настройка vsftpd - коллективный chroot?

[korax]

Итак, нужен ftp-сервер в конторе.

Сеть - около 50 машин: 2 на убунте (возможно, число подрастет, но не более 5 будет, я думаю), остальные - W7 Starter (лицензионные), кое-кто поставил пиратский ХР.

Задача - разбить юзеров на 2 группы. для каждого - папку на запись, доступ по чтению к соседям и общую по записи для всей группы. Члены соседних групп содержимое каталогов друг-друга видеть не должны.

Поставил vsftpd. Пользователей сделал системных. Через системные группы все, вроде, нормально выходит. Sticky битом - доступ в общие групповые папки думаю упорядочить. Планирую квоты прикрутить.

Но вот пользователи имеют возможность гулять по файловой системе. Это не нравится. Заблудится еще кто-нибудь...

Если использовать chroot - кроме своей папки ничего не видят. Общую групповую папку примонтировать с --bind в 30+ каталогов как-то неправильно кажется (даже не пробовал, даже не знаю возможно ли такое массовое монтирование)

Пока подходящим вариантом кажется "массовый jail" (что-нибудь вроде /home) - что-бы в пределах этого самого /home могли по папкам бродить (на сколько прав хватит), а выше - не пускать.

Возможно ли это? Может, какой другой ftp демон такое умеет?
Спасибо.

[/dev/random]

Пока подходящим вариантом кажется "массовый jail" (что-нибудь вроде /home) - что-бы в пределах этого самого /home могли по папкам бродить (на сколько прав хватит), а выше - не пускать.

Можете указать local_root в сочетании с chroot_local_user.

[korax]

Пока подходящим вариантом кажется "массовый jail" (что-нибудь вроде /home) - что-бы в пределах этого самого /home могли по папкам бродить (на сколько прав хватит), а выше - не пускать.

Можете указать local_root в сочетании с chroot_local_user.

Пробовал просто local_root - по дереву ходить давал.
Но попробую и с chroot_local_user пошаманить. Спасибо.

Да, еще вдруг подумалось - а может, samba такие права на сетевые папки назначить даст? Без AD, LDAP и прочего?
А то те W7 Starter кроме одноранговых сетей без доменов ничего не могут.

[korax]

Пока подходящим вариантом кажется "массовый jail" (что-нибудь вроде /home) - что-бы в пределах этого самого /home могли по папкам бродить (на сколько прав хватит), а выше - не пускать.

Можете указать local_root в сочетании с chroot_local_user.

Спасибо, это помогло. Теперь локальные системные пользователи (физического доступа к серверу у них, естественно, нет, так что заходят только по ftp) все chroot-тятся в папку /home. Видят папки друг друга, но не могут вылезти выше. Все как и хотелось.

Теперь вопросы о безопасности.

в man vsftpd.conf написано сие:

Warning: This option has security implications, especially if the users have upload permission, or shell access. Only enable if you know what you are doing. Note that these security implications are not vsftpd specific. They apply to all FTP daemons which offer to put local users in chroot() jails.

Как-то очень туманно. О чем они тут намекают?

А второй вопрос - насколько безопасно использовать sticky бит за пределами /tmp?

Ибо хочется папки, общие для групп им оборудовать. Думаю все в том же /home создать папку, общую для группы, хозяином - root-а(?), дать права на запись всем членам пользовательской группы. И повесить sticky бит.
Это не выглядит опасным?