ALT Linux Community general discussions
 help / color / mirror / Atom feed
* [Comm] vsftpd
@ 2014-01-13 19:22 Андрій Добровольський
  2014-01-13 22:32 ` Michael Shigorin
  0 siblings, 1 reply; 13+ messages in thread
From: Андрій Добровольський @ 2014-01-13 19:22 UTC (permalink / raw)
  To: ALT Linux Community general discussions

Всем привет,
При попытке установить vsftpd на р7 получаю в нагрузку xinetd. Они
реально братья на век или это пережитки прошлого? Как xinetd будет
уживаться с systemd? Я не огребу проблем?
Или можно соглашаться?

-- 
Regards,
Andrii Dobrovol`s`kyj

^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [Comm] vsftpd
  2014-01-13 19:22 [Comm] vsftpd Андрій Добровольський
@ 2014-01-13 22:32 ` Michael Shigorin
  2014-01-15 11:54   ` Андрій Добровольський
  0 siblings, 1 reply; 13+ messages in thread
From: Michael Shigorin @ 2014-01-13 22:32 UTC (permalink / raw)
  To: ALT Linux Community general discussions

On Mon, Jan 13, 2014 at 09:22:28PM +0200, Андрій Добровольський wrote:
> При попытке установить vsftpd на р7 получаю в нагрузку xinetd.

Да.

-- 
 ---- WBR, Michael Shigorin / http://altlinux.org
  ------ http://opennet.ru / http://anna-news.info


^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [Comm] vsftpd
  2014-01-13 22:32 ` Michael Shigorin
@ 2014-01-15 11:54   ` Андрій Добровольський
  2014-01-15 14:21     ` Michael Shigorin
  2014-01-15 14:27     ` Dmitry V. Levin
  0 siblings, 2 replies; 13+ messages in thread
From: Андрій Добровольський @ 2014-01-15 11:54 UTC (permalink / raw)
  To: mike, ALT Linux Community general discussions

2014/1/14 Michael Shigorin <mike@osdn.org.ua>:
> On Mon, Jan 13, 2014 at 09:22:28PM +0200, Андрій Добровольський wrote:
>> При попытке установить vsftpd на р7 получаю в нагрузку xinetd.
>
> Да.
>
Установил, запустил и настроил как делал это раньше.
Получаю ошибку:
500 OOPS: vsftpd: refusing to run with writable root inside chroot()

Вроде в либс уже давно все исправили... А в vsftpd по прежнему надо
выполнять шаманские пляски?
Либо ставить ro на хомяк пользователя либо вписывать
allow_writable_root=YES в конфиг? А наш vsftpd примет этот параметр?

-- 
Regards,
Andrii Dobrovol`s`kyj

^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [Comm] vsftpd
  2014-01-15 11:54   ` Андрій Добровольський
@ 2014-01-15 14:21     ` Michael Shigorin
  2014-01-15 14:31       ` Андрій Добровольський
  2014-01-15 14:27     ` Dmitry V. Levin
  1 sibling, 1 reply; 13+ messages in thread
From: Michael Shigorin @ 2014-01-15 14:21 UTC (permalink / raw)
  To: ALT Linux Community general discussions

On Wed, Jan 15, 2014 at 01:54:15PM +0200, Андрій Добровольський wrote:
> >> При попытке установить vsftpd на р7 получаю в нагрузку xinetd.
> > Да.
> Установил, запустил и настроил как делал это раньше.
> Получаю ошибку:
> 500 OOPS: vsftpd: refusing to run with writable root inside chroot()
> 
> Вроде в либс уже давно все исправили... А в vsftpd по прежнему
> надо выполнять шаманские пляски?
> Либо ставить ro на хомяк пользователя либо вписывать
> allow_writable_root=YES в конфиг? А наш vsftpd примет этот параметр?

