Bezpieczeństwo serwera FTP

nawigacja: powrót do listy forów | Tips and Tricks

Tips and Tricks

Jacek Fiok	2006-02-01 14:09 (18 lat, 3 miesiące temu)
	Po zainstalowaniu serwera FTP należy koniecznie zastanowić się, do jakich plików uzyskują dostęp zalogowani użytkownicy. W typowej sytuacji, konto FTP służy do wgrywania plików na własną stronę internetową. Praktycznie nigdy użytkownik nie musi, i nie powinien, wychodzić poza swój katalog domowy. Najczęstszym błędem jest właśnie pozwolenie użytkownikom na wyjście poza własny katalog domowy. Użytkownik może wtedy: [ul] [li]wejść katalog wyżej (cd ..) i obejrzeć jego zawartość (ls) - widząc nazwy katalogów innych użytkowników, a więc prawdopodobnie ich loginy,[/li] [li]wejść do katalogu /etc i przeglądać jego zawartość, a więc pliki konfiguracyjne serwera, mające najczęściej prawo do odczytu dla wszystkich,[/li] [li] jeszcze gorzej, jeśli na tym serwerze znajduje się firmowy serwer plików. Użytkownicy z zewnątrz, np. webmasterzy z firm trzecich, mogą czytać pliki z zawartości intranetowej firmy! Katalogi publiczne, i większość plików na fileserverach najczęściej ma globalne prawo do odczytu. (a tak przy okazji: łączenie usług internetowych i intranetowych, w szczególności fileservera, na jednej fizycznej maszynie w ogóle generalnie jest złym pomysłem).[/li] [/ul] Np. w serwerze ProFTPD ograniczamy możliwość wyjścia poza katalog domowy dyrektywą: DefaultRoot ~ Po ustawieniu takiego ograniczenia, wszelkie próby wyjścia wyżej z katalogu domowego wrócą do tego katalogu. Przy okazji: tego typu restrykcje na możliwość chodzenia po katalogach w ogólności nazywają się chroot jail.

Jacek Fiok

2006-02-01 14:09 (18 lat, 3 miesiące temu)

Po zainstalowaniu serwera FTP należy koniecznie zastanowić się, do jakich plików uzyskują dostęp zalogowani użytkownicy.

W typowej sytuacji, konto FTP służy do wgrywania plików na własną stronę internetową. Praktycznie nigdy użytkownik nie musi, i nie powinien, wychodzić poza swój katalog domowy.

Najczęstszym błędem jest właśnie pozwolenie użytkownikom na wyjście poza własny katalog domowy. Użytkownik może wtedy:
[ul]
[li]wejść katalog wyżej (cd ..) i obejrzeć jego zawartość (ls) - widząc nazwy katalogów innych użytkowników, a więc prawdopodobnie ich loginy,[/li]

[li]wejść do katalogu /etc i przeglądać jego zawartość, a więc pliki konfiguracyjne serwera, mające najczęściej prawo do odczytu dla wszystkich,[/li]

[li] jeszcze gorzej, jeśli na tym serwerze znajduje się firmowy serwer plików. Użytkownicy z zewnątrz, np. webmasterzy z firm trzecich, mogą czytać pliki z zawartości intranetowej firmy! Katalogi publiczne, i większość plików na fileserverach najczęściej ma globalne prawo do odczytu.
(a tak przy okazji: łączenie usług internetowych i intranetowych, w szczególności fileservera, na jednej fizycznej maszynie w ogóle generalnie jest złym pomysłem).[/li]
[/ul]
Np. w serwerze ProFTPD ograniczamy możliwość wyjścia poza katalog domowy dyrektywą:
DefaultRoot ~

Po ustawieniu takiego ograniczenia, wszelkie próby wyjścia wyżej z katalogu domowego wrócą do tego katalogu.

Przy okazji: tego typu restrykcje na możliwość chodzenia po katalogach w ogólności nazywają się chroot jail.

Napisz nowy:

Autor:
Treść:

nawigacja: powrót do listy forów | Tips and Tricks

Forum

Tips and Tricks