Strona 1 z 2
Ograniczenie uprawnień użytkownika
: 23 maja 2011, 00:53
autor: lolek
Witam.
Na swojej maszynie VPS utworzyłem konto poleceniem
lecz nie wiem jak nadać mu odpowiednie uprawnienia. Chcę, aby użytkownik zalogowany na swoim koncie mógł zarządzać jedynie plikami w swoim katalogu. domyślnie:
Dodatkowo chcę, aby miał dostęp do konsoli, by mógł uruchamiać przykładowo serwery do gier zainstalowane w swoim katalogu
. Wspomniany użytkownik nie mógłby przeglądać żadnych plików na maszynie, poza swoim katalogiem i nie mógłby zarządzać, ani przechodzić do innych katalogów poprzez konsolę.
Jak nadać takie uprawnienia?
Prosiłbym o pomoc. Z góry dziękuję.
: 23 maja 2011, 15:33
autor: Yampress
Ale co to za znaczenie aby nie pozwolić mu przeglądać np. katalogów systemowych. Odbierz innym prawa do odczytu plików, których ma nie przeglądać. Lepiej zająłbyś się globalnym zabezpieczeniem serwera a nie pierdołami.
: 23 maja 2011, 15:46
autor: lolek
Yampress pisze:Ale co to za znaczenie aby nie pozwolić mu przeglądać np. katalogów systemowych.
Jeżeli na maszynie mam parę kont, to w katalogu home, każdy użytkownik ma swój katalog.
Chcę, aby utworzony użytkownik nie mógłby tak jakby wyjść ze swojego katalogu, mógłby jedynie przeglądać i zarządzać plikami w swoim katalogu, tutaj trzeba skorzystać chyba z polecenia
lecz nie wiem za bardzo jak, czytałem o tym poleceniu i jego argumentach, ale się już pogubiłem.
Yampress pisze:Lepiej zająłbyś się globalnym zabezpieczeniem serwera a nie pierdołami.
Tym zajęła się osoba, której zapłaciłem za konfigurację maszyny.
Jeżeli ktoś wie, jak ograniczyć uprawnienia użytkownika, z jakich poleceń skorzystać i jak ich użyć, to prosiłbym o odpisanie.
: 23 maja 2011, 19:03
autor: DaVidoSS
Zainteresuj się plikiem konfiguracyjnym /etc/adduser.conf
W szczególności zaś opcją:
Zmiana tejże na 0700 spowoduje ze każdy nowo utworzony użytkownik nie będzie mógł innym zaglądać na podwórko.
Istniejących już użytkowników i ich katalogi załatwiasz w ten sposób, np: dla użytkownika davidoss-sid:
Kod: Zaznacz cały
su
chmod 0700 /home/davidoss-sid
chown davidoss-sid:davidoss-sid /home/davidoss-sid
Od tej pory jeśli któryś będzie zbyt ciekawski i wykona:
to zobaczy takie coś:
Kod: Zaznacz cały
-bash: cd: /home/davidoss-sid/: Brak dostępu
Co innego root....
: 23 maja 2011, 20:23
autor: lolek
Dziękuję, działa, ale co z resztą katalogów na maszynie?
Nie chciałbym, aby użytkownik miał wgląd i możliwość pobierania plików z innych katalogów na maszynie, np. z
da się to jeszcze jakoś zablokować?
Ogólnie chciałbym uzyskać taki efekt jak na hostingach, które oferują np. serwery do jakiś tam gier, posiadamy dane do ftp i my nie możemy tam opuścić swojego katalogu, ja dodatkowo chcę, aby użytkownik miał konsolę, dzięki której będzie mógł odpalać serwery postawione w swoim katalogu, czy da się w ogóle tak zrobić? jeżeli nie, to prosiłbym o napisanie mi tego, a jeżeli da się tylko jakoś zablokować pozostałe katalogi na maszynie, to prosiłbym o wyjaśnienie mi jak.
: 23 maja 2011, 20:46
autor: Yampress
Istnieje chroot ftp. Ustawia się w konfigu serwera ftp w zależności jakie to oprogramowanie. Inna sytuacja jest jeśli użytkownik ma dostęp przez ssh i trzeba robić ,,chroot ssh'' gdyż same prawa dostępu mogą okazać się niewystarczające. Do tego istnieją skrypty php pozwalające przeglądać koleżeńskie katalogi i zmiana prawa dostępu w takim przypadku żadne zabezpieczenie.
Nikt Ci tego nie opisze musisz sam się nauczyć i poszukać jak to zrobić bo to czasochłonne zajęcie.
: 24 maja 2011, 00:11
autor: lolek
A czy ze zrobieniem zwykłego ftp, lub sftp bez konsoli jedynie z dostępem do katalogu użytkownika też jest dużo roboty? jeżeli nie, to mógłby mi ktoś wyjaśnić, jak takie konto zrobić? Zależy mi na tym, aby użytkownik nie miał dostępu do żadnych innych plików i katalogów na maszynie, jedynie do swojego katalogu, już bez konsoli.
: 24 maja 2011, 15:03
autor: Yampress
lolek pisze:A czy ze zrobieniem zwykłego ftp, lub sftp bez konsoli jedynie z dostępem do katalogu użytkownika też jest dużo roboty? jeżeli nie, to mógłby mi ktoś wyjaśnić, jak takie konto zrobić? Zależy mi na tym, aby użytkownik nie miał dostępu do żadnych innych plików i katalogów na maszynie, jedynie do swojego katalogu, już bez konsoli.
Wszystko zależy jakiego demona ftpd używasz. Jeśli to proftpd lub vsftpd to kwestia zmiany jednej linii w konfiguracji i uzyskujesz efekt dla wszystkich użytkowników.
Więc, jaki masz ten serwer ftp?
: 25 maja 2011, 12:33
autor: cooleq
Tu masz poradnik jeśli chodzi ograniczenie ssh:
http://www.howtoforge.com/chrooted-ssh- ... bian-lenny
A tu jest na temat FTP.
http://debian.linux.pl/content/172-Serw ... dykowanych
Najważniejsze dla ciebie linijki z konfigu:
Kod: Zaznacz cały
# [B]Zabraniamy użytkownikowi wyjścia poza jego katalog domowy?[/B] chroot_local_user=YES
: 25 maja 2011, 15:11
autor: Yampress
cooleq, ale to tylko dla vsftpd, a gdzie do proftpd, pure-ftpd?
Odp.: "szukajcie a będzie wam dane znaleźć" .