Андрюш, при виде ошибки сунь сперва её текст фразой в поисковик.
Изменение в _апстримном_ vsftpd было сделано для подстраховки
горе-админов от ситуации, когда они сами организовывают себе
дырку.  Почитай, пожалуйста, если забыл предыдущее обсуждение:

http://www.altlinux.org/Changes/archive/2012#.D0.AF.D0.BD.D0.B2.D0.B0.D1.80.D1.8C
http://www.opennet.ru/openforum/vsluhforumID3/81603.html#1

-- 
 ---- WBR, Michael Shigorin / http://altlinux.org
  ------ http://opennet.ru / http://anna-news.info


^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [Comm] vsftpd
  2014-01-15 11:54   ` Андрій Добровольський
  2014-01-15 14:21     ` Michael Shigorin
@ 2014-01-15 14:27     ` Dmitry V. Levin
  2014-01-15 14:36       ` Андрій Добровольський
  1 sibling, 1 reply; 13+ messages in thread
From: Dmitry V. Levin @ 2014-01-15 14:27 UTC (permalink / raw)
  To: ALT Linux Community general discussions

[-- Attachment #1: Type: text/plain, Size: 1600 bytes --]

On Wed, Jan 15, 2014 at 01:54:15PM +0200, Андрій Добровольський wrote:
> 2014/1/14 Michael Shigorin <mike@osdn.org.ua>:
> > On Mon, Jan 13, 2014 at 09:22:28PM +0200, Андрій Добровольський wrote:
> >> При попытке установить vsftpd на р7 получаю в нагрузку xinetd.
> >
> > Да.
> >
> Установил, запустил и настроил как делал это раньше.
> Получаю ошибку:
> 500 OOPS: vsftpd: refusing to run with writable root inside chroot()

Эта фича появилась в vsftpd-2.3.5, см. /usr/share/doc/vsftpd*/FAQ:

Q) Help! I'm getting the error message "refusing to run with writable root".
A) vsftpd is protecting against dangerous configurations. The cause of this
message is usually dodgy ownership of the ftp home directory. The home
directory should NOT be owned by the ftp user itself. Neither should it
be writable by the ftp user. A way to fix this is:
chown root ~ftp; chmod -w ~ftp
Another cause might be an attempt to use chroot_local_user without setting up
the directory ownership properly.

> Вроде в либс уже давно все исправили...

Шутить изволите?  libc в принципе не пишут с точки зрения недоверия всей
файловой системе.  Есть куча мест (навскидку /etc, /lib*, и /usr/lib*, но
ими дело не ограничивается), которым glibc доверяет априори.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [Comm] vsftpd
  2014-01-15 14:21     ` Michael Shigorin
@ 2014-01-15 14:31       ` Андрій Добровольський
  2014-01-15 14:39         ` Dmitry V. Levin
  0 siblings, 1 reply; 13+ messages in thread
From: Андрій Добровольський @ 2014-01-15 14:31 UTC (permalink / raw)
  To: mike, ALT Linux Community general discussions

014/1/15 Michael Shigorin <mike@osdn.org.ua>:
> On Wed, Jan 15, 2014 at 01:54:15PM +0200, Андрій Добровольський wrote:
>> >> При попытке установить vsftpd на р7 получаю в нагрузку xinetd.
>> > Да.
>> Установил, запустил и настроил как делал это раньше.
>> Получаю ошибку:
>> 500 OOPS: vsftpd: refusing to run with writable root inside chroot()
>>
>> Вроде в либс уже давно все исправили... А в vsftpd по прежнему
>> надо выполнять шаманские пляски?
>> Либо ставить ro на хомяк пользователя либо вписывать
>> allow_writable_root=YES в конфиг? А наш vsftpd примет этот параметр?
>
> Андрюш, при виде ошибки сунь сперва её текст фразой в поисковик.
> Изменение в _апстримном_ vsftpd было сделано для подстраховки
> горе-админов от ситуации, когда они сами организовывают себе
> дырку.  Почитай, пожалуйста, если забыл предыдущее обсуждение:
>
> http://www.altlinux.org/Changes/archive/2012#.D0.AF.D0.BD.D0.B2.D0.B0.D1.80.D1.8C
> http://www.opennet.ru/openforum/vsluhforumID3/81603.html#1
>
Я помню те обсуждения и именно из сети почерпнул
переменную:allow_writeable_chroot=YES
Я по прежнему не понимаю автора, но суть не в том.
В манах на vsftpd нет такой переменной. Или я не там ищу...
Потому и вопрос.

