[+] Zezwolenie dost

surma · Post autor: **surma** » 10 marca 2010, 15:05

Witam.

Posiadam serwer VPS na Debianie. Właśnie z tego serwera udostępniam konta shell.
Niestety, nie wiem jak skonfigurować Debiana aby użytkownik miał tylko i wyłącznie dostęp do swojego katalogu i nie miał możliwości zaglądać w pliki systemowe i innych użytkowników.

Dlaczego wątek w dziale serwer bo moja druga sprawa tyczy się apache. Chciałbym aby każdy użytkownik miał w swoim katalogu domowym public_html. Wiadomo czemu miałby on służyć.

Edycja:
Chwila z Google: http://pepisboczek.wordpress.com/2008/1 ... ytkownika/

Liczę na szybką pomoc.

PS. Przydałby się dział dla zielonych, nie lubię zaśmiecać takimi amatorskimi pytaniami forum.

Post autor: **LordRuthwen** » 10 marca 2010, 15:15

http://www.google.pl/search?q=ssh+jail& ... =firefox-a
http://www.google.pl/search?q=apache+de ... =firefox-a

surma · Post autor: **surma** » 10 marca 2010, 16:02

LordRuthwen pisze:http://www.google.pl/search?q=ssh+jail& ... =firefox-a

Dobrze. Powiem tak: spędzam nad Google drugą godzinę, nadal bez rezultatów. Tzn. znalazłem sposoby jak to wykonać (tylko /home/*) ale nie działają. Albo jakiś składnik znalazł błąd i strajkuje, albo metody są przestarzałe. Na tym forum też coś znalazłem, też bez rezultatów.

fnmirk · Post autor: **fnmirk** » 11 marca 2010, 01:16

surma, przejrzyj dokładnie forum temat wielokrotnie poruszany i rozwiązany.

Dodano:
Zajrzyj do działu Dla Początkujących lub przejrzyj ,,Debian Reference''.

surma · Post autor: **surma** » 12 marca 2010, 18:22

Miałem już wczoraj odpisać ale zapomniałem. Problem już wcześniej rozwiązałem. Wystarczy vsftpd z odpowiednim konfingiem. Wiem, że jeszcze została dziura w ssh, ale nie miałem czasu zablokować. Dziękuję za nakierowanie.

bagsiur · Post autor: **bagsiur** » 12 marca 2010, 20:42

surma pisze:Miałem już wczoraj odpisać ale zapomniałem. Problem już wcześniej rozwiązałem. Wystarczy vsftpd z odpowiednim konfingiem. Wiem, że jeszcze została dziura w ssh, ale nie miałem czasu zablokować. Dziękuję za nakierowanie.

Co do tych katalogów użytkownika to poczytaj o chroot albo odpowiednio nadaj uprawnienia chmod -em

surma · Post autor: **surma** » 12 marca 2010, 21:04

Gdybym nadał uprawnienia (chmod) apache nie miałoby dostępu do public_html (mówię o ,,chmodzie 700'', inne mnie nie interesują), a gdybym już dał 700-setkę na /home, użytkownik miałby dostęp do takich katalogów jak /etc itd. Jeżeli już mowa o chroot. Żadnego poradnika nie mogę znaleźć, a jak już znajduje, to linki wygasły (mówię o poradnikach, ale do linków do pobrania aplikacji też (żadnego alternatywnego odnośnika nie ma).

bagsiur · Post autor: **bagsiur** » 12 marca 2010, 21:44

Więc dodaj użytkownika www-data do jakiejś grupy, która miałaby prawa do uruchamiania skryptów z public_html, lub zachowaj prawo do uruchamiania 711. Choć zawsze istnieje ryzyko, że ktoś obcy uruchomi skrypt innemu użytkownikowi (o ile ma rentgena i zna lokalizacje wszystkich plików oraz wie jak się nazywają, bo oczywiście nie ma prawa do odczytu).

surma · Post autor: **surma** » 13 marca 2010, 00:11

Chmod 711? Może nie do końca mi o to chodziło, ale swoją role spełnia. A jeżeli chodzi o pliki systemowe, jaki mógłby być minimalny chmod? Tak żeby system i inne aplikacje mogły swobodnie korzystać z systemu, jednocześnie chroniąc przed wscipskimi userami?

labiol · Post autor: **labiol** » 13 marca 2010, 11:44

A dlaczego nie skorzystać z rozszerzonych atrybutów (ACL)? Tutaj jest opis http://www.nuxified.org/blog/acls_exten ... ermissions.
Pozdrawiam

[+] Zezwolenie dost

[+] Zezwolenie dostępu tylko do katalogu domowego użytkownika