部分Openwrt中的vsftpd存在漏洞（附解决方案）

忘忧GX

个人博客：部分Openwrt中的vsftpd存在漏洞（附解决方案） 欢迎访问

Vsftpd挺好用的，但是OpenWrt里面的属于精简版本，发现一个小bug，最近整理发现分享一下。
就是开启vsftp用户与本地用户相同共享时，禁止递归会失效，比如本地用户是share_test,vsftpd也设置一个用户叫share_test，这时候就会出现这个share_test的ftp用户登录可以随意访问整个openwrt任何目录，无视任何设置

解决版本：

1. #在/usr/sbin/vsftpd_prepare中（大概第146行左右，全局规则里加入）
   
2. output_bool global chroot_list_enable "chroot_list_enable"
   
3. output_bool global chroot_local_user "chroot_local_user"

复制代码

不过最后还是建议大家使用虚拟用户好了，不要搞本地用户，但如果多用户写入需求的时候为了区分权限还是需要本地用户方便一些。

请不要胡乱输入以及粘贴、复制等方式灌水

请尊重作者、并共同维护网站的正常阅读，否则账户将会被限制发帖、回帖，并且积分可能会被清零，站内短信以及阅读权限等都会受到影响，谢谢。 具体限制方式：https://www.right.com.cn/forum/thread-8307840-1-1.html

wulishui

vsftpd的默认设定一直是这样的，你共享/tmp/tmp/tmp/tmp，用户一直可以往上浏览到/，整个机器任何路径他都有权限浏览。有人去他仓库提过，回答说就是这样。
还有一个凡是正常精神状态的人都想不明白的设定“限制本地用户在其主目录下活动时其将拥有写权限，这被作者认为不安全而禁止登入”，这条与上条对应，也就是你如果要限定某用户在/tmp/tmp/tmp/tmp，那么该用户必须拥有写权限（也就是必须赋予他有写权限才允许登入，只读反而不允许登入），理由是“不这样不安全”。
如果你对这东西没有一点了解，建议不要使用vsftpd，不得不使用时用完就关。

忘忧GX

wulishui 发表于 2024-6-4 20:19
vsftpd的默认设定一直是这样的，你共享/tmp/tmp/tmp/tmp，用户一直可以往上浏览到/，整个机器任何路径他都 ...

我加了这个规则之后，就不能网上递归了，你限定它在哪个目录就共享哪个目录；这是vsftp原生的权限管理，只是openwrt在启动脚本里把规则去掉罢了
如果有100个人需要读写100个目录，就不能单纯的用虚拟用户去使用了，因为这样使用100个人实际上都是同一个用户，容易相互影响篡改其他人的文件；这时候用真实的linux用户就会方便些

wulishui

忘忧GX 发表于 2024-6-5 09:31
我加了这个规则之后，就不能网上递归了，你限定它在哪个目录就共享哪个目录
如果有100个人需要读写100个 ...

目前我只发现这两个坑，已一一去他仓库查证过，都有其他前辈提过，都有他们提交的记录和讨论，暂且不知是否有其它坑，这very secure ftp，用不好是very danger ftp

忘忧GX

wulishui 发表于 2024-6-5 09:52
目前我只发现这两个坑，已一一去他仓库查证过，都有其他前辈提过，都有他们提交的记录和讨论，暂且不知是 ...

我目前使用几年了，公网ipv4+ipv6，从日志监控上看，暂时还是安全的