pure-ftpd-1.0.30-1.el6.x86_64我刚刚在我的 CentOS 6.5 服务器上安装了 Pure-FTPd ( )。
我正在使用“虚拟用户”,因此 FTP 用户与系统帐户断开连接。
尽管如此,pure-ftpd 守护进程本身以 root 身份运行,并且所有上传的文件都归 root 所有。
我在手册上看到,所有客户端都已 chroot 到其主目录,但我对上传的文件由 root 上传和拥有感到有点不安。我应该更改 pure-ftpd 用户吗?还是我的担心是多余的?
一些澄清:
1)我正在尝试评估此配置的安全性:如果我发现此默认配置是安全的,我很乐意保持原样,不去改变它
2)缓冲区溢出是我担心的一个方面
答案1
你的担心毫无根据,没有可能的方法(据我所知)在 FTP chrooted shell 中执行代码(除非你有系统远程访问权限,即 SSH)。
答案2
快速浏览一下文档,你就会发现它暗示了可以“100% 非 root”权限运行,如果你感到紧张,为什么不研究一下呢?