Gestione delle utenze in vsftpd

Qualche considerazione sulla gestione degli utenti che possono accedere al servizio ftp di un server. Come fare in modo che non possano spostarsi in altre directory.

Lo spunto per queste annotazioni nasce, come quasi sempre, dall’osservazione di un cliente che desidera permettere l’accesso in ftp ad un server, ma che vuole evitare che gli stessi utenti non possano spostarsi in altre directory. Esigenza non solo comprensibile, ma anche assolutamente corretta e doverosa.

vsftpd-logo
In questo caso mi riferisco al server FTP scelto, che è il famoso (tanto da essere una scelta scontata) VSFTPD.
Stiamo parlando di un server FTP con licenza GPL per server UNIX, incluso Linux. E’ sicuro e veloce, ed è stabile.

Essendo un prodotto così diffuso, verrebbe da pensare che una semplice ricerca sul web permetta di trovare rapidamente molte pagine con dettagli relativi alla configurazione, tantopiù per una implementazione così ovvia. E invece non è facile trovare pagine che spieghino in maniera semplice, e soprattutto corretta, questo semplice settaggio del file vsftpd.conf.

Qui non mi dilungherò su tutte le configurazioni possibili del server (queste sì che si trovano in molte pagine web), ma solo sul punto indicato sopra.

Gli utenti che potranno accedere al servizio FTP:
– sono utenti di sistema, verranno quindi creati ad esempio tramite il comando adduser e saranno presenti nel file /etc/passwd
– hanno una password e una specifica home directory, specificata sempre in /etc/passwd
– se non devono accedere in altro modo che non sia l’FTP, possono avere shell impostata a /sbin/nologin
– aggiungere i nome degli utenti in /etc/vsftpd/vsftpd.chroot_list (e verificare che non siano presenti in /etc/vsftpd/ftpuser)
– in vsftpd.conf verificare o aggiungere le seguenti opzioni:
— chroot_list_enable=YES
— chroot_list_file=vsftpd.chroot_list (ovvero il file specificato al punto precedente)

Ricordarsi che ad ogni modifica del file vsftpd.conf è necessario effettuare il restart del servizio affinchè vengano recepite.

A questo punto gli utenti specificati potranno accedere solo in FTP e verranno collegati alla propria home directory, senza potersi spostare da quella se non per muoversi in profondità, in directory già create o definite da loro.

One comment

Lascia il tuo commento