User auf Verzeichnis beschränken

S

sbr2d2

Registered User
Hallo alle zusammen,

Ich habe folgendes anliegen.
Und zwar möchte ich,die von mir angelegten User,auf deren Home-Verzeichnis
beschränken.Momentan können diese im Verzeichnis /home alles lesen.
Sie können zwar nur im eigenem Verzeichnis schreiben,aber desweiteren möchte ich die User auf das eigene Stammverzeichnis beschränken.

Ich hatte den befehl schon mal gehabt,habs aber wieder vergessen :(...
thx im vorraus :)
Gruss s.b.
 
Hallo!

Suchst du etwa nach chmod/chown?

Ich vermute mal, /home/einnutzer hat als Besitzer einnutzer und als Gruppe users. Und ist gruppen- und world-lesbar. Also ...
Code: 
# ls -l /home
drwxr-xr-x  4 einnutzer users 4096 Feb 19 13:32 einnutzer

Und wenn in der Gruppe users alle Benutzer sind, dann können die wohl auch alles lesen. Nun könnte man für jede Datei und jedes Verzeichnis der Gruppe users und der Welt die Leserechte entziehen. (chmod -R kann das rekursiv)

Das könnte aber Nebenwirkungen haben, falls nicht-root-Dienste in die Verzeichnisse wollen.

Hat jemand bessere Vorschläge? Mit einer speziellen Gruppe "darfallesinhomelesen" für die Dienste könnte man wohl nur dieser Gruppe und dem Besitzer Leserecht geben.

MfG,
Daniel D
 
Ich hab heute entdeckt das mein Problem etwas weiter reicht.
Einer der 4 User die angelgt wurden,kann auf dem ganzen Server schauen.
Er kann zwar nichts ändern,aber so die eine bis andere Datei kopieren.
Ok,bis "jemand" den Namen,das Passwort und den Port zum einloggen gefunden hat,werden wohl ein paar Tage vergehen,möchte aber auf sicher gehn,und alle angelegten user auf deren Homedir beschränken.
 
Dazu musst du den jeweiligen Nutzer in eine chroot Umgebung stecken.
Ggf. auch dein Openssh patchen, alles nicht ganz so trivial...

MfG
 
Für ein "einfaches" Chroot gib dem User einfach ne restricted bash. Einfach die Shell von dem User von /bin/bash auf /bin/rbash ändern.

Gruß,
Thilo
 
tty0 said:
Für ein "einfaches" Chroot gib dem User einfach ne restricted bash. Einfach die Shell von dem User von /bin/bash auf /bin/rbash ändern.

Gruß,
Thilo
Click to expand...

Was passiert dann mit Usern die sich über WinSCP (sftp) einloggen ? Die sehen dann doch trotzdem alles oder ?

Ich habe nämlich das gleiche Problem - viele User die per WinSCP auf den Server connecten da ich ftp für zu unsicher halte.
Leider ist es mir da noch nicht gelungen diese user (ähnlich wie bei ftp) in ihrem Verzeichnis einzuperren.

Wenn jemand dazu eine Lösung hat wäre ich dankbar wenn er sie hier postet.

Ich nutze OpenSSH_4.2p1 Debian-5, OpenSSL 0.9.8a 11 Oct 2005
 
You must log in or register to reply here.
Back
Top