VSFTP: Ograničenje korisnika na njegov $HOME

Prilikom instalacije paketa vsftp često se zaboravi pregledati konfiguracijsku datoteku, pe se nakon određenog vremena, prlikom spajanja FTP klijentom iznenadimo i upitamo "Pa kako je to moguće?".

Naime, ako se korisnik prilikom uporabe ftp protokola ne ograniči na njegov home direktorij omogućili smo mu pregledavanje ostalih direktorija, kako drugih korisnika, tako i sistemskih direktorija. Naravno, to zavisi od postavljenih dozvola nad datotekama, a u najgorem slučaju moći će i preuzeti datoteke na svoje računalo.

Pogledajmo primjer korisnika koji nije koristio klasični klijent za FTP, nego je to napravio pomoću Internet Explorera, te odmah otišao u direktorij root:

Korisniku sklonom "istraživanju" je ovo dovoljan poticaj da "malo pogleda" i ostale direktorije, te zlonamjerno ili ne, preuzme neku od datoteka.

Ovo je ponašanje sprecifično za Internet Explorer, drugi FTP klijenti nakon prijave korisnika postavljaju u njegov home direktorij. Većina korisnika tada najčešće ni ne pomišlja da pregleda ostale direktorije, iako je to i dalje moguće.

Da bi izbjegli mogućnost da korisnik pristupa datotečnom sustavu, a time i mogućnost da zlonamjerno iskopira tuđe dokumente, dovoljno je u konfiguracijskoj datoteci /etc/vsftpd.conf uključiti (otkomentirati) opciju: chroot_local_user i postaviti je na yes.

# You may restrict local users to their home directories.  See the FAQ for
# the possible risks in this before using chroot_local_user or
# chroot_list_enable below.
chroot_local_user=YES

Nakon izvršenih izmjena potrebno je restartati vsftpd.

Nakon te male, ali vrijedne izmjene Internet Explorer prikazati će korisnikov $HOME i neće dopustiti kretanje iznad njega. Sada će korisnik vidjeti samo svoje datoteke, baš kao što treba biti.

Zdravko Rašić