[Tech] Security problem (ftp)
Leonardo Boselli
leo@dicea.unifi.it
Sab 10 Nov 2001 11:20:13 CET
Avevo ftpd ssl ma mi sono accorto che chiunque poteva fare un
retrieve dei files in pub/incoming .... ossia che era diventato un
dropbox.
ho messo wu-ftp e malgrado il file di configurazione che segue
anonymous continua a fare il retrieve da ftp/pub/incoming
la directory incoming ha permission:
drwxr-x-wx 3 root root 4096 Nov 10 11:09 incoming
dove e`il problema (e`identico sia con ftpd=ssl che con wu-ftpd)
???????????????????
.
I files vamgono creati con modo 640 user ftp group ftp
-*************************************
# This file was generated by the KDE wu-ftpd configurator.
# (c) 2000 by Bernhard Rosenkrdnzer (bero@redhat.com)
upload yes
noretrieve /home/ftp/pub/incoming/ /etc/passwd
loginfails 5
private no
chmod no anonymous
delete no anonymous
overwrite no anonymous
rename no anonymous
umask no anonymous
passwd-check none warn
log commands anonymous,guest,real
log security anonymous,guest,real
log transfers anonymous,guest inbound
log transfers anonymous,guest outbound
anonymous-root /home/ftp/pub
dl-free-dir * /home/ftp/pub
mailfrom ftpdaemon@*******
incmail leo@dicea.unifi.it
-------------------------------------------
Leonardo Boselli
nucleo informatico e telematico
Dipartimento Ingegneria Civile
Universita` di Firenze
V. S. Marta 3 - I-50139 Firenze
tel +39()0554796431 fax +39()055495333
http://www.dicea.unifi.it/~leo
Maggiori informazioni sulla lista
flug-tech