Na swojej maszynie VPS utworzyłem konto poleceniem
Kod: Zaznacz cały
adduserKod: Zaznacz cały
/home/katalog_użytkownikaJak nadać takie uprawnienia? Prosiłbym o pomoc. Z góry dziękuję.
Ograniczenie uprawnie
Ograniczenie uprawnień użytkownika
Witam.
Na swojej maszynie VPS utworzyłem konto poleceniemlecz nie wiem jak nadać mu odpowiednie uprawnienia. Chcę, aby użytkownik zalogowany na swoim koncie mógł zarządzać jedynie plikami w swoim katalogu. domyślnie:
Dodatkowo chcę, aby miał dostęp do konsoli, by mógł uruchamiać przykładowo serwery do gier zainstalowane w swoim katalogu. Wspomniany użytkownik nie mógłby przeglądać żadnych plików na maszynie, poza swoim katalogiem i nie mógłby zarządzać, ani przechodzić do innych katalogów poprzez konsolę.
Jak nadać takie uprawnienia? Prosiłbym o pomoc. Z góry dziękuję.
Na swojej maszynie VPS utworzyłem konto poleceniem
Jak nadać takie uprawnienia? Prosiłbym o pomoc. Z góry dziękuję.
Jeżeli na maszynie mam parę kont, to w katalogu home, każdy użytkownik ma swój katalog.Yampress pisze:Ale co to za znaczenie aby nie pozwolić mu przeglądać np. katalogów systemowych.
Chcę, aby utworzony użytkownik nie mógłby tak jakby wyjść ze swojego katalogu, mógłby jedynie przeglądać i zarządzać plikami w swoim katalogu, tutaj trzeba skorzystać chyba z polecenia
Kod: Zaznacz cały
chmodTym zajęła się osoba, której zapłaciłem za konfigurację maszyny.Yampress pisze:Lepiej zająłbyś się globalnym zabezpieczeniem serwera a nie pierdołami.
Jeżeli ktoś wie, jak ograniczyć uprawnienia użytkownika, z jakich poleceń skorzystać i jak ich użyć, to prosiłbym o odpisanie.
Zainteresuj się plikiem konfiguracyjnym /etc/adduser.conf
W szczególności zaś opcją:
Zmiana tejże na 0700 spowoduje ze każdy nowo utworzony użytkownik nie będzie mógł innym zaglądać na podwórko.
Istniejących już użytkowników i ich katalogi załatwiasz w ten sposób, np: dla użytkownika davidoss-sid:Od tej pory jeśli któryś będzie zbyt ciekawski i wykona:
to zobaczy takie coś:
Co innego root....
W szczególności zaś opcją:
Kod: Zaznacz cały
DIR_MODE=0755Istniejących już użytkowników i ich katalogi załatwiasz w ten sposób, np: dla użytkownika davidoss-sid:
Kod: Zaznacz cały
su
chmod 0700 /home/davidoss-sid
chown davidoss-sid:davidoss-sid /home/davidoss-sid
Kod: Zaznacz cały
cd /home/davidoss-sid/Kod: Zaznacz cały
-bash: cd: /home/davidoss-sid/: Brak dostępu
Dziękuję, działa, ale co z resztą katalogów na maszynie? Nie chciałbym, aby użytkownik miał wgląd i możliwość pobierania plików z innych katalogów na maszynie, np. z
da się to jeszcze jakoś zablokować?
Ogólnie chciałbym uzyskać taki efekt jak na hostingach, które oferują np. serwery do jakiś tam gier, posiadamy dane do ftp i my nie możemy tam opuścić swojego katalogu, ja dodatkowo chcę, aby użytkownik miał konsolę, dzięki której będzie mógł odpalać serwery postawione w swoim katalogu, czy da się w ogóle tak zrobić? jeżeli nie, to prosiłbym o napisanie mi tego, a jeżeli da się tylko jakoś zablokować pozostałe katalogi na maszynie, to prosiłbym o wyjaśnienie mi jak.
Kod: Zaznacz cały
/var/www/...
Ogólnie chciałbym uzyskać taki efekt jak na hostingach, które oferują np. serwery do jakiś tam gier, posiadamy dane do ftp i my nie możemy tam opuścić swojego katalogu, ja dodatkowo chcę, aby użytkownik miał konsolę, dzięki której będzie mógł odpalać serwery postawione w swoim katalogu, czy da się w ogóle tak zrobić? jeżeli nie, to prosiłbym o napisanie mi tego, a jeżeli da się tylko jakoś zablokować pozostałe katalogi na maszynie, to prosiłbym o wyjaśnienie mi jak.
Istnieje chroot ftp. Ustawia się w konfigu serwera ftp w zależności jakie to oprogramowanie. Inna sytuacja jest jeśli użytkownik ma dostęp przez ssh i trzeba robić ,,chroot ssh'' gdyż same prawa dostępu mogą okazać się niewystarczające. Do tego istnieją skrypty php pozwalające przeglądać koleżeńskie katalogi i zmiana prawa dostępu w takim przypadku żadne zabezpieczenie.
Nikt Ci tego nie opisze musisz sam się nauczyć i poszukać jak to zrobić bo to czasochłonne zajęcie.
Nikt Ci tego nie opisze musisz sam się nauczyć i poszukać jak to zrobić bo to czasochłonne zajęcie.
A czy ze zrobieniem zwykłego ftp, lub sftp bez konsoli jedynie z dostępem do katalogu użytkownika też jest dużo roboty? jeżeli nie, to mógłby mi ktoś wyjaśnić, jak takie konto zrobić? Zależy mi na tym, aby użytkownik nie miał dostępu do żadnych innych plików i katalogów na maszynie, jedynie do swojego katalogu, już bez konsoli.
lolek pisze:A czy ze zrobieniem zwykłego ftp, lub sftp bez konsoli jedynie z dostępem do katalogu użytkownika też jest dużo roboty? jeżeli nie, to mógłby mi ktoś wyjaśnić, jak takie konto zrobić? Zależy mi na tym, aby użytkownik nie miał dostępu do żadnych innych plików i katalogów na maszynie, jedynie do swojego katalogu, już bez konsoli.
Wszystko zależy jakiego demona ftpd używasz. Jeśli to proftpd lub vsftpd to kwestia zmiany jednej linii w konfiguracji i uzyskujesz efekt dla wszystkich użytkowników.
Więc, jaki masz ten serwer ftp?
Tu masz poradnik jeśli chodzi ograniczenie ssh:
http://www.howtoforge.com/chrooted-ssh- ... bian-lenny
A tu jest na temat FTP.
http://debian.linux.pl/content/172-Serw ... dykowanych
Najważniejsze dla ciebie linijki z konfigu:
http://www.howtoforge.com/chrooted-ssh- ... bian-lenny
A tu jest na temat FTP.
http://debian.linux.pl/content/172-Serw ... dykowanych
Najważniejsze dla ciebie linijki z konfigu:
Kod: Zaznacz cały
# [B]Zabraniamy użytkownikowi wyjścia poza jego katalog domowy?[/B] chroot_local_user=YES