[Tech] Security problem (ftp)
Sergio Ballestrero
s.ballestrero@firenze.linux.it
Ven 16 Nov 2001 10:16:36 CET
On Sat, 2001-11-10 at 11:20, Leonardo Boselli wrote:
Avevo ftpd ssl ma mi sono accorto che chiunque poteva fare un
retrieve dei files in pub/incoming .... ossia che era diventato un
dropbox.
ho messo wu-ftp e malgrado il file di configurazione che segue
anonymous continua a fare il retrieve da ftp/pub/incoming
la directory incoming ha permission:
drwxr-x-wx 3 root root 4096 Nov 10 11:09 incoming
dove e`il problema (e`identico sia con ftpd=ssl che con wu-ftpd)
???????????????????
il primo problema e' l'esistenza di incoming..
I files vamgono creati con modo 640 user ftp group ftp
-*************************************
# This file was generated by the KDE wu-ftpd configurator.
# (c) 2000 by Bernhard Rosenkrdnzer (bero@redhat.com)
upload yes
noretrieve /home/ftp/pub/incoming/ /etc/passwd
il secondo probabilmente e' che ftpd anonymous gira in chroot, e quindi
la dir e' /pub/incoming per lui.
Ciao,
S.
--
War doesn't prove who's right, Sergio Ballestrero
just who's left. http://www.firenze.linux.it/~sash
GPG Key fingerprint = D974 2E34 B4C5 2EE6 0333 31BC 621B 0273 9FF7 BF97
Maggiori informazioni sulla lista
flug-tech