[Tech] Security problem (ftp)

Leonardo Boselli leo@dicea.unifi.it
Sab 10 Nov 2001 11:20:13 CET


Avevo ftpd ssl ma mi sono accorto che chiunque poteva fare un 
retrieve dei files in pub/incoming .... ossia che era diventato un 
dropbox.
ho messo wu-ftp e malgrado il file di configurazione che segue
anonymous continua a fare il retrieve da ftp/pub/incoming
la directory incoming ha permission:
drwxr-x-wx    3 root     root         4096 Nov 10 11:09 incoming

dove e`il problema (e`identico sia con ftpd=ssl che con wu-ftpd)
???????????????????
.
I files vamgono creati con modo 640 user ftp group ftp
-*************************************
# This file was generated by the KDE wu-ftpd configurator.
# (c) 2000 by Bernhard Rosenkrdnzer (bero@redhat.com)
upload                  yes
noretrieve /home/ftp/pub/incoming/ /etc/passwd
loginfails 5
private no
chmod   no      anonymous
delete  no      anonymous
overwrite       no      anonymous
rename  no      anonymous
umask   no      anonymous
passwd-check    none    warn
log commands anonymous,guest,real
log security anonymous,guest,real
log transfers anonymous,guest inbound
log transfers anonymous,guest outbound
anonymous-root /home/ftp/pub
dl-free-dir * /home/ftp/pub
mailfrom ftpdaemon@*******
incmail leo@dicea.unifi.it
-------------------------------------------

Leonardo Boselli
nucleo informatico e telematico
Dipartimento Ingegneria Civile
Universita` di Firenze
V. S. Marta 3 - I-50139 Firenze
tel +39()0554796431 fax +39()055495333
http://www.dicea.unifi.it/~leo




Maggiori informazioni sulla lista flug-tech