-- 
Regards,
Andrii Dobrovol`s`kyj

^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [Comm] vsftpd
  2014-01-15 14:27     ` Dmitry V. Levin
@ 2014-01-15 14:36       ` Андрій Добровольський
  2014-01-21 10:45         ` Nikolay A. Fetisov
  0 siblings, 1 reply; 13+ messages in thread
From: Андрій Добровольський @ 2014-01-15 14:36 UTC (permalink / raw)
  To: ALT Linux Community general discussions

2014/1/15 Dmitry V. Levin <ldv@altlinux.org>:
> On Wed, Jan 15, 2014 at 01:54:15PM +0200, Андрій Добровольський wrote:
>
>> Вроде в либс уже давно все исправили...
>
> Шутить изволите?  libc в принципе не пишут с точки зрения недоверия всей
> файловой системе.  Есть куча мест (навскидку /etc, /lib*, и /usr/lib*, но
> ими дело не ограничивается), которым glibc доверяет априори.
>
Понятно. В сети просто разговор шел про какую-то старую либс. Вот я и
понял неправильно.
Тогда остается вопрос про ту самую переменную.
Хотя он уже чисто спортивный... Запустил пока и без нее.
Наш вариант сборки ее понимает? Т.к. в мане ее не нашел.
-- 
Regards,
Andrii Dobrovol`s`kyj

^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [Comm] vsftpd
  2014-01-15 14:31       ` Андрій Добровольський
@ 2014-01-15 14:39         ` Dmitry V. Levin
  2014-01-15 15:04           ` Андрій Добровольський
    0 siblings, 2 replies; 13+ messages in thread
From: Dmitry V. Levin @ 2014-01-15 14:39 UTC (permalink / raw)
  To: ALT Linux Community general discussions

[-- Attachment #1: Type: text/plain, Size: 2416 bytes --]

On Wed, Jan 15, 2014 at 04:31:55PM +0200, Андрій Добровольський wrote:
> 014/1/15 Michael Shigorin <mike@osdn.org.ua>:
> > On Wed, Jan 15, 2014 at 01:54:15PM +0200, Андрій Добровольський wrote:
> >> >> При попытке установить vsftpd на р7 получаю в нагрузку xinetd.
> >> > Да.
> >> Установил, запустил и настроил как делал это раньше.
> >> Получаю ошибку:
> >> 500 OOPS: vsftpd: refusing to run with writable root inside chroot()
> >>
> >> Вроде в либс уже давно все исправили... А в vsftpd по прежнему
> >> надо выполнять шаманские пляски?
> >> Либо ставить ro на хомяк пользователя либо вписывать
> >> allow_writable_root=YES в конфиг? А наш vsftpd примет этот параметр?
> >
> > Андрюш, при виде ошибки сунь сперва её текст фразой в поисковик.
> > Изменение в _апстримном_ vsftpd было сделано для подстраховки
> > горе-админов от ситуации, когда они сами организовывают себе
> > дырку.  Почитай, пожалуйста, если забыл предыдущее обсуждение:
> >
> > http://www.altlinux.org/Changes/archive/2012#.D0.AF.D0.BD.D0.B2.D0.B0.D1.80.D1.8C
> > http://www.opennet.ru/openforum/vsluhforumID3/81603.html#1
> >
> Я помню те обсуждения и именно из сети почерпнул
> переменную:allow_writeable_chroot=YES
> В манах на vsftpd нет такой переменной. Или я не там ищу...

