유저가 ssh, ftp에서 home/으로 나가는걸 막으려고 합니다.

drops02의 이미지

안녕하세요? 염치불구하고 또 질문을 올려 봅니다. oops

redhat커널 2.4.18-3을 설치하였고 APM설치를 끝냈는데..
다른곳은 문제없이 잘 동작하는데..
FTP와 SSH로 접속을 해서 cd명령으로 상위디렉토리로 이동을 하면
home과 root까지 읽기가 가능해버리네요.
혹시나 하고 home디렉토리를 chmod o-r home으로 해둬도
home으로 접속가능한 그룹이 아닌 일반 other 그룹으로 접속을
해도 home/으로 나가서 읽기가 가능하길래 ls를 다시 chmod o-r ls로
설정해줬습니다. 그런뒤에 실험을 해보니 자신의 디렉토리에는 ls명령이
되긴 하지만 여전히 home이상의 디렉토리로 접속이 가능하고 root까지도
접속이 가능하더군요.

제가 하고 싶은 것은 단지 other그룹에 속한 유저가 home이하의 유저계정
안쪽에서만 읽기/쓰기/실행 이 가능한 상태로 만들고 싶습니다.
일반적인 웹호스팅을 받게 되면 home까지는 전혀 접근도 안되도록 되어
있던데.. 이건 어떻게 설정하는 것이죠?

----------------------------------------------------------------------------------

chroot를 쓰라는 글도 있고 어떤분은 리눅스를 설치할때 파티션을 나눠서
chmod를 해야 한다. 하는 분도 있습니다. 후자의 경우는 제가 원격으로
관리를 하고 있고 리눅스를 다시 설치할 수가 없다는 상황이라 시도도 못해
봣고 chroot는 당췌 어떻게 해야 하는것인지 알수 없을뿐더러 root를
home으로 바꾸는 정도 밖에 안되는 걸로 알아 듣고 있습니다. 잘 설명된
문서가 있다면 위치정보좀 나눠주세요.

ikshin의 이미지

FTP 서버마다 접속유저의 최상위 디렉토리를 명시해 줄 수 있는 옵션이 있습니다. vsftpd 같은 경우엔 vsftpd.chroot_list 파일을 통해 할 수 있구요. 그리고 계정유저들의 홈디렉토리 퍼미션은 711 또는 701 정도면 적당하지 않을까 싶네요. 참고로 계정유저의 홈디렉 아래에 있는 public_html 디렉의 퍼미션 같은 경우, 저는 소유권을 해당유저와www-data(데비안, 웹서버 권한)로 해 놓고 710으로 설정해 놓습니다. 홈페이지 소유자와 웹서버에 의해서만 접근이 가능하도록 말이죠.

- Human knowledge belongs to the world...

wootz의 이미지

drops02 wrote:
안녕하세요? 염치불구하고 또 질문을 올려 봅니다. :oops:

redhat커널 2.4.18-3을 설치하였고 APM설치를 끝냈는데..
다른곳은 문제없이 잘 동작하는데..
FTP와 SSH로 접속을 해서 cd명령으로 상위디렉토리로 이동을 하면
home과 root까지 읽기가 가능해버리네요.
혹시나 하고 home디렉토리를 chmod o-r home으로 해둬도
home으로 접속가능한 그룹이 아닌 일반 other 그룹으로 접속을
해도 home/으로 나가서 읽기가 가능하길래 ls를 다시 chmod o-r ls로
설정해줬습니다. 그런뒤에 실험을 해보니 자신의 디렉토리에는 ls명령이
되긴 하지만 여전히 home이상의 디렉토리로 접속이 가능하고 root까지도
접속이 가능하더군요.

제가 하고 싶은 것은 단지 other그룹에 속한 유저가 home이하의 유저계정
안쪽에서만 읽기/쓰기/실행 이 가능한 상태로 만들고 싶습니다.
일반적인 웹호스팅을 받게 되면 home까지는 전혀 접근도 안되도록 되어
있던데.. 이건 어떻게 설정하는 것이죠?

----------------------------------------------------------------------------------

chroot를 쓰라는 글도 있고 어떤분은 리눅스를 설치할때 파티션을 나눠서
chmod를 해야 한다. 하는 분도 있습니다. 후자의 경우는 제가 원격으로
관리를 하고 있고 리눅스를 다시 설치할 수가 없다는 상황이라 시도도 못해
봣고 chroot는 당췌 어떻게 해야 하는것인지 알수 없을뿐더러 root를
home으로 바꾸는 정도 밖에 안되는 걸로 알아 듣고 있습니다. 잘 설명된
문서가 있다면 위치정보좀 나눠주세요.

ftp 경우 어떤 ftp를 사용 하는지 모르겠지만
proftp 경우 Defaultroot ~
이렇게 해주시면 됩니다. proftpd.conf 에 설정 해주시면 됩니다.
자세한 것은 oops.org 에 가서 찾아보세요 !!

한번 폼나게 살아 보자

pynoos의 이미지

일단 파일과 디렉토리의 권한 설정에 미묘한 차이가 있습니다.

파일은 직관적이므로 생략하고 디렉토리의 경우, 읽기 권한이 있다는 것은 readdir 을 통해 디렉토리에 어떤 파일이 있는지 살펴 볼 수 있다는 것입니다.
그리고, 디렉토리에 실행권한이 있는 것은 그 안에 있는 파일에 대한 접근권한을 설정하는 것입니다.

즉, /bin/ls 는 실행되게하고 /bin 에 있는 파일들을 나열할 수 없게 하려면 /bin 에다

drwxr-x--x

와 같이 넣어주면 됩니다. 물론 해당 User는 그룹권한을 통해서 접근되지 않도록 디렉토리를 소유한 그룹에 들어가지 않아야겠지요.

비슷하게 다른 사람의 homedirectory를 접근하지 못하게 하려면,

위와 같이 해주면됩니다.

/home
/home/user1

등에 other 접근권한을 아예 빼시고 그룹도 고립시켜야합니다.

haedong의 이미지

vsftp의 경우

vsftpd.conf파일의

chroot_list_enable=yes
chroot_list_file=vsftpd.chroot_list파일경로

위 두라인을 활성화 하시구요

vsftpd.chroot_list파일에 계정이름을 추가해보세요

전 이렇게 하니까 되는군요..
다만 지금 퍼미션문제로 고심중입니다.

덧. 진위 여부는 밝혀지지 않았습니다.. ;;

시간은 나와 당신을 포함한 모든 사물에 각기 다르게 적용된다.

-http://haedong.ivyro.net

drops02의 이미지

우왓~ 감사 합니다 이렇게 오래된 글에 답글을 달아 주시다니~
이래저래 암래도 안되길레 FTP를 아주 막아 버렸었습니다. 서버데몬은
proftpd를 썼었구요. 루트로만 못 나가게 했었지만 /home에서 다른
계정들로 마구마구 들어가지드라구요.

힌트를 따라서 좀더 검색 해봐야 되겠습니다.

관심 감사합니다.

머리는 느려지고 늘어가는건 담배 꽁초 수..

ㅡ,.ㅡ;;의 이미지

일반적으로 퍼미션설정만으로는 루트 접근자체를 막을수는 없습니다.
그러나 서비스 데몬에서 접근을 차단해주는 옵션을 제공한다면 가능한데
proftp같은경우 설정이 있다는건 위에서 이미 다른님들이 말씀하셨죠..


----------------------------------------------------------------------------

댓글 달기

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.