1.1, solardiz (ok), 10:39, 03/12/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +15 +/– |
Всё гораздо проще: chroot в пользовательские каталоги делать не следует, точка.
В документации к vsftpd это отражено:
chroot_local_user
If set to YES, local users will be (by default) placed in a
chroot() jail in their home directory after login. Warning:
This option has security implications, especially if the users
have upload permission, or shell access. Only enable if you know
what you are doing. Note that these security implications are
not vsftpd specific. They apply to all FTP daemons which offer
to put local users in chroot() jails.
Default: NO
Альтернатива: для пользователя, который должен быть в chroot, но при этом иметь доступ на запись в свой домашний каталог, прописать путь к домашнему каталогу в /etc/passwd в виде: /home/user/./home/user (да, с "/./" внутри пути). На наружный /home/user выставить владельцем root, на /home/user/./home/user - user'а. При этом vsftpd с passwd_chroot_enable=YES будет делать chroot в наружный /home/user, в который у user'а записи нет, тогда как реальным домашним каталогом user'а является внутренний (после захода по FTP, будет виден как /home/user и текущий каталог). Вместо /home/user внутри можно использовать и один каталог - например, назвать его homedir - его имя должно быть выбрано таким, чтобы не оказаться частью одного из стандартных путей к чему-то, используемому системными библиотеками. (Вариант с повтором /home/user хорош тем, что /home по FHS предназначен именно для расположения в нем домашних каталогов, а какое-либо другое имя каталога в корневом каталоге мало ли что будет означать для системных библиотек в будущем.)
Правда, даже с такими настройками очень легко получить уязвимость если остальные настройки приведут к тому, что vsftpd будет делать chroot в домашний каталог не только для пользователей с явно указанным "/./". Тут надо внимательно смотреть все настройки и списки пользователей (у vsftpd есть несколько опций на эту тему).
Так что лучше таких chroot'ов не делать вообще, тем более что, как правило, смысла в них мало (например, если речь идет об обновлении контента динамического веб-сайта, включая скрипты, выполняемые сервером без chroot). Мы на эти вещи идем когда клиент настаивает несмотря на предупреждение о риске и бессмысленности. ;-)
| |
|
2.2, Аноним (-), 16:30, 03/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
В proftpd, через черуты настраиваются хомы у вирт-юзеров и это стандартная опция, например, DirectAdmin-а. С одной стороны полезная фича, с другой стороны - неожиданная свинья, хотя и предсказуемая...
| |
|
3.3, bircoph (ok), 18:32, 03/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
Ну вот и результат. Посмотрите на CVE, в proftpd критические уязвимости находят намного чаще, чем во vsftpd. Последний оправдывает своё название и пользователей proftpd я просто не понимаю.
| |
|
4.4, Аноним (-), 19:33, 03/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Последний оправдывает своё название и пользователей proftpd я просто не понимаю.
Секрет прост: vsftpd безопасен, потому что ничего не умеет. А разработчики proftpd о фичах заботятся гораздо больше, чем о безопасности. "Нет в жизни счастья"(с)
| |
|
5.5, feuwfvgw (?), 20:29, 03/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
Банального перекодирования имен файлов из одной кодировки в другую и то нет. Приходится сторонние сборки брать.
| |
|
6.6, Аноним (-), 20:38, 03/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
Кто же вам виноват что FTP настолько древний и дебильный протокол что там даже при всем желании нельзя кодировку передаваемых данных указать?
| |
|
|
8.9, Аноним (-), 22:31, 03/12/2011 [^] [^^] [^^^] [ответить] | +/– | Скорее, забили В хттп например если кому всучили кодировку которую он не понима... текст свёрнут, показать | |
|
9.10, Аноним (-), 06:45, 04/12/2011 [^] [^^] [^^^] [ответить] | +/– | Кто забил vsftpd и lftp прекрасно поддерживают RFC 2640, Win7 тоже Не поддержи... текст свёрнут, показать | |
|
10.17, уцкеп (?), 20:47, 04/12/2011 [^] [^^] [^^^] [ответить] | +/– | Вот как раз один из форков vsftpd и поддерживает в полной мере стандарт в части ... текст свёрнут, показать | |
|
|
|
|
|
13.28, arisu (ok), 23:13, 04/12/2011 [^] [^^] [^^^] [ответить] | +/– | нет, нелюбители бардака цифры-английские-буквы-подчёркивание-точки всё, больше... текст свёрнут, показать | |
|
|
15.36, arisu (ok), 23:06, 05/12/2011 [^] [^^] [^^^] [ответить] | +/– | нет, мораль совсем другая если древний протокол или древняя парадигма чего-то... текст свёрнут, показать | |
|
|
15.37, arisu (ok), 23:14, 05/12/2011 [^] [^^] [^^^] [ответить] | +/– | да не получает, в том-то всё и дело если софт не utf8-aware, то всё равно косяк... большой текст свёрнут, показать | |
|
|
17.47, arisu (ok), 13:41, 06/12/2011 [^] [^^] [^^^] [ответить] | +/– | лично мне как-то без разницы, что там надо вам я давно уже использую другой п... текст свёрнут, показать | |
|
|
17.48, arisu (ok), 13:42, 06/12/2011 [^] [^^] [^^^] [ответить] | +/– | может, ты не будешь идиотничать говорят, если постоянно идиотничать, постепенно... текст свёрнут, показать | |
|
|
|
|
|
16.43, 12345 (??), 11:29, 06/12/2011 [^] [^^] [^^^] [ответить] | +/– | Все нормально, не бери в голову Мы ведь тоже у тебя не спросили, какие имена да... текст свёрнут, показать | |
|
|
|
|
|
13.38, arisu (ok), 23:17, 05/12/2011 [^] [^^] [^^^] [ответить] | +/– | что ты ищешь себе дополнительных проблем, которые потом будешь героически преодо... текст свёрнут, показать | |
|
|
|
|
|
|
|
6.8, Аноним (-), 21:46, 03/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Банального перекодирования имен файлов из одной кодировки в другую и то нет. Приходится сторонние сборки брать.
Насколько я помню, ее ни у кого нет, по идеологическим причинам (аналогично тому, как в современных плеерах нет перекодировки тегов ID3v1).
Есть левые патчи для proftpd и pure-ftpd, но у последнего с безопасностью все еще хуже (проблемы с головой автора).
| |
|
7.12, Аноним (-), 11:26, 04/12/2011 [^] [^^] [^^^] [ответить]
| –1 +/– |
Что, в 2011м еще кто-то пользует FTP? Как зрелый и стабильный протокол, небось? Некрофилы повсюду, блжад.
| |
|
6.13, bircoph (ok), 14:50, 04/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
Обычно перекодирование делается на стороне клиента, не вижу смысла мучить сервер, тем более, весь вменяемый мир давно перешёл на utf8 как раз для того, чтоб проблем не было.
| |
|
7.15, пц34ц3 (?), 18:56, 04/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
если бы весь. вечно кто-то использующий какой нить древний тотал командер жалуется на крякозябры. ну правильно, upoad делали из под линукса, а у них винда.
| |
|
|
|
|
|
|
|
2.35, Аноним (-), 22:23, 05/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Опубликовано: 4 декабря 2011 г.
> Продукты: GNU: glibc 2.12
Называется проснулись из анабиоза. Это в Mandriva баги за последний год в glibc удосужились поправить. Те дыры ещё весной исправили и степень опасности для них помечена как " "Less critical" (DoS-атака)
http://secunia.com/advisories/44353/
https://www.opennet.ru/opennews/art.shtml?num=30204
11.04.2011 В GNU C Library найдена уязвимость, которая может быть использована для повышения привилегий приложений при достаточно маловероятных обстоятельствах. Проблема вызвана ненадлежащим квотингом вывода команды locale - злоумышленник может установить определенным образом переменные окружения и добиться запуска привилегированного скрипта, в котором вызывается команда locale. Проблема решена в Glibc 2.13.
https://www.opennet.ru/opennews/art.shtml?num=29818
07.03.2011 В системной Си-библиотеке Glibc найдена уязвимость, вызванная ошибкой в реализации функции "fnmatch()", которая может привести к повреждению стека при передаче на вход функции специально оформленного имени файла. Уязвимости подвержены использующие данную функцию приложения, например, браузер Chrome. Проблема устранена в Glibc 2.12.2;
| |
|
|