proftpdでjailする

proftpdでjailする。

jailって檻って意味で、ftpで接続したユーザがftpサーバの/とか、一番rootのところにアクセスできなくするための機能。

今回自分のところの鯖では、ユーザ間でのやりとりとかあるので他のユーザのところにはアクセスさせたい、でも/とかに行かれると困る、という条件。
困ることは無いんだけど、ユーザからごちゃごちゃするからわかりにくい、との意見が。

ProFTPdでjailを有効にするためのconfはDefaultRootオプションで行う。
元々記述されてコメントアウトされてるのがあったのでこの付近に。
グローバルディレクティブの位置、っていうのかな。

他の事例集だとまず間違いなくホームディレクトリでjailするものだったので、そこをちょこっとだけ変更。
またfreebsdの鯖でwheel、いわゆるadminグループ?に属してるユーザはjailから解放してやる。


DefaultRoot /usr/home/ !wheel

DefaultRootの最初の引数はjailかけたい場所、どの対象にかけるか、ユーザのフィルタリング。
何も書かなければたぶん全部のユーザで、否定形をつかうことによってそこからユーザの引き算ができる。
ここに書くのがユーザ名なのかグループ名なのかはわかんない、でもグループ名かけばなんとかしてくれた。
グループとユーザ名が一緒のやつで違う(ことってできるよね)だとどうなるんだろう。
hogeグループに属してないhogeさんをjailして、hogeグループに属したfooさんはjailしない、とか。まぁ杞憂だけど、うん。
ProFTPD Configuration Directive List DefaultRoot
TIPS » Blog Archive » proftpd chroot jail

コメントを残す