(linux-br) =?iso-8859-1?Q?RES:_=28linux-br=29_Acesso_ao_FTP_est=E1_dano_para_ver_out?==?iso-8859-1?Q?ros_diret=F3rios?=

Sat, 19 Jan 2002 08:38:17 -0800 

Procedimentos para restri��o dos usu�rios de FTP ao seu pr�prio diret�rio
home:

Funcionamento: O WU-FTP considera classes (tipos) diferentes de usu�rios que
fazem FTP. As que usamos s�o:
real: os usu�rios que podem fazer acesso a toda a �rvore de diret�rios. Se
um usu�rio n�o � atribu�do a outra classe, ele automaticamente est� nessa.
guest: os usu�rios que podem fazer FTP para dentro do seu diret�rio apenas.
anonymous: usu�rio anonymous (FTP an�nimo).

O objetivo deste HOWTO � ensinar a transformar usu�rios real em guest.
1) Logar-se como superusu�rio

2) Editar o arquivo /etc/ftpacess

a) confirmar a exist�ncia do par�metro guest na linha que define as classes.
Exemplo: class all real,guest,anonymous *
b) incluir a seguinte linha no final do arquivo: guestgroup ftpguests

3) Adicionar um grupo ftpguests (ou outro nome significativo)
# groupadd ftpguests

4) Mudar o grupo prim�rio de cada usu�rio que se deseja restringir para
ftpguests:
# usermod -g ftpguests usu�rio.

5) Criar os diret�rios bin, etc e lib no home de cada usu�rio:
# mkdir /home/usu�rio/bin
# mkdir /home/usu�rio/etc
# mkdir /home/usu�rio/lib

6) Fazer hard links (symbolic links n�o funcionam!) entre os diret�rios
criados e seus equivalentes no diret�rio /home/ftp (isso tem que ser feito
para cada usu�rio):
# ln /home/ftp/bin/* /home/usu�rio/bin
# ln /home/ftp/etc/* /home/usu�rio/etc
# ln /home/ftp/lib/* /home/usu�rio/lib

7) Confirmar no arquivo /etc/inetd.conf que o daemon do ftp est� sendo
rodado com a op��o -a:
Exemplo: Digite o comando grep ftp /etc/inetd.conf. No resultado, deve
aparecer:

ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd -l -a
A op��o -l informa o daemon a rodar efetuando logs. J� a op��o -a �
respons�vel por fazer o daemon trabalhar usando as op��es passadas no
arquivo /etc/ftpacess. Ela �, por conseguinte, indispens�vel e est�
atribu�da por default. Caso n�o apare�a, contudo, o arquivo /etc/inetd.conf
deve ser editado e o processo inetd restartado (kill - HUP
pid_processo_inetd).
Ap�s estes passos, o sistema j� deve estar funcionando. Fa�a um FTP usando
algum dos usu�rios restritos e confirme se o "/" dele agora �, na verdade, o
/home/usu�rio.

[]s,
 __  __  __    -------------------------
|  \/ _|/ _| : Dennis Chimanski Schwartz
| )  |_ \_ \ : Linux User # 239377
|__/\__||__/ : W3 Software Devel. Team
               -------------------------


-----Mensagem original-----
De: [EMAIL PROTECTED]
[mailto:[EMAIL PROTECTED]]Em nome de Jean Everson Martina
Enviada em: Saturday, January 19, 2002 1:28 PM
Para: Fuser
Cc: Leandro Leal - Lealsoftware; Lista Linux
Assunto: Re: (linux-br) Acesso ao FTP est� dano para ver outros
diret�rios



direto da man do ftpaccess

 restricted-uid <uid-range> [...]

       restricted-gid <gid-range> [...]

       unrestricted-uid <uid-range> [...]

       unrestricted-gid <gid-range> [...]

            These clauses control whether or not  real  or  guest
            users will be allowed access to areas on the FTP site
            outside their home directories.  They are  not  meant
            to  replace  the  use  of  guestgroup  and guestuser.
            Instead, use these to  supplement  the  operation  of
            guests.   The  unrestricted-uid  and unrestricted-gid
            clauses may be used to allow users outside their home
            directories who would otherwise be restricted.

            An  example  of  the use of these clauses shows their
            intended use.  Assume user 'dick' has a  home  direc�
            tory /home/dick and 'jane' /home/jane:
                guest-root /home dick jane
                restricted-uid dick jane
            While  both dick and jane are chroot'd to /home, they
            cannot access each other's  files  because  they  are
            restricted to their home directories.

            Whereever  possible, in situations such as this exam�
            ple, try not to rely solely  upon  the  ftp  restric�
            tions.   As  with  all other ftp access rules, try to
            use directory and file permissions  to  backstop  the
            operation of the ftpaccess configuration.


On Sat, 19 Jan 2002, Fuser wrote:

> tamb�m estou com o mesmo problema e  uso o wu-ftp, e fiz o que vc falou
mas
> tb n�o deu certo.
> � s� colocar  o restricted-uin* no /etc/ftpaccess???
> ----- Original Message -----
> From: "Jean Everson Martina" <[EMAIL PROTECTED]>
> To: "Leandro Leal - Lealsoftware" <[EMAIL PROTECTED]>
> Cc: "Lista Linux" <[EMAIL PROTECTED]>
> Sent: Saturday, January 19, 2002 1:15 PM
> Subject: Re: (linux-br) Acesso ao FTP est� dano para ver outros diret�rios
>
>
> > Como eu fa�o para restringir ao usu�rio que acessou por ftp a ele ver
> apenas
> > seu diret�rio.
> >
> > Tem alguma configura��o a fazer?!
>
> se for o wuftpd, no /etc/ftpacces, coloque o seguinte:
>
> restricted-uid *

Abracos,

-------------------------------------------------------------------
|                      Jean Everson Martina                       |
|              Graduando em Ci�ncias da Computa��o                |
|        Membro do Laborat�rio de Seguran�a em Computa��o         |
|              Athom Consulting Ltda - Diretor Tecnico            |
|              Faixa Preta 1o. Dan - Karate Shotokan              |
|       Home-Pages:     http://www.inf.ufsc.br/~everson           |
|                       http://www.athom.com.br                   |
|       NickName: ViRaK  - UIN : 1743212 - Linux User #76191      |
-------------------------------------------------------------------
PGP fingerprint =  8A 97 F1 55 E2 34 CD 15  2F 4A 5E C4 F9 E5 6F 1B





Assinantes em 19/01/2002: 2239
Mensagens recebidas desde 07/01/1999: 151308
Historico e [des]cadastramento: http://linux-br.conectiva.com.br
Assuntos administrativos e problemas com a lista: 
            mailto:[EMAIL PROTECTED]

Responder a