Re: CHROOT Vsftpd

[Camaleón <noelamac@gmail.com>]

El Tue, 17 Jul 2012 15:04:58 -0300, Jawifi escribió:

> El 17/07/2012 14:47, Camaleón escribió:

>> Tienes que entender que efecto tienen las variables que habilitas, no
>> usarlas al tuntun :-)
> 
> Es lo que estoy tratando de hacer... ;)

Ah, vale... es que hay dos de ellas que no puedes habilitarlas porque ya 
te comenté antes, obtienes el efecto contrario a lo que buscas :-P

>> Prueba a dejarlo asi:
>> 
>> #chroot_local_user=YES
>> chroot_list_enable=YES
>> chroot_list_file=/etc/vsftpd.chroot_list 
>> allow_writeable_chroot=YES
>> 
>> Reinicia el servicio e intenta de nuevo. Con eso la jaula debería
>> funcionar al menos para el usuario "ftp" que tendrá permisos sobre el
>> directorio.

> Ni siquiera llega a pedirme usuario y password de esta manera, da error:
> "Firefox no puede establecer una conexión con el servidor en
> 192.168.0.5"

No uses el navegador para conectarte, usa un cliente FTP mejor.

Seguramente la versión de vsftpd que tienes no admite esa variable 
(allow_writeable_chroot) sólo está disponible a partir de la 3.0.x. Si 
tienes una versión anterior tendrás que quitar los permisos de escritura 
al directorio "/home/ftp" para que no te dé el error "500 OOPS: vsftpd: 
refusing to run with writable root inside chroot()".

> Entiendo que con las variables que me pasaste lo que hago es:
> #chroot_local_user=YES Enjaular usuarios locales a su /home/usuario SI /
> NO (en este caso, al estar comentada sería NO)

chroot_local_user
If set to YES, local users will be (by default) placed in a chroot() jail 
in their home directory after login. 

Es decir, que cuando inicias sesión con el usuario (entiendo que tus 
usuarios son usuarios del sistema y que no usas usuarios virtuales) lo 
enjaulas en su /home.

Al estar comentada usa el el valor predeterminado que es NO, 
efectivamente.

> chroot_list_enable=YES Lista de usuarios que quedan enjaulados en su
> /home = SI

chroot_list_enable
If activated, you may provide a list of local users who are placed in a 
chroot() jail in their home directory upon login. The meaning is slightly 
different if chroot_local_user is set to YES. In this case, the list 
becomes a list of users which are NOT to be placed in a chroot() jail. By 
default, the file containing this list is /etc/vsftpd.chroot_list, but 
you may override this with the chroot_list_file setting. 

Aquí está lo que te comentaba, si activas esta variable para usar una 
lista de usuarios y activas la variable anterior (es decir, si habilitas 
ambas), obtienes el efecto contrario: los usuarios listados  no estarán 
enjaulados. Por eso, o utilizas una o la otra (o las usas bien) pero no 
tal y como estabas configurándolo.

> chroot_list_file=/etc/vsftpd.chroot_list Archivo de texto plano que
> contiene los nombres d elos usuarios a enjaular

Sí, esta no tiene mucho problema.

> allow_writeable_chroot=YES Permitir escritura en la carpeta "jaula" del
> usuario =SI
> 
> Creo que estoy interpretando bien las variables, ya me dirás si estoy
> equivocado.

Más o menos... lo único que tienes que tener en cuenta para configurar 
esto es:

- Tipo de usuarios que utilizas (del sistema o virtuales)
- Configuración de vsftp para la jaula (esto más o menos lo tienes)
- Configuración del directorio para la jaula (permisos del directorio y 
usuarios adecuados)

Y para que sea un almacén compartido entre varios usuarios aún tendrás 
que afinarlo un poco más... pero vaya, lo primero sería conseguir que te 
funcione la jaula para uno de los usuarios.

Saludos,

-- 
Camaleón