Polskie Forum Użytkowników Debiana

Czy takie rozwiązanie jest w ogóle możliwe, aby użytkownik FTP miał ograniczoną możliwość buszowania po dysku przy pomocy np. skryptów PHP? Zakładając konto FTP ograniczyłem dostęp tylko do katalogu domowego użytkownika. Jednak są tam pliki np. php w których można umieścić kod który odczyta wszystko to co jest na dysku.

Jest opcja open_basedir w php, jednak skrypt korzysta również w plików które są rozsiane po innych folderach. Mogę je tam dodać, ale ścieżkę do nich można doczytać choćby przez ini_get/all co przy pomocy zeskanowania tych ścieżek ukazuje pliki w całych katalogach.

Jest jakiś inny sposób ograniczenia działania php?

Tak, uruchomienie php-fpm per użytkownik.

Tylko jeśli np. domena główna, nazwijmy to panel admina, który odczytuje pliki ze swojego folderu, jak i pliki z folderu podpiętego pod FTP to po wrzuceniu złośliwego kodu przez FTP, zostanie on uruchomiony w panelu, więc nie zablokuje to php-fpm.

Czy coś pominąłem ?

A niby dlaczego skoro proces php będzie działał z uprawnieniami użyrkownika?

Ponieważ panel będzie miał inne uprawnienia, główne bez ograniczeń np. standardowo www-data. Odczytując pliki z folderu FTP innego użytkownika, wykona je bezwarunkowo.

Ja się na tym nie znam, ale zainteresowałbym się hasłem: listy ACL.

ACL też nie przejdzie. Jedyna opcja jaka przychodzi mi do głowy to wyłączyć możliwość przesyłania określonych plików po stronie FTP.

Edycja:

Faktycznie, po zrobieniu FPM + open_basedir parser działa poprawnie, nie wiem czemu wcześniej leciało po całości, musiałem nadać złe uprawnienia do katalogu.