FTP-доступ к подкаталогу сервера = root?

Question

[Barrakuda74]

Однажды оказавшись жертвой китайский хакеров (взломали сервак через устаревший phpmailer - уязвимость через 5-й параметр sendmail), я подумал, а как же теперь можно безопасно кому-то дать доступ по ftp к тому или иному каталогу сервера? Ведь злоумышленник может в два счёта загрузить туда бэкдор и получить root, или я не прав?

Comments

[Модератор]

Barrakuda74 дорогой пользователь, настоятельно рекомендуем еще раз обратить самое пристальное внимание на п. 3.1 регламента работы сервиса (и, в особенности, на его последний абзац).
В противном случае, ваши вопросы будут удаляться по причине тег-спама, а систематические нарушения приведут к блокировке учетной записи.

[Barrakuda74]

Модератор, эмм... думал тег "FTP" имеет право на жизнь в вопросе о безопасности FTP-доступа... ну... раз нет так нет, жираф большой ему видней))
p.s.: а в последнем абзаце как раз говорится что не нужно использовать абстрактные теги, потому что это может ввести в заблуждение пользователей других языков. А вы наоборот изменили мне более конкретные теги (FTP и вирусы - имеющее прямое отношение к вопросу, на абстрактное "веб-разработка" - хотя вопрос к вебразработке вообще не имеет отношения).

[Модератор]

Barrakuda74, его я снес случайно, сорян.

Answer 1

[Dmitry Tallmange]

Загрузив в папку "бэкдор", предполагаемый злоумышленник получит возможность запускать любые скрипты от имени вэб-сервера. Ну или от имени php-fpm, например. Шелл скрипты будут запускаться от того же имени. Поэтому "получить root" по умолчанию невозможно.

Наличие chroot в ftp, по своей сути, уничтожает описанную проблему на корню.

ОДНАКО! Все вышеописанное верно при отсутствии эксплоита критических уязвимостей ядра. Следовательно, при наличии актуальных обновлений безопасности.

Comments

[Barrakuda74]

С root (забавно звучит :D) да, возможно, перегнул, имел в виду получит доступ к каталогам уровнем выше, чем изначально давалось пользователю.

[Dmitry Tallmange]

Barrakuda74, это, в очередной раз (неожиданно!), зависит от настроек сервера, строго говоря от настроек фтп

[Barrakuda74]

от настроек фтп

Можно конкретику?
Есть:
Запертый в домашке юзер с рабочим sendmail.
Задача:
Удержать в домашке...

[Dmitry Tallmange]

Barrakuda74, если запертый в "домашке" (ох, уж этот профессиональный сленг) обозначает chroot ftp, то на этом беспокойства о безопасности можно оставить позади.

[Barrakuda74]

Dmitry Tallmange, А, вот так вот? Тогда это и есть ответ! :D
ps.: Если не трудно добавьте пожалуйста информацию о chroot в свой первый ответ:)

[Dmitry Tallmange]

Barrakuda74, сделано