für das eigentliche Home-Verzeichnis keine chroot Umgebung nötig ist, weil es eh nicht gebraucht wird (ist ja bei ftp-Zugängen z.B. auf Web-Servern häufig so), dann richte doch einfach das benötigte Verzeichnis als "Home-Verzeichnis" ein.
Das geht deswegen nicht, weil eben das Home-Verzeichnis doch gebraucht wird. Ich kann natürlich einfach einen weiteren Nutzer anlegen, und dessen Home-Verzeichnis verbiegen. Aber ich hätte es halt schön gefunden, wenn ich für ftp unabhängig chroot-Verzeichnisse definieren könnte. -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Freitag, 23. Februar 2007 08:55 schrieb Andre Tann:
Burkhard Schichtel, Freitag, 23. Februar 2007 08:24:
wenn für das eigentliche Home-Verzeichnis keine chroot Umgebung nötig ist, weil es eh nicht gebraucht wird (ist ja bei ftp-Zugängen z.B. auf Web-Servern häufig so), dann richte doch einfach das benötigte Verzeichnis als "Home-Verzeichnis" ein.
Das geht deswegen nicht, weil eben das Home-Verzeichnis doch gebraucht wird. Ich kann natürlich einfach einen weiteren Nutzer anlegen, und dessen Home-Verzeichnis verbiegen. Aber ich hätte es halt schön gefunden, wenn ich für ftp unabhängig chroot-Verzeichnisse definieren könnte.
Oder Du legst im Home Verzeichnis einen Link auf das andere Verzeichnis an. Das sollte auch klappen. Gruß Burkhard -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Burkhard Schichtel wrote:
Am Freitag, 23. Februar 2007 08:55 schrieb Andre Tann:
Burkhard Schichtel, Freitag, 23. Februar 2007 08:24:
wenn für das eigentliche Home-Verzeichnis keine chroot Umgebung nötig ist, weil es eh nicht gebraucht wird (ist ja bei ftp-Zugängen z.B. auf Web-Servern häufig so), dann richte doch einfach das benötigte Verzeichnis als "Home-Verzeichnis" ein.
Das geht deswegen nicht, weil eben das Home-Verzeichnis doch gebraucht wird. Ich kann natürlich einfach einen weiteren Nutzer anlegen, und dessen Home-Verzeichnis verbiegen. Aber ich hätte es halt schön gefunden, wenn ich für ftp unabhängig chroot-Verzeichnisse definieren könnte.
Oder Du legst im Home Verzeichnis einen Link auf das andere Verzeichnis an. Das sollte auch klappen.
Das klappt natürlich _nur_ dann, wenn das Verzeichnis, auf das der Link gesetzt wird, _innerhalb_ des Homeverzeichnisses, also im chroot, liegt. Wenn man schon durch Setzen eines Symlinks aus dem chroot ausbrechen könnte, könnte man es auch gleich vergessen. ;-) Joachim -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Samstag, 24. Februar 2007 01:08 schrieb Joachim Marx:
Burkhard Schichtel wrote:
Am Freitag, 23. Februar 2007 08:55 schrieb Andre Tann:
Burkhard Schichtel, Freitag, 23. Februar 2007 08:24:
wenn für das eigentliche Home-Verzeichnis keine chroot Umgebung nötig ist, weil es eh nicht gebraucht wird (ist ja bei ftp-Zugängen z.B. auf Web-Servern häufig so), dann richte doch einfach das benötigte Verzeichnis als "Home-Verzeichnis" ein.
Das geht deswegen nicht, weil eben das Home-Verzeichnis doch gebraucht wird. Ich kann natürlich einfach einen weiteren Nutzer anlegen, und dessen Home-Verzeichnis verbiegen. Aber ich hätte es halt schön gefunden, wenn ich für ftp unabhängig chroot-Verzeichnisse definieren könnte.
Oder Du legst im Home Verzeichnis einen Link auf das andere Verzeichnis an. Das sollte auch klappen.
Das klappt natürlich _nur_ dann, wenn das Verzeichnis, auf das der Link gesetzt wird, _innerhalb_ des Homeverzeichnisses, also im chroot, liegt.
