Użytkownik z dostępem wyłącznie do własnego katalogu

[betromatic]

Witam,

Chciałbym na VPSie dodać uzytkownika, który będzie mógł poruszać się tylko w obrębie własnego katalogu. Prosze o pomoc.

Pozdrawiam

[amadeo]

Dodanie użytkownika wraz z katalogiem domowym:

Kod: Zaznacz cały

adduser nazwa_użytkownika

Żeby użytkownik nie miał dostępu do niczego poza własnym folderem trzeba nadać uprawienia, które to wykluczają dla wszystkich folderów oprócz domowego. Można zrobić np. grupę dla wszystkich lub wybranych użytkowników i tej grupie zabronić dostępu. Można też pojedynczo. Do ustawiania uprawnień służy chmod, można też posłużyć się nautilusem.

[linuxozaurus]

W tym przypadku wtarczy nowego użytkownika wykluczyć z grupy o nazwie root.

[enedil]

W tym przypadku wtarczy nowego użytkownika wykluczyć z grupy o nazwie root.

A co? Nie wolno tobie bez sudo przeglądać części plików w chociażby w /etc? Ano wolno, czyli jednak nie wystarczy.

Ja od siebie polecę sposób @amadeo, czyli usunięcie uprawnień do przeglądania plików dla użytkowników w specjalnej grupie.

[ethanak]

A z ciekawości: jak sobie wyobrażacie - co może zrobić uzytkownik mający dostęp tylko do /home/user? Rozumiem że dostępu do /var, /bin i /usr też nie ma, prawda?
To że normalny użytkownik może tam (czy róœnież do /etc) zaglądać to normalne i nic tam nie wolno zmieniać.

[jacekalex]

Grsecurity i GRACL, to przede wszystkim najmocniejsza wersja.
Tu masz przykład: https://forums.grsecurity.net/viewtopic.php?f=5&t=3912

Da się też uprawieniami, ale to już jest czasem grubsza zabawa (w sznurku wyżej masz przyklad), można też SElinuxem (nie chcę wiedzieć, jak, ), można zrobić chroota/jaila dla pacjenta, opcji jest kilkanaście łącznie, ale za każdym razem jest to wyższa szkoła jazdy.

Ja bym obstawiał jaila zrobionego przy pomocy Jailkita (kopiowanie plików i bibliotek), ale nie wiem, czy w repo Ubuntu się znajdzie ten program.
Potem powłoka chroot, binarki ma w folderze domowym, jest trochę kombinowania z tym, ale wykonalne.

Na oko dwa razy trudniejsze, niż polityka Grsecurity, ale przynajmniej nie trzeba jajka kompilować, jak się nie potrafi.

Pozdro

[amadeo]

Nie wiem co jest celem autora tematu, ale jeśli chce tylko ukryć prywatne pliki innych użytkowników (a pewnie tak jest) to wystarczy usunąć uprawnienia do home-ów innych użytkowników, co też ja zawsze stosowałem. Jeśli trzyma sobie jeszcze coś prywatnego w innych folderach to można ukrywać je wybiórczo. Prosto i skutecznie.

[enedil]

Nie wiem co jest celem autora tematu, ale jeśli chce tylko ukryć prywatne pliki innych użytkowników (a pewnie tak jest) to wystarczy usunąć uprawnienia do home-ów innych użytkowników, co też ja zawsze stosowałem. Jeśli trzyma sobie jeszcze coś prywatnego w innych folderach to można ukrywać je wybiórczo. Prosto i skutecznie.

Domyślnie nikt nie ma dostępu do nieswojego /home.

[namok]

Domyślnie nikt nie ma dostępu do nieswojego /home.

Naprawdę? Jak to sprawdzałeś?