vsftpd writable root chroot 的 allow_writeable_chroot 与 chroot_local_user

vsftpd报错500 OOPS: refusing to run with writable root inside chroot()是因2.3.5+版本禁止chroot到可写根目录，需设allow_writeable_chroot=YES豁免或改用根目录不可写、子目录可写的更安全方案。

vsftpd 报错 500 OOPS: vsftpd: refusing to run with writable root inside chroot()

这是 vsftpd 在启用 chroot_local_user=YES 后最典型的报错，本质是安全策略升级：从 vsftpd 2.3.5 开始，默认禁止用户 chroot 到可写的根目录（比如 /home/username 权限为 755 或 777），防止潜在的 symlink race 攻击。

常见诱因包括：

• 用户主目录权限为 drwxr-xr-x（即 755）且属主是该用户
• chroot_local_user=YES 已开启，但没配 allow_writeable_chroot
• 误以为只要 chmod 755 就安全 —— 实际上 vsftpd 认为“root 目录可写”即风险，哪怕只对 owner 可写

allow_writeable_chroot=YES 是唯一绕过检查的配置项

它不改变权限逻辑，只是告诉 vsftpd：“我知道风险，强制允许 writable root chroot”。这不是修复，而是显式豁免。

实操要点：

• 必须与 chroot_local_user=YES（或 chroot_list_enable=YES 配合白名单）同时生效
• 值只能是 YES 或 NO；NO 是默认值，设了也等于没设
• 修改后需重启服务：sudo systemctl restart vsftpd
• 不推荐在生产环境长期开启，尤其当用户可上传任意文件时

chroot_local_user=YES 的行为细节与陷阱

该选项决定是否对所有本地用户启用 chroot，但它和 allow_writeable_chroot 是解耦的两个开关 —— 前者控制“是否 jail”，后者控制“jail 里 root 能不能可写”。

关键事实：

万兴喵影

国产剪辑神器

下载

• 若 chroot_local_user=YES 但未设 allow_writeable_chroot=YES，且用户主目录可写，则登录直接失败（500 错误）
• 若想只对部分用户 chroot，应关闭 chroot_local_user，改用 chroot_list_enable=YES + /etc/vsftpd/chroot_list 白名单
• chroot_local_user 和 allow_writeable_chroot 都不支持 per-user 配置，是全局开关

更安全的替代方案：让 root 不可写，子目录可写

比开 allow_writeable_chroot 更稳妥的做法是：保持用户主目录不可写（如 chmod 755 本身没问题），但把上传点设为子目录，并确保其可写。

例如：

sudo chmod 755 /home/ftpuser
sudo mkdir /home/ftpuser/uploads
sudo chmod 775 /home/ftpuser/uploads
sudo chown ftpuser:ftpuser /home/ftpuser/uploads

这样 /home/ftpuser 对 user 来说不可写（owner 有 r-x，无 w），满足 vsftpd 默认安全要求，无需开启 allow_writeable_chroot。FTP 客户端连上后 cd 到 uploads 即可正常上传。

真正容易被忽略的是：很多人改了 allow_writeable_chroot=YES 就以为万事大吉，却没意识到这会让整个 chroot 根目录暴露在潜在符号链接攻击面下 —— 尤其当用户能执行 shell 或上传脚本时，风险陡增。