---

Hej,

3. spørgsmål i dag

Har sat min Ubuntu server op med VSFTP server. Når jeg logger på ftp'en, starter jeg godt nok i mit home dir, men jeg kan fint gå
højere op, og se alle filer i andre mapper. Det virker som en lidt underlig og usikker standard indstilling. Anyway, det kunne jeg
godt tænke mig at få lavet om, så jeg åbnede /etc/vsftpd.conf og der fandt jeg:

# You may restrict local users to their home directories. See the FAQ for
# the possible risks in this before using chroot_local_user or
# chroot_list_enable below.
#chroot_local_user=YES
#
# You may specify an explicit list of local users to chroot() to their home
# directory. If chroot_local_user is YES, then this list becomes a list of
# users to NOT chroot().
#chroot_list_enable=YES
# (default follows)
#chroot_list_file=/etc/vsftpd.chroot_list

Men nu står jeg nok lidt af (er meget nybegynder her)
Er der nogen, der kan fortælle mig, hvad jeg skal gøre, eller henvise til en let forståelig guide?

Jeg vil gerne begrænse adgangen til brugerens hjemme dir plus et par andre mapper som f.eks. /home/share

mvh Frank

---

Frank K. Jensen wrote:

> #chroot_local_user=YES

Ovenstående linie skal ændres til
chroot_local_user=YES

> Jeg vil gerne begr�nse adgangen til brugerens hjemme dir plus et par andre mapper som f.eks. /home/share

Hvis brugerne skal have adgang til andre mapper end deres home dir, skal
de mountes med --bind option under deres home dir. Det er ikke nok at
symlinke. Et eksempel. Brugeren mads har kun adgang til /home/mads hvis
chroot_local_user=yes. Hvis mads skal have adgang til /home/share skal
/home/share mountes under /home/mads/mappe. Du kan gøre noget i stil med
det her:

$ mkdir /home/mads/share
$ sudo nano -w /etc/fstab

tilføj denne linie til /etc/fstab:
/home/share   /home/mads/share   bind   bind   0   0

$ sudo mount -a

Det er lige efter hukommelsen, måske er der nogle småfejl deri. Det er
muligvis nødvendigt at makke med group permissions afhængigt af om der
skal være read/write access. I så fald ville jeg oprette en gruppe og
give den de nødvendige permissions.

/ndlarsen

---

"ndlarsen" <usenet@ionline.dk> skrev i en meddelelse news:4b0b09f2$0$283$14726298@news.sunsite.dk...
> Frank K. Jensen wrote:
>
>> #chroot_local_user=YES
>
> Ovenstående linie skal ændres til
> chroot_local_user=YES

Ok det vil jeg prøve.
Men de skrev i øvrigt også:
"See the FAQ for the possible risks in this before using chroot_local_user or chroot_list_enable below."
Hvad er det for nogle risici?

>> Jeg vil gerne begr?nse adgangen til brugerens hjemme dir plus et par andre mapper som f.eks. /home/share
>
> Hvis brugerne skal have adgang til andre mapper end deres home dir, skal de mountes med --bind option under deres home dir. Det er
> ikke nok at symlinke. Et eksempel. Brugeren mads har kun adgang til /home/mads hvis chroot_local_user=yes. Hvis mads skal have
> adgang til /home/share skal /home/share mountes under /home/mads/mappe. Du kan gøre noget i stil med det her:
>
> $ mkdir /home/mads/share
> $ sudo nano -w /etc/fstab
>
> tilføj denne linie til /etc/fstab:
> /home/share /home/mads/share bind bind 0 0
>
> $ sudo mount -a
>
> Det er lige efter hukommelsen, måske er der nogle småfejl deri. Det er muligvis nødvendigt at makke med group permissions
> afhængigt af om der skal være read/write access. I så fald ville jeg oprette en gruppe og give den de nødvendige permissions.

Kan man ikke gøre i opsætningen til ftp-serveren? Altså noget a la "alle brugere, eller endnu bedre brugerne i en bestemt gruppe,
har adgang til /home/share"? Skal jeg evt. have fat i en anden ftp-server for at gøre det?

mvh Frank

---

> Kan man ikke g�re i ops�tningen til ftp-serveren? Alts� noget a la "alle brugere, eller endnu bedre brugerne i en bestemt gruppe,
> har adgang til /home/share"? Skal jeg evt. have fat i en anden ftp-server for at g�re det?

Ikke hvis du vil benytte chroot. Det er enten chroot + mount med bind
eller ingen chroot og symlinks.

/ndlarsen

---

Den Wed, 25 Nov 2009 01:23:56 +0100 skrev ndlarsen:
>> Kan man ikke g?re i ops?tningen til ftp-serveren? Alts? noget a la "alle brugere, eller endnu bedre brugerne i en bestemt gruppe,
>> har adgang til /home/share"? Skal jeg evt. have fat i en anden ftp-server for at g?re det?
>
> Ikke hvis du vil benytte chroot. Det er enten chroot + mount med bind
> eller ingen chroot og symlinks.

Hvis FTP-serveren giver mulighed for at man kan angive hvilken mappe
der skal chroot'et stil, kunne man også chroot til /home.

Mvh
Kent
--
"The Brothers are History"

---

Kent Friis wrote:
> Hvis FTP-serveren giver mulighed for at man kan angive hvilken mappe
> der skal chroot'et stil, kunne man også chroot til /home.
Ja, det havde jeg ikke lige tænkt på. Der er dog et eller andet ved det
som generer mig ret æstetisk - men det er nok bare mig. Jeg mener
forresten ikke at vsftp kan chroot til andet end ~. Jeg skal ikke kunne
sige om andre servere kan.

/ndlarsen

---

Den Thu, 26 Nov 2009 03:42:35 +0100 skrev ndlarsen:
> Kent Friis wrote:
>> Hvis FTP-serveren giver mulighed for at man kan angive hvilken mappe
>> der skal chroot'et stil, kunne man også chroot til /home.
> Ja, det havde jeg ikke lige tænkt på. Der er dog et eller andet ved det
> som generer mig ret æstetisk - men det er nok bare mig.

Det fjerner adgangen til /tmp, /dev/shm og andre lignende mapper med
rw for alle.

Adgang til andre brugeres mapper kan forhindres med chmod.

Mvh
Kent
--
"The Brothers are History"