PowerScale OneFS：升级后收到错误“500 OOPS：Vsftpd：拒绝在 chroot 中使用可写根运行

FTP 用户登录失败，并显示：

500 OOPS: vsftpd: refusing to run with writable root inside chroot()

将 OneFS 升级到包含升级的 vsftpd管理此进程：

• 8.2.2_GA-RUP_2023-06 及更高版本
• 9.1.0.29 及更高版本
• 9.2.1.23 及更高版本
• 9.4.0.14 及更高版本
• 9.5.0.4 及更高版本
• 9.6.0.0 及更高版本

例如， vsftpd PKG 的更新来源 vsftpd-ssl-2.3.4vsftpd-ssl-3.0.5。

有关更多信息，请访问 vsftpd https://security.appspot.com/vsftpd/Changelog.txt 的官方主页 

- Add stronger checks for the configuration error of running with a writeable root directory inside a chroot(). This may bite people who carelessly turned on chroot_local_user but such is life.
- Add new config setting "allow_writeable_chroot" to help people in a bit of a spot with the v2.3.5 defensive change. Only applies to non-anonymous.

问题是 FTP 用户的根目录是可写的。而 chroot 使用限制，这在最近的更新中是不允许的。而 chroot 用户锁定到的目录不得 写入。

• 选项 1：删除用户根目录的写入权限。

#chmod a-w /home/user

• 选项 2：通过将以下配置设置添加到 vsftpd 全局配置文件或单个用户配置文件：

allow_writeable_chroot=YES

在 OneFS 群集上，建议创建 vsftpd 配置为 /ifs/data/Isilon_Support/。
例如：

# cp -av /etc/mcp/templates/vsftpd.conf  /ifs/data/Isilon_Support/vsftpd.conf.bak

然后，使用VI编辑器，将以下行添加到 /etc/mcp/templates/vsftpd.conf "

allow_writeable_chroot=YES"

不使用 VI 编辑器的另一种选择是使用 echo 命令将一行附加到同一文件： 

# echo "allow_writeable_chroot=YES"  >>  /etc/mcp/templates/vsftpd.conf

等待几秒钟，然后检查文件是否已更新到所有节点，以及文件是否已更新 md5 checksum 是一致的。

# isi_for_array -s md5 /etc/mcp/templates/vsftpd.conf

以下是问题的快速重现和解决步骤：

1. 登录到运行 OneFS 9.4.0.14 的 PowerScale 群集。以下是 FTP 用户主目录：

test2-fxq5rm3-1# ls -ld /ifs/home/warmsvcisiftp
drwx------     2 warmsvcisiftp  Isilon Users  264 Jun 13 02:50 /ifs/home/warmsvcisiftp

2. FTP 用户登录失败，并显示以下错误消息：

test2-fxq5rm3-1# ftp localhost
Trying 127.0.0.1:21 ...
Connected to localhost.
220-PowerScale OneFS 9.4.0.14
220
Name (localhost:root): warmsvcisiftp
331 Please specify the password.
Password:
500 OOPS: vsftpd: refusing to run with writable root inside chroot()
ftp: Login failed
ftp>

3. 有两种方法可以解决此问题，具体取决于您的工作流程和顾虑：

• 选项 1： 删除用户根目录的写入权限：

test2-fxq5rm3-1# chmod a-w /ifs/home/warmsvcisiftp
test2-fxq5rm3-1# ls -ld /ifs/home/warmsvcisiftp
dr-x------     2 warmsvcisiftp  Isilon Users  264 Jun 13 02:50 /ifs/home/warmsvcisiftp

test2-fxq5rm3-1# ftp localhost
Trying 127.0.0.1:21 ...
Connected to localhost.
220-PowerScale OneFS 9.4.0.14
220
Name (localhost:root): warmsvcisiftp
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> bye
221 Goodbye.

• 选项 2：解决安全检查问题：

test2-fxq5rm3-1# chmod u+w /ifs/home/warmsvcisiftp
test2-fxq5rm3-1# ls -ld /ifs/home/warmsvcisiftp
drwx------     2 warmsvcisiftp  Isilon Users  264 Jun 13 02:50 /ifs/home/warmsvcisiftp
test2-fxq5rm3-1# echo "allow_writeable_chroot=YES" >> /etc/mcp/templates/vsftpd.conf
test2-fxq5rm3-1# isi_for_array -s md5 /etc/mcp/templates/vsftpd.conf
test2-fxq5rm3-1: MD5 (/etc/mcp/templates/vsftpd.conf) = 4920beaff65c3bfa09bd18582c2fbcf8
test2-fxq5rm3-2: MD5 (/etc/mcp/templates/vsftpd.conf) = 4920beaff65c3bfa09bd18582c2fbcf8
test2-fxq5rm3-3: MD5 (/etc/mcp/templates/vsftpd.conf) = 4920beaff65c3bfa09bd18582c2fbcf8
test2-fxq5rm3-1# ftp localhost
Trying 127.0.0.1:21 ...
Connected to localhost.
220-PowerScale OneFS 9.4.0.14
220
Name (localhost:root): warmsvcisiftp
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> bye
221 Goodbye.

• 戴尔文章 Isilon：OneFS 8.X 及更高版本：如何将 FTP 用户锁定 (chroot (change root) jail) 到特定目录
• ArchLinux 文档， 非常安全的 FTP 守护进程