Это сторонний патч, у нас allow_writeable_chroot нет.

> Я по прежнему не понимаю автора, но суть не в том.

У вас сейчас есть уникальный шанс сделать годное сисадминское решение,
а для этого необходимо понять автора.

Прочитайте http://www.opennet.ru/openforum/vsluhforumID3/81603.html#1
про chroot_list_enable, chroot_local_user, passwd_chroot_enable и
/home/user/./home/user.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [Comm] vsftpd
  2014-01-15 14:39         ` Dmitry V. Levin
@ 2014-01-15 15:04           ` Андрій Добровольський
    1 sibling, 0 replies; 13+ messages in thread
From: Андрій Добровольський @ 2014-01-15 15:04 UTC (permalink / raw)
  To: ALT Linux Community general discussions

2014/1/15 Dmitry V. Levin <ldv@altlinux.org>:
> On Wed, Jan 15, 2014 at 04:31:55PM +0200, Андрій Добровольський wrote:
>> >
>> Я помню те обсуждения и именно из сети почерпнул
>> переменную:allow_writeable_chroot=YES
>> В манах на vsftpd нет такой переменной. Или я не там ищу...
>
> Это сторонний патч, у нас allow_writeable_chroot нет.
>
Спасибо за ответ. Теперь вопросов нет.

-- 
Regards,
Andrii Dobrovol`s`kyj

^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [Comm] vsftpd
  @ 2014-01-16 11:24             ` Андрій Добровольський
  2014-01-17 10:26               ` Anton Gorlov
  0 siblings, 1 reply; 13+ messages in thread
From: Андрій Добровольський @ 2014-01-16 11:24 UTC (permalink / raw)
  To: ALT Linux Community general discussions

2014/1/15 Anton Gorlov <stalker@altlinux.ru>:
> 15.01.2014 18:39, Dmitry V. Levin пишет:
>
> Прочитайте http://www.opennet.ru/openforum/vsluhforumID3/81603.html#1
> про chroot_list_enable, chroot_local_user, passwd_chroot_enable и
> /home/user/./home/user.
>
> аха. это всё хорошо если у пользователя только ftp. А вот если есть ещё
> какой либо доступ -то это всё превращается в жуткую головную боль для
> админа, особенно если юзеров больше 10.
>
Я бы не отказался вообще-то от развернутого объяснения смысла.
Информация в сети неубедительная. Я не думаю, что у нас по прежнему
непатченная либс и дырявое ядро. Ибо из описаний следует, что нужно
именно такое сочетание чтоб чрут в хомник был опасен.

-- 
Regards,
Andrii Dobrovol`s`kyj

^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [Comm] vsftpd
  2014-01-16 11:24             ` Андрій Добровольський
@ 2014-01-17 10:26               ` Anton Gorlov
  0 siblings, 0 replies; 13+ messages in thread
From: Anton Gorlov @ 2014-01-17 10:26 UTC (permalink / raw)
  To: ALT Linux Community general discussions

Я бы тоже..

16.01.2014 15:24, Андрій Добровольський пишет:
> 2014/1/15 Anton Gorlov <stalker@altlinux.ru>:
>> 15.01.2014 18:39, Dmitry V. Levin пишет:
>>
>> Прочитайте http://www.opennet.ru/openforum/vsluhforumID3/81603.html#1
>> про chroot_list_enable, chroot_local_user, passwd_chroot_enable и
>> /home/user/./home/user.
>>
>> аха. это всё хорошо если у пользователя только ftp. А вот если есть ещё
>> какой либо доступ -то это всё превращается в жуткую головную боль для
>> админа, особенно если юзеров больше 10.
>>
> Я бы не отказался вообще-то от развернутого объяснения смысла.
> Информация в сети неубедительная. Я не думаю, что у нас по прежнему
> непатченная либс и дырявое ядро. Ибо из описаний следует, что нужно
> именно такое сочетание чтоб чрут в хомник был опасен.
>



