chroot しない FTP ユーザが、自分の所有するディレクトリにファイルの PUT やディレクトリの作成が出来ない・・・
「553 Could not create file.」エラーで・・・
chroot しない FTP ユーザ作るのも久しぶりだったので一瞬 FTP サーバの設定を疑ったが、結局原因は SELinux の「悪さ」。
chroot しないユーザアカウントが乗っ取られたら危険だから、chroot しないとファイルの作成は許さない!・・・ということなのだろうが、大きなお世話だ。
VPN の中でしっかり守られたサーバに SELinux は不要じゃ!・・・と、/etc/sysconfig/selinux を、
SELINUX=disabled
に修正してサーバ再起動。
これで、「553 Could not create file.」エラーは出なくなる。
しかし、Linux 系 OS って、ホントにディフォルト設定で「絞ってる」よねえ(^^;
かつての Windows のような「だだ通し」も問題だけど、これほどディフォルトできつきつのセキュリティ設定しなくてもなあ。(^^;
ま、こんなことを言うと、SELinux 信者は狂ったように「セキュリティに対する認識が甘い!」とかわめき出すんだけど。
甘くないよ。
けっこうメジャーな会社のインターネットサーバを何台も構築してきたけど、SELinux も iptables も無かった FreeBSD 機で、クラッキング被害にあったことなんかないよ!
もし、Linux は SELinux と iptables をディフォルトでガチガチにかけてなければ危険というのなら、それは OS の設計か実装の問題でしょ?
コメントする