Web、Mail、Ftp、DNS、Proxy、VPN、Samba、LDAP 等基础网络服务
-
Jarson
- 帖子: 2371
- 注册时间: 2008-07-21 9:44
- 来自: 深圳
-
联系:
#1
帖子
由 Jarson » 2009-02-22 22:24
在配置apache和vsftpd时,皆听说了chroot这个东东,可是俺就是不明白这个chroot到底是什么东西。是不是"change root"的缩写啊?
例如,在配置vsftpd时,我看到了这么个解释:
chroot_local_user=<YES/NO> :当为 YES 时,所有本地用户可以执行 chroot
chroot_list_enable=<YES/NO>
chroot_list_file=<filename> :当 chroot_local_user=NO 且 chroot_list_enable
=YES 时,只有 filename 文件指定的用户可以执行 chroot
上面配置的逻辑意思我是懂了,不懂的是——“可以执行chroot”。用户“可以执行chroot”是不是说用户可以离开其主目录,访问其上级目录或者任意的用户具有访问权限的目录?
-
Jarson
- 帖子: 2371
- 注册时间: 2008-07-21 9:44
- 来自: 深圳
-
联系:
#2
帖子
由 Jarson » 2009-02-22 23:11
貌似和我上面理解的刚好相反
关于 chroot 的配置
1:如果想把所有用户都限制在主目录内活动可以使用下边配置
chroot_local_user=YES
chroot_list_enable=YES(这行可以没有, 也可以有)
chroot_list_file=/etc/vsftpd.chroot_list
那么, 凡是加在文件 vsftpd.chroot_list 中的用户都是不受限止的用户
即, 可以浏览其主目录的上级目录.
2: 如果不希望某用户能够浏览其主目录上级目录中的内容, 可以如上设置, 然后在
文件 vsftpd.chroot_list 中不添加该用户即可(此时, 在该文件中的用户都是可以浏览其主
目录之外的目录的).
或者, 设置如下
chroot_local_user=NO
chroot_list_enable=YES(这行必须要有, 否则文件 vsftpd.chroot_list 不会起作用)
chroot_list_file=/etc/vsftpd.chroot_list
然 后把 所 有不 希 望有 这 种浏 览 其主 目 录之 上 的各 目录 权 限的 用 户添 加 到文 件
vsftpd.chroot_list(此时, 在该文件中的用户都是不可以浏览其主目录之外的目录的)
