[Sysadmins] pam и vsftpd virtual users

[Sysadmins] pam и vsftpd virtual users

[Eugene Prokopiev]

Здравствуйте!

Потребовалось завести виртуальных пользователей в vsftpd. Делаю в
соответствии с /usr/share/doc/vsftpd-2.3.5/EXAMPLE/VIRTUAL_USERS/README:

# db_load -T -t hash -f
/usr/share/doc/vsftpd-2.3.5/EXAMPLE/VIRTUAL_USERS/logins.txt
/etc/vsftpd_login.db
# chmod 600 /etc/vsftpd_login.db
# cat >/etc/pam.d/vsftpd << EOF
> auth required pam_userdb.so db=/etc/vsftpd_login
> account required pam_userdb.so db=/etc/vsftpd_login
> EOF
# useradd -d /home/ftpsite virtual
# cp /etc/hosts /home/ftpsite
# chown virtual.virtual /home/ftpsite/hosts
# cat >/etc/vsftpd/conf << EOF
> anonymous_enable=NO
> local_enable=YES
> write_enable=NO
> anon_upload_enable=NO
> anon_mkdir_write_enable=NO
> anon_other_write_enable=NO
> chroot_local_user=YES
> guest_enable=YES
> guest_username=virtual
> listen=YES
> listen_port=10021
> pasv_min_port=30000
> pasv_max_port=30999
> EOF

Запускаю (других средств отладки не нашел):

# strace -f vsftpd

Тестирую:

$ ftp localhost 10021
Connected to localhost (127.0.0.1).
220 (vsFTPd 2.3.5)
Name (localhost:enp): tom
331 Please specify the password.
Password:
530 Login incorrect.
Login failed.
ftp>

В выводе strace наблюдаю обращение к /lib64/security/pam_userdb.so и
/lib64/libdb-4.7.so, а затем вместо /etc/vsftpd_login.db сразу к
/etc/pam.d/other и /lib64/security/pam_deny.so. Соответственно,
подозреваю, что в /etc/pam.d/vsftpd я написал что-то не то. Что?

-- 
С уважением,
Прокопьев Евгений

Re: [Sysadmins] pam и vsftpd virtual users

[Alexey Borisenkov]

26.03.2012 11:32, Eugene Prokopiev пишет:
> Здравствуйте!
>
> Потребовалось завести виртуальных пользователей в vsftpd. Делаю в
> соответствии с /usr/share/doc/vsftpd-2.3.5/EXAMPLE/VIRTUAL_USERS/README:
>
> # db_load -T -t hash -f
> /usr/share/doc/vsftpd-2.3.5/EXAMPLE/VIRTUAL_USERS/logins.txt
> /etc/vsftpd_login.db
> # chmod 600 /etc/vsftpd_login.db
> # cat>/etc/pam.d/vsftpd<<  EOF
>> auth required pam_userdb.so db=/etc/vsftpd_login
>> account required pam_userdb.so db=/etc/vsftpd_login
>> EOF

Работающий в ALT пример конфига pam есть в
/usr/share/doc/vsftpd-2.3.5/EXAMPLE/VIRTUAL_USERS/vsftpd.pam

В общем, практически обязательной является строка
auth    required pam_userpass.so


Вот только в 2.3.5 чрут в домашние каталоги оторвали, что теперь с 
виртуальными пользователями делать — ума не приложу.

Re: [Sysadmins] pam и vsftpd virtual users

[Alexey Borisenkov]

26.03.2012 11:51, Alexey Borisenkov пишет:
> В общем, практически обязательной является строка
> auth required pam_userpass.so

Правда, справедливости ради, оторвали чрут только с возможностью записи 
в корневой каталог, так что только на чтение работать должно.

Re: [Sysadmins] pam и vsftpd virtual users

[Eugene Prokopiev]

26 марта 2012 г. 11:51 пользователь Alexey Borisenkov
<grizlik78@gmail.com> написал:

> Работающий в ALT пример конфига pam есть в
> /usr/share/doc/vsftpd-2.3.5/EXAMPLE/VIRTUAL_USERS/vsftpd.pam

Слона-то я и не приметил, спасибо!

> Вот только в 2.3.5 чрут в домашние каталоги оторвали, что теперь с
> виртуальными пользователями делать -- ума не приложу.

Да, это было неприятной новостью :(

-- 
С уважением,
Прокопьев Евгений

Re: [Sysadmins] pam и vsftpd virtual users

[Anton Gorlov]

26.03.2012 11:51, Alexey Borisenkov написал:
> В общем, практически обязательной является строка
> auth    required pam_userpass.so
>
>
> Вот только в 2.3.5 чрут в домашние каталоги оторвали, что теперь с
> виртуальными пользователями делать — ума не приложу.
Я себе для  этих целей собрал vsftpd_ex
там ручку приделали для этого

Re: [Sysadmins] pam и vsftpd virtual users

[Michael Shigorin]

On Mon, Mar 26, 2012 at 11:32:30AM +0400, Eugene Prokopiev wrote:
> > chroot_local_user=YES

http://www.opennet.ru/openforum/vsluhforumID3/81603.html#1

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Sysadmins] pam и vsftpd virtual users

[Michael Shigorin]

On Mon, Mar 26, 2012 at 12:32:00PM +0400, Eugene Prokopiev wrote:
> > Вот только в 2.3.5 чрут в домашние каталоги оторвали, что теперь с
> > виртуальными пользователями делать -- ума не приложу.
> Да, это было неприятной новостью :(

Народ, вы что -- даже при обнаружении таких новостей ченжлог
не читаете? :(

---
- Add stronger checks for the configuration error of running with a writeable
root directory inside a chroot(). This may bite people who carelessly turned
on chroot_local_user but such is life.

At this point: v2.3.5 released!
===============================
---

Понятно, что все эксперты в безопасности по самое некуда,
вот апстрим и вынужден уже в лоб объяснять... хотя в пакетном
vsftpd.conf _тоже_ есть предупреждение:

---
# Only enable if you know what you are doing (and you probably don't).
#chroot_local_user=YES
---

Также повторю ссылку на пояснение:
http://www.opennet.ru/openforum/vsluhforumID3/81603.html#1

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Sysadmins] pam и vsftpd virtual users

[Alexey Borisenkov]

27.03.2012 11:14, Michael Shigorin пишет:
> Народ, вы что -- даже при обнаружении таких новостей ченжлог
> не читаете? :(
>
> ---
> - Add stronger checks for the configuration error of running with a writeable
> root directory inside a chroot(). This may bite people who carelessly turned
> on chroot_local_user but such is life.
>
> At this point: v2.3.5 released!
> ===============================
> ---

Ну да, и при этом у них же:
ftp://vsftpd.beasts.org/users/cevans/untar/vsftpd-2.3.5/EXAMPLE/VIRTUAL_USERS/README

 > chroot_local_user=YES
 >
 > This makes sure that the virtual user is restricted to the virtual 
FTP area /home/ftpsite we set up above.

Пусть уж определятся, рекомендовать или нет.

> Понятно, что все эксперты в безопасности по самое некуда,
> вот апстрим и вынужден уже в лоб объяснять... хотя в пакетном
> vsftpd.conf _тоже_ есть предупреждение:
>
> ---
> # Only enable if you know what you are doing (and you probably don't).
> #chroot_local_user=YES
> ---

На том сервере, где мне нужен ФТП с виртуальными пользователями 
безопасность мне нужна в последнюю очередь. Иначе бы об изначально 
небезопасном ФТП с открытыми паролями и речи не могло бы быть.

> Также повторю ссылку на пояснение:
> http://www.opennet.ru/openforum/vsluhforumID3/81603.html#1

Ну так всё таки, означает ли это, что в ALT дырявый glibc? Уязвимости 
надо закрывать, но в том месте, где они возникают, а не куда руки 
дотянулись.
Реализовали бы более правильный способ организации виртуальных 
пользователей, у меня и мысли бы не возникало про chroot.

Re: [Sysadmins] pam и vsftpd virtual users

[Anton Gorlov]

27.03.2012 11:14, Michael Shigorin написал:
> Народ, вы что -- даже при обнаружении таких новостей ченжлог
> не читаете?:(


Майк - закрытие дырок в соседней библиотеке средствами ftp - выход но 
далеко не всегда. Например лично мне нужен ftp на песочнице хостинга 
куда ходят 100500 юзеров и им по понятным причинам нужна возможность 
писать в свой хомяк. А так скоро вообще  дойдёт до того что в ftp нельзя 
пускать никого кроме бесправного анонимуса и то под дулом автомата

Re: [Sysadmins] pam и vsftpd virtual users

[Michael Shigorin]

On Tue, Mar 27, 2012 at 11:47:24AM +0400, Anton Gorlov wrote:
> Майк - закрытие дырок в соседней библиотеке средствами ftp -
> выход но далеко не всегда. Например лично мне нужен ftp на
> песочнице хостинга куда ходят 100500 юзеров и им по понятным
> причинам нужна возможность писать в свой хомяк.

Почитай хотя бы рекомендации насчёт подкаталогов тогда.

> А так скоро вообще  дойдёт до того что в ftp нельзя пускать
> никого кроме бесправного анонимуса и то под дулом автомата

Смотря сколько прав на системе ты готов ему отдать...

