Polskie Forum Użytkowników Debiana

Polski portal użytkowników dystrybucji Debian GNU/Linux, dyskusje, artykuły, nowości, blog, porady, pomoc.
https://www.debian.pl/

[+] Zezwolenie dost

https://www.debian.pl/viewtopic.php?t=17840

Strona 1 z 2

[+] Zezwolenie dostępu tylko do katalogu domowego użytkownika

: 10 marca 2010, 15:05
autor: surma
Witam.

Posiadam serwer VPS na Debianie. Właśnie z tego serwera udostępniam konta shell.
Niestety, nie wiem jak skonfigurować Debiana aby użytkownik miał tylko i wyłącznie dostęp do swojego katalogu i nie miał możliwości zaglądać w pliki systemowe i innych użytkowników.

Dlaczego wątek w dziale serwer bo moja druga sprawa tyczy się apache. Chciałbym aby każdy użytkownik miał w swoim katalogu domowym public_html. Wiadomo czemu miałby on służyć.

Edycja:
Chwila z Google: http://pepisboczek.wordpress.com/2008/1 ... ytkownika/

Liczę na szybką pomoc.

PS. Przydałby się dział dla zielonych, nie lubię zaśmiecać takimi amatorskimi pytaniami forum.

: 10 marca 2010, 15:15
autor: LordRuthwen
http://www.google.pl/search?q=ssh+jail& ... =firefox-a
http://www.google.pl/search?q=apache+de ... =firefox-a

: 10 marca 2010, 16:02
autor: surma

Dobrze. Powiem tak: spędzam nad Google drugą godzinę, nadal bez rezultatów. Tzn. znalazłem sposoby jak to wykonać (tylko /home/*) ale nie działają. Albo jakiś składnik znalazł błąd i strajkuje, albo metody są przestarzałe. Na tym forum też coś znalazłem, też bez rezultatów.

: 11 marca 2010, 01:16
autor: fnmirk
surma, przejrzyj dokładnie forum temat wielokrotnie poruszany i rozwiązany.

Dodano:
Zajrzyj do działu Dla Początkujących lub przejrzyj ,,Debian Reference''.

: 12 marca 2010, 18:22
autor: surma
Miałem już wczoraj odpisać ale zapomniałem. Problem już wcześniej rozwiązałem. Wystarczy vsftpd z odpowiednim konfingiem. Wiem, że jeszcze została dziura w ssh, ale nie miałem czasu zablokować. Dziękuję za nakierowanie.

: 12 marca 2010, 20:42
autor: bagsiur
surma pisze:Miałem już wczoraj odpisać ale zapomniałem. Problem już wcześniej rozwiązałem. Wystarczy vsftpd z odpowiednim konfingiem. Wiem, że jeszcze została dziura w ssh, ale nie miałem czasu zablokować. Dziękuję za nakierowanie.
Co do tych katalogów użytkownika to poczytaj o chroot albo odpowiednio nadaj uprawnienia chmod -em

: 12 marca 2010, 21:04
autor: surma
Gdybym nadał uprawnienia (chmod) apache nie miałoby dostępu do public_html (mówię o ,,chmodzie 700'', inne mnie nie interesują), a gdybym już dał 700-setkę na /home, użytkownik miałby dostęp do takich katalogów jak /etc itd. Jeżeli już mowa o chroot. Żadnego poradnika nie mogę znaleźć, a jak już znajduje, to linki wygasły (mówię o poradnikach, ale do linków do pobrania aplikacji też (żadnego alternatywnego odnośnika nie ma).

: 12 marca 2010, 21:44
autor: bagsiur
Więc dodaj użytkownika www-data do jakiejś grupy, która miałaby prawa do uruchamiania skryptów z public_html, lub zachowaj prawo do uruchamiania 711. Choć zawsze istnieje ryzyko, że ktoś obcy uruchomi skrypt innemu użytkownikowi (o ile ma rentgena i zna lokalizacje wszystkich plików oraz wie jak się nazywają, bo oczywiście nie ma prawa do odczytu).

: 13 marca 2010, 00:11
autor: surma
Chmod 711? Może nie do końca mi o to chodziło, ale swoją role spełnia. A jeżeli chodzi o pliki systemowe, jaki mógłby być minimalny chmod? Tak żeby system i inne aplikacje mogły swobodnie korzystać z systemu, jednocześnie chroniąc przed wscipskimi userami?

: 13 marca 2010, 11:44
autor: labiol
A dlaczego nie skorzystać z rozszerzonych atrybutów (ACL)? Tutaj jest opis http://www.nuxified.org/blog/acls_exten ... ermissions.
Pozdrawiam
Strefa czasowa UTC+02:00
Strona 1 z 2

Technologię dostarcza phpBB® Forum Software © phpBB Limited

Polski pakiet językowy dostarcza phpBB.pl