vsftpd中chroot功能详解
声明:本人是在校学生,如有技术问题欢迎指正,也欢迎提出宝贵建议!
vsftpd 的 chroot 功能是通过调用 chroot() 来实现的,chroot () 是 Linux 内核提供的系统调用。
chroot 功能是将特定用户限制在其家目录中,让其家目录变成“根目录”。
chroot_local_user = YES #将所有用户限制在其家目录下,家目录就是“根目录”。NO则相反
chroot_list_enable = YES #启用特殊用户列表,如果chroot_local_user = YES,那么这个列表就是不受限制的用户,反之就是受限制的用户列表。NO则不启用。
chroot_list_file = /etc/vsftpd.chroot_list #设置用户列表位置,可以不设置用默认就是/etc/vsftpd.chroot_list。
在网络安全领域,被 chroot 限制的环境常被称为chroot 监狱。chroot逃逸或者类似叫法是突破chroot监狱。
注意:chroot虽然能限制用户,但chroot()系统调用并不是为了安全设计的。在vsftpd配置手册和配置文件注释区域和Linux内核手册等都有说明。
全文依据如下:
使用配置项依据
(配置文件注释)
翻译:你可以指定一个明确的本地用户列表,以便将这些用户 chroot() 到他们的家目录。如果 chroot_local_user 设为 YES,那么这个列表就变成了不进行 chroot() 的用户列表。
这里所说的列表就是默认位置,或者用chroot_list_file设置位置。
(vsftpd配置手册)
不用于安全目的和vsftpd依赖chroot安全隔离依据
注:chroot(2) 中的 (2) 指的是手册章节中的系统调用章节。
(《安全防御入门手册》)
(vsftpd配置手册)
浙公网安备 33010602011771号