PowerScale OneFS: Ett fel uppstod efter uppgradering "500 OOPS: Vsftpd: Vägrar att springa med Writable Root Inside Chroot"
Summary: När FTP-användaren ansluter till en PowerScale FTP-server efter en uppgradering eller korrigeringsfil misslyckas den med felmeddelandet "500 OOPS: Vsftpd: Vägrar att springa med skrivbar rot inuti chroot()." ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
FTP-användarinloggning misslyckas med:
500 OOPS: vsftpd: refusing to run with writable root inside chroot()
Cause
Problemet uppstår efter att OneFS har uppgraderats till en version som innehåller
Mer information finns på
vsftpd:
- 8.2.2_GA-RUP_2023-06 och senare
- 9.1.0.29 och senare
- 9.2.1.23 och senare
- 9.4.0.14 och senare
- 9.5.0.4 och senare
- 9.6.0.0 och senare
vsftpd pkg uppdateras från vsftpd-ssl-2.3.4vsftpd-ssl-3.0.5. – Herr talman,
Mer information finns på
vsftpd Officiell hemsida på https://security.appspot.com/vsftpd/Changelog.txt
- Add stronger checks for the configuration error of running with a writeable root directory inside a chroot(). This may bite people who carelessly turned on chroot_local_user but such is life. - Add new config setting "allow_writeable_chroot" to help people in a bit of a spot with the v2.3.5 defensive change. Only applies to non-anonymous.Problemet är att FTP-användarens rotkatalog är skrivbar. Informationen
chroot gräns används, vilket inte är tillåtet i den senaste uppdateringen. Informationen chroot Katalogen som användare är låsta till får inte vara skrivbar.Resolution
Obs! Den här ändringen är inte beständig över OneFS-uppgraderingar eftersom /etc/mcp/templates/vsftpd.conf ändras tillbaka till standard. Efter uppgraderingarna bör du se till att lösningen tillämpas igen för att undvika att problemet i den här KB-artikeln uppstår.
Det finns två alternativ för att lösa problemet:
- Alternativ 1: Ta bort skrivbehörigheter för användarens rotkatalog.
Kör följande kommando och ersätt katalogen med användarens
chroot katalog:
#chmod a-w /home/user
- Alternativ 2: Kringgå de starkare kontrollerna genom att lägga till konfigurationsinställningarna nedan i
vsftpdGlobal konfigurationsfil eller enskild användarkonfigurationsfil:
allow_writeable_chroot=YES
På OneFS-klustret rekommenderar vi att du gör en kopia av
vsftpd konfiguration till /ifs/data/Isilon_Support/. Till exempel:
# cp -av /etc/mcp/templates/vsftpd.conf /ifs/data/Isilon_Support/vsftpd.conf.bakAnvänd sedan VI-redigeraren och lägg till följande rad i
/etc/mcp/templates/vsftpd.conf "
allow_writeable_chroot=YES"
Ett annat alternativ istället för att använda VI-redigeraren är att använda kommandot echo för att lägga till en rad i samma fil:
# echo "allow_writeable_chroot=YES" >> /etc/mcp/templates/vsftpd.conf
Vänta några sekunder och kontrollera sedan att filen uppdateras till alla noder och att filens md5-kontrollsumma är konsekvent.
# isi_for_array -s md5 /etc/mcp/templates/vsftpd.confHär är en snabb återgivning av problemet och stegen för att åtgärda det:
-
Logga in på ett PowerScale-kluster som kör OneFS 9.4.0.14. Nedan visas FTP-användarens hemkatalog:
test2-fxq5rm3-1# ls -ld /ifs/home/warmsvcisiftp
drwx------ 2 warmsvcisiftp Isilon Users 264 Jun 13 02:50 /ifs/home/warmsvcisiftp
-
FTP-användarinloggningen misslyckas med felmeddelandet:
test2-fxq5rm3-1# ftp localhost
Trying 127.0.0.1:21 ...
Connected to localhost.
220-PowerScale OneFS 9.4.0.14
220
Name (localhost:root): warmsvcisiftp
331 Please specify the password.
Password:
500 OOPS: vsftpd: refusing to run with writable root inside chroot()
ftp: Login failed
ftp>
-
There are two options to address this issue depending on your workflow and concerns:
- Alternativ 1: Ta bort skrivbehörigheterna för användarens rotkatalog:
test2-fxq5rm3-1# chmod a-w /ifs/home/warmsvcisiftp
test2-fxq5rm3-1# ls -ld /ifs/home/warmsvcisiftp
dr-x------ 2 warmsvcisiftp Isilon Users 264 Jun 13 02:50 /ifs/home/warmsvcisiftp
test2-fxq5rm3-1# ftp localhost
Trying 127.0.0.1:21 ...
Connected to localhost.
220-PowerScale OneFS 9.4.0.14
220
Name (localhost:root): warmsvcisiftp
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> bye
221 Goodbye.- Alternativ 2: Kringgå säkerhetskontrollen:
test2-fxq5rm3-1# chmod u+w /ifs/home/warmsvcisiftp
test2-fxq5rm3-1# ls -ld /ifs/home/warmsvcisiftp
drwx------ 2 warmsvcisiftp Isilon Users 264 Jun 13 02:50 /ifs/home/warmsvcisiftp
test2-fxq5rm3-1# echo "allow_writeable_chroot=YES" >> /etc/mcp/templates/vsftpd.conf
test2-fxq5rm3-1# isi_for_array -s md5 /etc/mcp/templates/vsftpd.conf
test2-fxq5rm3-1: MD5 (/etc/mcp/templates/vsftpd.conf) = 4920beaff65c3bfa09bd18582c2fbcf8
test2-fxq5rm3-2: MD5 (/etc/mcp/templates/vsftpd.conf) = 4920beaff65c3bfa09bd18582c2fbcf8
test2-fxq5rm3-3: MD5 (/etc/mcp/templates/vsftpd.conf) = 4920beaff65c3bfa09bd18582c2fbcf8
test2-fxq5rm3-1# ftp localhost
Trying 127.0.0.1:21 ...
Connected to localhost.
220-PowerScale OneFS 9.4.0.14
220
Name (localhost:root): warmsvcisiftp
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> bye
221 Goodbye. Additional Information
- Dell-artikel Isilon: OneFS 8.X och senare: Hur man låser (chroot (change root) jail) FTP-användare till en specifik katalog
- ArchLinux-dokument, mycket säker FTP-demon
Affected Products
PowerScale OneFSProducts
PowerScale F200, PowerScale F600, PowerScale F900, PowerScale Hybrid H700, PowerScale P100Article Properties
Article Number: 000214872
Article Type: Solution
Last Modified: 11 Oct 2024
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.