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Sysadmins] pam и vsftpd virtual users

[Anton Gorlov]

27.03.2012 12:08, Michael Shigorin написал:

>> Майк - закрытие дырок в соседней библиотеке средствами ftp -
>> выход но далеко не всегда. Например лично мне нужен ftp на
>> песочнице хостинга куда ходят 100500 юзеров и им по понятным
>> причинам нужна возможность писать в свой хомяк.
> Почитай хотя бы рекомендации насчёт подкаталогов тогда.
Да читал. но увы в данном случае тоже не подходит.
Так как тогда 100500 юзеров начинаю при настройке своих поделий путать 
пути в настройках и терроризировать суппорт тиккетами что "нифига на 
вашем хостинге не работает а вот у 100500 других хостеров всё работает"
и им пофиг на каике-то там заморочки. Я не говорю что это есть гуд..но и 
лечить проблемы библиотеки в ftp тоже не лучше.
а уж тем более когда клиенты уже работали с тем, что попадали в корень 
своего хомяка и могли туда писать - переучивать over 1k юзеров весьма не 
тривиальная задача


>> А так скоро вообще  дойдёт до того что в ftp нельзя пускать
>> никого кроме бесправного анонимуса и то под дулом автомата
> Смотря сколько прав на системе ты готов ему отдать...

обычные юзеры стоящие в 1 лишь группе.

Re: [Sysadmins] pam и vsftpd virtual users

[Michael Shigorin]

On Tue, Mar 27, 2012 at 11:34:36AM +0400, Alexey Borisenkov wrote:
> Ну да, и при этом у них же:
> ftp://vsftpd.beasts.org/users/cevans/untar/vsftpd-2.3.5/EXAMPLE/VIRTUAL_USERS/README
> chroot_local_user=YES

Спасибо, пошёл расспрашивать.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Sysadmins] pam и vsftpd virtual users

[Eugene Prokopiev]

27 марта 2012 г. 11:14 пользователь Michael Shigorin <mike@osdn.org.ua> написал:

> On Mon, Mar 26, 2012 at 12:32:00PM +0400, Eugene Prokopiev wrote:
>> > Вот только в 2.3.5 чрут в домашние каталоги оторвали, что теперь с
>> > виртуальными пользователями делать -- ума не приложу.
>> Да, это было неприятной новостью :(
>
> Народ, вы что -- даже при обнаружении таких новостей ченжлог
> не читаете? :(

Миша, я честно перечитал все объяснения апстрима и solardiz, однако
они напомнили мне известный анекдот про самогоноварение и
изнасилование - аппарат же есть!

Ну и chroot_local_user=YES рекомендован в одном из апстримных README,
о чем уже было сказано. Однако я подозреваю, что это просто недосмотр.
С таким подходом в следующем релизе его заменят на NO и скажут, что
незачем это виртуальным пользователям, хотя мои оказались покладистыми
и согласились писать в подкаталог ;)

-- 
С уважением,
Прокопьев Евгений

Re: [Sysadmins] pam и vsftpd virtual users

[Anton Gorlov]

28.03.2012 8:12, Eugene Prokopiev написал:
> виртуальным пользователям, хотя мои оказались покладистыми
> и согласились писать в подкаталог;)
хехе.. мне это не грозит чую. :)
Там сейчас крутится proftpd+mysql (ужс) которые я в ближайшее время 
запланировал сменить на vsftpd+nss_mysql+mysql в виду дырявости и того 
как proftpd... насилует базу в прямом смысле. Сейчас вот из-за этого 
тестирую vsftpd_ex

Re: [Sysadmins] pam и vsftpd virtual users

[Vitaly Lipatov]

Anton Gorlov писал 26.03.2012 13:20:
...
>> Вот только в 2.3.5 чрут в домашние каталоги оторвали, что теперь с
>> виртуальными пользователями делать — ума не приложу.
> Я себе для  этих целей собрал vsftpd_ex
> там ручку приделали для этого
А нельзя ли его в Сизиф?

-- 
С уважением,
Виталий Липатов,
Etersoft

Re: [Sysadmins] pam и vsftpd virtual users

[Anton Gorlov]

30.03.2012 3:11, Vitaly Lipatov написал:
> Anton Gorlov писал 26.03.2012 13:20:
> ...
>>> Вот только в 2.3.5 чрут в домашние каталоги оторвали, что теперь с
>>> виртуальными пользователями делать — ума не приложу.
>> Я себе для этих целей собрал vsftpd_ex
>> там ручку приделали для этого
> А нельзя ли его в Сизиф?
>
Хм. а почему бы и нет. Постараюсь сегодня закинуть как до дома доберусь.

Re: [Sysadmins] pam и vsftpd virtual users

[Eugene Prokopiev]

30 марта 2012 г. 9:24 пользователь Anton Gorlov <stalker@altlinux.ru> написал:
> 30.03.2012 3:11, Vitaly Lipatov написал:
>
>> Anton Gorlov писал 26.03.2012 13:20:
>> ...
>>>>
>>>> Вот только в 2.3.5 чрут в домашние каталоги оторвали, что теперь с
>>>> виртуальными пользователями делать -- ума не приложу.
>>>
>>> Я себе для этих целей собрал vsftpd_ex
>>> там ручку приделали для этого
>>
>> А нельзя ли его в Сизиф?
>>
> Хм. а почему бы и нет. Постараюсь сегодня закинуть как до дома доберусь.

Пора закидывать vsftpd-3.0.0 с параметром allow_writeable_chroot -
похоже апстрим одумался :)

-- 
С уважением,
Прокопьев Евгений