Strona 1 z 1

Jak zablokować użytkownika w jego katalogu.

: 04 gru 2018, 23:00
autor: DoctoRHeaL
Witam,
Potrzebuje pomocy bo od kilku dni meczę się z zablokowaniem użytkownika w jego katalogu domowym (/home/nazwa_użytkownika). Rozchodzi się aby nie biegali po katalogach takich jak /var itp. Cały czas działałem na chmod ale jeżeli udało mi się zablokować usera w katalogu to już nie działało ssh a jednak potrzebuje aby użytkownik miał dostęp do konsoli SSH i podstawowych komend takich jak: ls,cd,sh,htop,rm i oczywiście mógł ich używać tylko w swoim katalogu. Jest osoba która wie jak to zrobić i napisze mi instrukcję?

Z góry dzięki!

Re: Jak zablokować użytkownika w jego katalogu.

: 05 gru 2018, 08:07
autor: mario_7
Nie da się tego tak zrobić. Użytkownik musi mieć dostęp do różnych systemowych katalogów, aby mógł uruchamiać programy, a te z kolei aby mogły ładować biblioteki i pliki konfiguracyjne.

Być może jakimś rozwiązaniem byłoby użycie kontenera , albo jakiejś wirtualizacji - wtedy każdy użytkownik miałby swój własny zestaw katalogów systemowych, a te "właściwe"/"prawdziwe" byłyby dla niego nieosiągalne.

Re: Jak zablokować użytkownika w jego katalogu.

: 05 gru 2018, 12:21
autor: DoctoRHeaL
w taki bądź razie ten poradnik temu zaprzecza: https://www.howtoforge.com/restricting- ... an-squeeze

Re: Jak zablokować użytkownika w jego katalogu.

: 05 gru 2018, 15:09
autor: jacekalex
DoctoRHeaL pisze: 05 gru 2018, 12:21 w taki bądź razie ten poradnik temu zaprzecza: https://www.howtoforge.com/restricting- ... an-squeeze
Ten poradnik jest delikatnie pisząc niezbyt świeży.

Zainteresuj się lepiej apparmorem i biblioteką pam_apparmor.

https://gitlab.com/apparmor/apparmor/wikis/pam_apparmor

Tu masz przykład prostej klateczki zrobionej na bazie basha, przez dodanie powłoki aabash, w ten sposób:

Kod: Zaznacz cały

cp /bin/bash  /bin/aabash
I profil AA, siedzi sobie w lokalizacji:

Kod: Zaznacz cały

/etc/apparmor.d/bin.aabash

Kod: Zaznacz cały

# Last Modified: Mon Jun  4 01:28:56 2018
#include <tunables/global>

/bin/aabash {
  #include <abstractions/base>
  #include <abstractions/bash>
  #include <abstractions/consoles>
  #include <abstractions/nameservice>

  deny /bin/ping x,

    /bin/aabash mrix,
  /bin/chmod mrix,
  /bin/mkdir mrix,
  /bin/touch mrix,
  /etc/bash.command-not-found r,
  /etc/terminfo/x/xterm r,
  owner /home/*/ r,
  owner /home/*/.bash_history r,
  owner /home/*/.bashrc r,
  owner /var/run/user/*/      r,
  owner /var/run/user/*/keyring/  r,
Pozdro
:craz:

Re: Jak zablokować użytkownika w jego katalogu.

: 05 gru 2018, 19:24
autor: mario_7
Poradnik z chrootem, to w zasadzie forma kontenera, o której pisałem.
AppArmor się nada, ale musisz go sobie dobrze skonfigurować. ;)