^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [Comm] vsftpd
  2014-01-15 14:36       ` Андрій Добровольський
@ 2014-01-21 10:45         ` Nikolay A. Fetisov
  2014-01-21 11:42           ` Андрій Добровольський
  0 siblings, 1 reply; 13+ messages in thread
From: Nikolay A. Fetisov @ 2014-01-21 10:45 UTC (permalink / raw)
  To: ALT Linux Community general discussions

Здравствуйте,

В Ср, 15/01/2014 в 16:36 +0200, Андрій Добровольський пишет:
> ...
> Тогда остается вопрос про ту самую переменную.
> Хотя он уже чисто спортивный... Запустил пока и без нее.
> Наш вариант сборки ее понимает? Т.к. в мане ее не нашел.

В man её нет - поскольку использование не рекомендуется.

По факту для 2.3.5. эта неназываемая переменная реализована сторонним
патчем (и в нашем 2.3.5-alt1 этого не было), в 3.0.0 добавлена в
upstream. Работает только для не-анонимных пользователей, упоминание
о ней есть в Changelog. В наших 3.0.0-alt1 и дальше, соответственно,
она поддерживается.

-- 
С уважением,
Николай Фетисов



^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [Comm] vsftpd
  2014-01-21 10:45         ` Nikolay A. Fetisov
@ 2014-01-21 11:42           ` Андрій Добровольський
  0 siblings, 0 replies; 13+ messages in thread
From: Андрій Добровольський @ 2014-01-21 11:42 UTC (permalink / raw)
  To: naf, ALT Linux Community general discussions

2014/1/21 Nikolay A. Fetisov <naf@naf.net.ru>:
> Здравствуйте,
>
> В Ср, 15/01/2014 в 16:36 +0200, Андрій Добровольський пишет:
>> ...
>> Тогда остается вопрос про ту самую переменную.
>> Хотя он уже чисто спортивный... Запустил пока и без нее.
>> Наш вариант сборки ее понимает? Т.к. в мане ее не нашел.
>
> В man её нет - поскольку использование не рекомендуется.
>
> По факту для 2.3.5. эта неназываемая переменная реализована сторонним
> патчем (и в нашем 2.3.5-alt1 этого не было), в 3.0.0 добавлена в
> upstream. Работает только для не-анонимных пользователей, упоминание
> о ней есть в Changelog. В наших 3.0.0-alt1 и дальше, соответственно,
> она поддерживается.
>
Спасибо. Будем посмотреть.
Для анонимов она и не нужна. Это хорошо, что она на них не действует.

-- 
Regards,
Andrii Dobrovol`s`kyj

^ permalink raw reply	[flat|nested] 13+ messages in thread

end of thread, other threads:[~2014-01-21 11:42 UTC | newest]

Thread overview: 13+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2014-01-13 19:22 [Comm] vsftpd Андрій Добровольський
2014-01-13 22:32 ` Michael Shigorin
2014-01-15 11:54   ` Андрій Добровольський
2014-01-15 14:21     ` Michael Shigorin
2014-01-15 14:31       ` Андрій Добровольський
2014-01-15 14:39         ` Dmitry V. Levin
2014-01-15 15:04           ` Андрій Добровольський
2014-01-16 11:24             ` Андрій Добровольський
2014-01-17 10:26               ` Anton Gorlov
2014-01-15 14:27     ` Dmitry V. Levin
2014-01-15 14:36       ` Андрій Добровольський
2014-01-21 10:45         ` Nikolay A. Fetisov
2014-01-21 11:42           ` Андрій Добровольський

ALT Linux Community general discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
		mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
	public-inbox-index community

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.community


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git