Page 1 of 1
Критический БАГ или супер фича?
Posted: Wed Sep 28, 2016 9:39 am
by kirilsb
При создании FTP доступа для домена, с этим же логином и паролем легко попадаем по SSH и делаем, что хотим. Доступны все директории и файлы, удаление/изменение/запись.
Если это фича, то как отключить???
Debian 8
Version:0.9.8 (amd64)
Release:16
Re: Критический БАГ или супер фича?
Posted: Thu Sep 29, 2016 1:29 pm
by Alex Connor
Для пользователя при этом включен какой-либо SSH-доступ в настройках?
Re: Критический БАГ или супер фича?
Posted: Wed Nov 23, 2016 1:40 pm
by xlandhost
kirilsb wrote:При создании FTP доступа для домена, с этим же логином и паролем легко попадаем по SSH и делаем, что хотим. Доступны все директории и файлы, удаление/изменение/запись.
Если это фича, то как отключить???
Debian 8
Version:0.9.8 (amd64)
Release:16
если у юзера включен в натсройках пользователя bash
то при подключении на 22 порт по сфтп он сможет видеть папки других юзеров, но изменять и записывать он ничего не сможет,
чтоб такого бага не было покупайте модуль SFTP Chroot
Re: Критический БАГ или супер фича?
Posted: Tue Dec 06, 2016 9:59 am
by skurudo
kirilsb wrote:
Если это фича, то как отключить???
Отключить авторизацию по паролю в SSH и оставить только ключи.
(обратите внимание, что рута это тоже будет касаться).
Сам сделал как и говорил
xlandhost, взял SFTP плагин себе на продакшен серверы.