From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <grizlik78@gmail.com>
X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on sa.int.altlinux.org
X-Spam-Level: 
X-Spam-Status: No, score=-1.5 required=5.0 tests=AWL,BAYES_00,SPF_NEUTRAL
	autolearn=no version=3.2.5
Message-ID: <4F716D8C.6070309@gmail.com>
Date: Tue, 27 Mar 2012 11:34:36 +0400
From: Alexey Borisenkov <grizlik78@gmail.com>
User-Agent: Mozilla/5.0 (X11; Linux x86_64;
	rv:10.0.2) Gecko/20120225 Thunderbird/10.0.2
MIME-Version: 1.0
To: sysadmins@lists.altlinux.org
References: <CANM4RuhuU30Vk6ZxNL4VnxqtPfCZaqmpDD2wtUvguKFpY0Q+rA@mail.gmail.com>
	<4F701FFC.1010406@gmail.com>
	<CANM4RugSt9j2bv1b=wEm3ktJnnQLJE20csS8xYKJ4hjhET-epw@mail.gmail.com>
	<20120327071456.GD1868@osdn.org.ua>
In-Reply-To: <20120327071456.GD1868@osdn.org.ua>
Content-Type: text/plain; charset=KOI8-R; format=flowed
Content-Transfer-Encoding: 8bit
Subject: Re: [Sysadmins] =?koi8-r?b?cGFtIMkgdnNmdHBkIHZpcnR1YWwgdXNlcnM=?=
X-BeenThere: sysadmins@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ALT Linux sysadmins' discussion <sysadmins@lists.altlinux.org>
List-Id: ALT Linux sysadmins' discussion <sysadmins.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/sysadmins>
List-Post: <mailto:sysadmins@lists.altlinux.org>
List-Help: <mailto:sysadmins-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Tue, 27 Mar 2012 07:34:53 -0000
Archived-At: <http://lore.altlinux.org/sysadmins/4F716D8C.6070309@gmail.com/>
List-Archive: <http://lore.altlinux.org/sysadmins/>

27.03.2012 11:14, Michael Shigorin пишет:
> Народ, вы что -- даже при обнаружении таких новостей ченжлог
> не читаете? :(
>
> ---
> - Add stronger checks for the configuration error of running with a writeable
> root directory inside a chroot(). This may bite people who carelessly turned
> on chroot_local_user but such is life.
>
> At this point: v2.3.5 released!
> ===============================
> ---

Ну да, и при этом у них же:
ftp://vsftpd.beasts.org/users/cevans/untar/vsftpd-2.3.5/EXAMPLE/VIRTUAL_USERS/README

 > chroot_local_user=YES
 >
 > This makes sure that the virtual user is restricted to the virtual 
FTP area /home/ftpsite we set up above.

Пусть уж определятся, рекомендовать или нет.

> Понятно, что все эксперты в безопасности по самое некуда,
> вот апстрим и вынужден уже в лоб объяснять... хотя в пакетном
> vsftpd.conf _тоже_ есть предупреждение:
>
> ---
> # Only enable if you know what you are doing (and you probably don't).
> #chroot_local_user=YES
> ---

На том сервере, где мне нужен ФТП с виртуальными пользователями 
безопасность мне нужна в последнюю очередь. Иначе бы об изначально 
небезопасном ФТП с открытыми паролями и речи не могло бы быть.

> Также повторю ссылку на пояснение:
> http://www.opennet.ru/openforum/vsluhforumID3/81603.html#1

Ну так всё таки, означает ли это, что в ALT дырявый glibc? Уязвимости 
надо закрывать, но в том месте, где они возникают, а не куда руки 
дотянулись.
Реализовали бы более правильный способ организации виртуальных 
пользователей, у меня и мысли бы не возникало про chroot.