PowerScale OneFS：升級後收到錯誤「500 OOPS：Vsftpd：拒絕在 chroot 內使用可寫入的根目錄執行」

500 OOPS: vsftpd: refusing to run with writable root inside chroot()

• 8.2.2_GA-RUP_2023-06 及更新版本
• 9.1.0.29 及更新版本
• 9.2.1.23 及更新版本
• 9.4.0.14 和更新版本
• 9.5.0.4 及更新版本
• 9.6.0.0 及更新版本

- Add stronger checks for the configuration error of running with a writeable root directory inside a chroot(). This may bite people who carelessly turned on chroot_local_user but such is life.
- Add new config setting "allow_writeable_chroot" to help people in a bit of a spot with the v2.3.5 defensive change. Only applies to non-anonymous.

• 選項 1：刪除使用者根目錄上的寫入許可權。

#chmod a-w /home/user

• 選項 2：若要進行更嚴格的檢查，請將以下組態設定新增至 vsftpd 全域設定檔或單個使用者設定檔：

allow_writeable_chroot=YES

# cp -av /etc/mcp/templates/vsftpd.conf  /ifs/data/Isilon_Support/vsftpd.conf.bak

allow_writeable_chroot=YES"

另一種不使用VI編輯器的選擇是使用echo命令將一行附加到同一檔中： 

# echo "allow_writeable_chroot=YES"  >>  /etc/mcp/templates/vsftpd.conf

等待幾秒鐘，然後檢查檔是否已更新到所有節點，以及檔 md5 校驗和是否一致。

# isi_for_array -s md5 /etc/mcp/templates/vsftpd.conf

以下是問題的快速重現和修復步驟：

1. 登入執行 OneFS 9.4.0.14 的 PowerScale 叢集。以下是 FTP 使用者的主目錄：

test2-fxq5rm3-1# ls -ld /ifs/home/warmsvcisiftp
drwx------     2 warmsvcisiftp  Isilon Users  264 Jun 13 02:50 /ifs/home/warmsvcisiftp

2. FTP 使用者登入失敗，並顯示錯誤訊息：

test2-fxq5rm3-1# ftp localhost
Trying 127.0.0.1:21 ...
Connected to localhost.
220-PowerScale OneFS 9.4.0.14
220
Name (localhost:root): warmsvcisiftp
331 Please specify the password.
Password:
500 OOPS: vsftpd: refusing to run with writable root inside chroot()
ftp: Login failed
ftp>

3. There are two options to address this issue depending on your workflow and concerns:
   

• 選項 1： 移除使用者根目錄的寫入權限：

test2-fxq5rm3-1# chmod a-w /ifs/home/warmsvcisiftp
test2-fxq5rm3-1# ls -ld /ifs/home/warmsvcisiftp
dr-x------     2 warmsvcisiftp  Isilon Users  264 Jun 13 02:50 /ifs/home/warmsvcisiftp

test2-fxq5rm3-1# ftp localhost
Trying 127.0.0.1:21 ...
Connected to localhost.
220-PowerScale OneFS 9.4.0.14
220
Name (localhost:root): warmsvcisiftp
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> bye
221 Goodbye.

• 選項 2：因應安全性檢查：

test2-fxq5rm3-1# chmod u+w /ifs/home/warmsvcisiftp
test2-fxq5rm3-1# ls -ld /ifs/home/warmsvcisiftp
drwx------     2 warmsvcisiftp  Isilon Users  264 Jun 13 02:50 /ifs/home/warmsvcisiftp
test2-fxq5rm3-1# echo "allow_writeable_chroot=YES" >> /etc/mcp/templates/vsftpd.conf
test2-fxq5rm3-1# isi_for_array -s md5 /etc/mcp/templates/vsftpd.conf
test2-fxq5rm3-1: MD5 (/etc/mcp/templates/vsftpd.conf) = 4920beaff65c3bfa09bd18582c2fbcf8
test2-fxq5rm3-2: MD5 (/etc/mcp/templates/vsftpd.conf) = 4920beaff65c3bfa09bd18582c2fbcf8
test2-fxq5rm3-3: MD5 (/etc/mcp/templates/vsftpd.conf) = 4920beaff65c3bfa09bd18582c2fbcf8
test2-fxq5rm3-1# ftp localhost
Trying 127.0.0.1:21 ...
Connected to localhost.
220-PowerScale OneFS 9.4.0.14
220
Name (localhost:root): warmsvcisiftp
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> bye
221 Goodbye.

• Dell 文章 Isilon：OneFS 8.X 及更新版本：如何將 FTP 使用者鎖定 (chroot (變更根) jail) 至特定目錄
• ArchLinus 文件， 非常安全的 FTP 精靈