En aquest article t'explique com configurar l'accès limitat dels usuaris on nomès podran treballar en el directori que nosaltres vullguem.
Fa poc vaig publicar aquest article Configurant un servidor Very Secure FTP Daemon (vsftpd) a FreeBSD 13 on explicava com tenir un servidor segur vsftp a FreeBSD de manera ràpida i senzilla. I ara anem a configurar-ho de manera que els usuaris no puguen veure allò que no han de veure, per molt maneguetes que vullguen ser :)
Jo abans el que feia era muntar un servidor vsftpd amb usuaris locals del sistema i després els feia un enllaç a una ruta concreta on està el projecte on han de treballar. Per exemple, si vull que treballen al projecte /usr/local/www/projecteX.net, jo feia al seu ~:
$ doas ln -s /usr/local/www/projecteX.net .
I una vegada s'autentiquen al servidor vsftp veuran el directori "projecteX.net" en el seu directori local. Però si accedeixen, i pujen a un nivell més alt, acaben veient-ho tot a /usr/local/www, i fins i tot podem pujar a un nivell més alt com /usr/local/ i també a /usr.
Doncs bé, ara vaig a configurar vsftpd per a restringir els usuaris en eixe directori que jo vull /usr/local/www/projecteX.net i que eixa ruta siga el seu arrel i no puguen eixir a un nivell superior.
PRIMER, PROTEGIM EL SISTEMA D'USUARIS DOTORS
Crearem els usuaris amb nologin, per a que no puguen accedir via ssh de cap de les maneres.
SEGON, CONFIGUREM VSFTPD PER A DONAR SERVEI FTP EN UNA GÀBIA
Configurarem vsftpd des del fitxer de configuració /usr/local/etc/vsftpd.conf i deixarem les tres següents línies habilitades:
chroot_local_user=YES
local_root=/usr/local/www/projecteX.net
allow_writeable_chroot=YES
I ara reiniciem el servei vsftpd amb:
$ doas service vsftpd restart
I ara els usuaris ja poden autenticar-se en el servidor, i veuran que l'arrel "/" és el directori que hem especificat amb la configuració del chroot:
TERCER, PERMETEM L'ACCÈS A ALTRES TIPUS D'USUARIS NO LIMITATS PER CHROOT
Ja hem vist que amb vsftpd podem crear una gàbia chroot per als usuaris, però també podem tindre usuaris que no estiguen limitats en eixe directori especificat en la configuració del chroot sinò que poden moure's pels distintis directoris que tinguen habilitats en el seu grup, de manera que podem tindre 10 usuaris en un chroot com hem explicat fins ara, i uns altres 10 usuaris que sí poden treballar en el seu directori personal d'usuaris i, fins i tot, moure's fora i dotorejar altres directoris.
Per a fer açò, editarem el fitxer de configuració de vsftpd i habilitarem les següents dues línies:
$ vi /usr/local/etc/vsftpd.conf
chroot_list_enable=YES
chroot_list_file=/usr/local/etc/vsftpd.chroot_list
I ara, editarem el fitxer especificat en chroot_list_file i afegirem els noms dels usuaris que no volem dins del chroot.
Per exemple farem:
$ vi /usr/local/etc/vsftpd.chroot_list
manolo
pep
gerard
quim
vicent
I d'aquesta manera aquestos usuaris podran veure fora del directori especificat en el chroot que expliquem en aquest article, com pots veure en aquesta captura de Filezilla:
I fins i tot, si tenim usuaris amb més permisos, afegirem també el nom d'aquestos usuaris en /usr/local/etc/vsftpd.chroot_list de manera que, quan entren en la màquina amb vsftpd podran veure tots els directoris als que poden arribar de manera local gràfica, o des de ssh, també podran afegir i/o esborrar directoris, etc.
Ací una captura de pantalla d'un usuari amb permisos més elevats que accedeix amb vsftpd i veu tots els directoris del sistema:
