nixp.ru v3.0

18 октября 2017,
среда,
16:04:08 MSK

DevOps с компанией «Флант»
bars написал 6 октября 2004 года в 15:56 (296 просмотров) Ведет себя как мужчина; открыл 7 тем в форуме, оставил 33 комментария на сайте.

У меня к Вам такой вопрос:

Есть пользователь, как в Unix системе запретить ему доступ к папкам и файлам находящимся в них, что б пользователь работал только в своей директории т никуда дальше не лазил?

Заранее спасибо

Master

Как вариант: выставить права chmod o-rw или chmod o-rwx на все директории в системе.

Ходить можно будет в первом случае, а читать нельзя будет.

Dreid
bars
У меня к Вам такой вопрос:

Есть пользователь, как в Unix системе запретить ему доступ к папкам и файлам находящимся в них, что б пользователь работал только в своей директории т никуда дальше не лазил?

Заранее спасибо

Вот уж не за что.

На так поставленный вопрос тебе ничего хорошего не ответят, ибо:

1. К каким папкам и файлам? Ко всему, кроме /home/username? А как ты представляешь себе «работу в своей директории» — он должен же иметь доступ на чтение хотя бы к бинарникам? Можно запретить ему читать содержимое директорий (точнее, не ему, а всем, кроме некоторых)

2. Как именно работает пользователь? Физически сидит за консолью? По ssh? По FTP? Что он должен иметь право делать?

3. Почитай какую-нибудь фундаментальную документацию на предмет системы прав доступа в *nix.

bars

Согдасен с замечанием, действительно не очень корректно задал вопрос.

Поправлюсь:

хочется чтоб был запрещен доступ к некоторым директориям и чтоб их могли просматривать только избранные, с правами на чтение, при чем они заходят по FTP.

Надеюсь, что поправка была корректная:)

Dreid
bars
Согдасен с замечанием, действительно не очень корректно задал вопрос.

Поправлюсь:

хочется чтоб был запрещен доступ к некоторым директориям и чтоб их могли просматривать только избранные, с правами на чтение, при чем они заходят по FTP.

Надеюсь, что поправка была корректная:)

О, это совсем другое дело :)

Тогда просто всех, кроме этих избранных, запихни в chroot ~, тогда им корнем будет казаться их home.

Подробности — в доке по твоему FTP-серверу, так-как я не знаю, какой он у тебя.

Uncle Theodore
Dreid
1. К каким папкам и файлам? Ко всему, кроме /home/username? А как ты представляешь себе «работу в своей директории» — он должен же иметь доступ на чтение хотя бы к бинарникам?

Выполнение бинарников, поскольку нафик их читать-то? :-)

А вообще, на грамотно настроенной системе пользователь должен мочь

Исполнять системные бинарники

Читать конфиги

ПисАть в /tmp

Иметь полный доступ к своему хоуму и возможно, к некоторым девайсам

Без этого никакой работы не будет. Но на большинстве систем такие установки — дефолт. Отсюда вопрос — почему возникла необходимость так зажать юзера?

Почитай, кстати, про RESTRICTED моду bash’а

Good Luck,

UT

Anarchist
Uncle Theodore
ПисАть в /tmp

Ограниченная возможность записи в /tmp и /var.

bars

Спасибо за ответы:)

На Ваш взгляд, что бы Вы все таки посоветовали и как это сделать?

fly4life
bars
Спасибо за ответы:)

На Ваш взгляд, что бы Вы все таки посоветовали и как это сделать?

Хм, и всё-таки подробностей малова-то… Попробую поугадывать.

Что-то мне подсказывает, что на ФТП люди у тебя ходят под анонимным пользователем (anonymous который), причём твой ФТПшник разрешает ходить по всем папкам машины с запущенным ФТП сервером. И ты решил каким-то из своих друзей оставить право на чтение всех папок, а кому-то сделать рарешения только на просмотр определённых. Так? Ну, дык, если они у тебя все ходят под анонимусами, то и права у них у всех одинаковые (сервер, ведь, не знает, кто тебе из них больший друг ;)). Соответственно, тебе нужно как-то разграничить в правах пользователей. Чтобы это реализовать, можно пользователям, которым ты хочешь разрешить смотреть всё, создать учётные записи (или одну на всех и пускать под ней), а анонимусов за’чрутить' (см. опцию chroot в опциях твоего ФТПшника, как уже сказал Dreid) в той директории, дальше которой им ходить не следует…

bars

Большое спасибо, я Вам признателен. Обязательно проверю.

Если что, необессудьте, я еще обращусь:)))

Dmitry Ivanov
bars
хочется чтоб был запрещен доступ к некоторым директориям и чтоб их могли просматривать только избранные, с правами на чтение, при чем они заходят по FTP.

Ты бы почитал какую-нибудь литературу базовую.

То, что тебе требуется, реализуется просто через настройку прав на каталоги.