Wenn man schon durch Setzen eines Symlinks aus dem chroot ausbrechen könnte, könnte man es auch gleich vergessen. ;-)
Hallo! Ich gebe zu, in Sachen chroot-Umgebung speziell im Zusamnmenhang mit dem vsftpd kein Experte zu sein. Das was ich geschrieben habe waren letztlich Workarounds, die möglicherweise zu dem gewünschten Erfolg führen. Dass das Setzen eines Symlinks zu einem Ausbrechen aus der chroot-Umgebung führt, wage ich allerdings zu bezweifeln, ohne es ausprobiert zu haben. Schließlich führt ein cd .. in diesem Falle nicht wirklich eine Verzeichnnisebene nach oben, sondern man kommt zurück in sein Home-Verzeichnis. Somit ist zumindest auf diesem Wege kein "Ausbruch" aus der chroot-Umgebung möglich. Gruß Burkhard -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo! Andre Tann wrote:
[...] Aber ich hätte es halt schön gefunden, wenn ich für ftp unabhängig chroot-Verzeichnisse definieren könnte.
Das geht auch: In /etc/vsftpd.conf: chroot_local_user=YES user_config_dir=/etc/vsftpd/users Dann erstellst Du ein Verzeichnis /etc/vsftpd/users und legst darin für jeden User, der ein spezielles Chroot-Verzeichnis bekommen soll, eine Datei an. Diese Datei muss genauso heissen wie der User. Für den User "" wäre das also die Datei "/etc/vsftpd/users/andre". In diese Datei trägst Du ein (Beispiel): local_root=/srv/ftp/verzeichnisname Dieses Verzeichnis darf auch _ausserhalb_ des Homeverzeichnisses liegen. Du kannst in diese userspezifische Konfig-Date auch noch weitere Optionen eintragen, die speziell für diesen User gelten sollen, abweichend von der allg. Config. (Achtung: geht nicht mit allen Config.-Optionen.) Du musst dann übrigens _nicht_ für alle User, die FTP-Zugang haben, ein extra Config-File in /etc/vsftpd/users anlegen. User, die dort kein Config-File haben, bekommen halt die Standard-Config, wie sie in /etc/vsftpd.conf festgelegt ist. Steht im Prinzip alles in: man vsftpd.conf HTH Joachim -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Autsch ... sorry für die überlangen Zeilen, nicht aufgepasst ... :-/ Joachim -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Joachim Marx, Samstag, 24. Februar 2007 01:23:
Das geht auch: [...]
Hach, lesen sollte man können. Ich wußte, daß ich das schon in der manpage gesehen hatte, aber ich konnte es nicht mehr finden. Vielen Dank, jetzt tut alles. -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Wie kann man bei vsftp einen Benutzer in ein Verzeichnis chrooten, welches nicht sein Homeverzeichnis ist? In man vsftpd lese ich:
passwd_chroot_enable If enabled, along with chroot_local_user , then a chroot() jail location may be specified on a per-user basis. Each user's jail is derived from their home directory string in /etc/passwd.
Wie definiert man denn nun die jail location so, daß sie vom Home-Verzeichnis abweicht?
Hallo, falls ich mich noch recht erinnere war das mit dem Befehl chroot_local_user=YES und local_root=/dir gemacht worden. Achte aber auf die Rechte des Verzeichnissen bzw ändere sie mit den Parametern file_open_mode, local_umask und anan_umask. Welche genau was machen weiss ich auch nicht mehr. Aber so gehts, dass lokale User sich nach dem Einloggen in einem gemeinsamen, nicht Home-Verzeichnis wiederfinden. mfg. Joachim Reiter -- Englisch für Fortgeschrittene the home-hospital Die Hausapotheke Zufallssignatur Nr: 162 -- This message has been scanned for viruses and dangerous content by MailScanner, and is believed to be clean.
participants (4)
-
Andre Tann
-
Burkhard Schichtel
-
Joachim Marx
-
Joachim Reiter, EMV-ELV