создаёшь пользователя с правами чисто на нужные ему директории и всё.

создаёшь пользователя с правами чисто на нужные ему директории и всё.

Вопрос, как это сделать? Выписать необходимые папки и файлы и потом руками ходить и на каждую папку и файл из этого списка назначать правильные права? + очень много файлов и папок, на которые заведомо необходимо дать доступ пользователю, чтобы правильно функционировала система, о которых я даже могу не подозревать.

Плюс например доступ на тот же /etc/passwd нужен пользователю, чтобы он мог авторизоваться.

ssh умеет делать chroot. Можно ограничить доступ пользователю определенным каталогом выше которого он не поднимется

Да, видел такую статью здесь: http://forum.ispsystem.com/ru/showthread.php?t=3528&page=4

но прочитав ее понял, что это не намного проще, чем ходить руками назначать права на каждую папку или файл необходимый пользователю + там еще нужно openssh пересобирать. Правда статья не первой свежести, может что-то уже изменилось с тех пор?

Кстати комментарий:

простите, но у вас активные галлюцинации. иначе я это назвать не могу. Расскажите пожалуйта, что вы можете сделать на прямо настроеном сервере, обычным пользователем?

как раз оттуда

Плюс монтирование надо производить необходимых папок и файлов пользователя

Патчить и пересобирать openssh не нужно, оно давно умеет чрут изкоробки.

Помимо классических юникcовых прав можно воспользоваться acl (setfacl), он куда более тонко настраивается и меньше шансов изговнякать права для остальных юзеров. Но тут опять надо иметь четкий набор файлов, куда нужен доступ, и ходить по ФС запрещая-разрешая. Если уж даже /etc видеть не положено.

Так что лучше чрут.

видит все конфиги на все программы и т.д. - разве это нормально?

Критические конфиги обычно шифруются и/или имеют read только для рута. С той информацией которая world-readable твой пользователь ничего криминального не наделает. Ну, конечно если админ не облажался.

тем самым знает: в passwd - в системе такие есть пользователи, group - в системе такие есть группы, видит в какой группе какие есть пользователи, видит все конфиги на все программы и т.д. - разве это нормально?

Да это нормально. Если защита системы состоит в том, чтобы не показывать passwd, то вот это - не нормально.

но разве это нормально, когда обычный пользователь ssh, доступ к которому предоставлен клиенту, а клиент дал этот доступ одному, второму, третьему человеку

Вот ЭТО и есть ненормально - «дать доступ» «одному, второму, третьему человеку». Всё остальное лишь следствие.

Патчить и пересобирать openssh не нужно, оно давно умеет чрут изкоробки

Понял, а монтировать папки и файлы в домашнюю директорию пользователя нужно?

Если уж даже /etc видеть не положено.

Так я же и спрашиваю, нужно ли вообще ограничивать пользователя в просмотре /etc/ и все что там есть? ))) Просто не могу понять, неужели ничего страшного в этом нет, что пользователь, через которого по shell будет ходить неограниченное количество людей, может просматривать конфиги всех программ и конфиги самой системы, пользователей, группы, вхождение пользователей в группы и т.д?

Но тут опять надо иметь четкий набор файлов, куда нужен доступ, и ходить по ФС запрещая-разрешая.

Можете подсказать приблизительный набор системных папок и файлов на которые необходимо дать доступ обычному shell пользователю, без которых просто не будет работать система с ним?

Если честно, вообще не думал, что так сложно будет в таком вроде простом вопросе на первый взляд.

спрошу, раз никто еще не спросил - зачем пользователю вообще ssh доступ к серверу?

Вот ЭТО и есть ненормально - «дать доступ» «одному, второму, третьему человеку».

Так предположим я настроил веб-сервер на CentOS, дал пользователя shell клиенту, клиент работает с разными специалистами в области веб-разработки (веб-программисты и т.д.). Мне отвечать за работоспособность и безопасность системы. Мне как-то не очень спокойно, когда я знаю что придет неограниченное количество людей по shell, у которых доступ на просмотр всех системных конфигов + просмотр всех конфигов программ установленных в системе + пользователи, группы, права.

если речь о вебе, то пользователю вообще нечего делать дальше каталога с его сайтом

спрошу, раз никто еще не спросил - зачем пользователю вообще ssh доступ к серверу?

Например веб-программист захочет через программу HeidiStart подключиться к MySql серверу, чтобы работать с ним, да и других много случаев может быть. Другое дело что может shell как то можно выключить у этого пользователя? + например когда человек покупает самый обычный виртуальный хостинг, ему предоставляется доступ по ssh. Да и если там подключится по shell, то там будет ограниченное количество доступных папок и файлов на просмотр, пользователь shell их даже не видит в системе.

Например веб-программист захочет через программу HeidiStart подключиться к MySql серверу, чтобы работать с ним

для этого не нужен ssh

логин в mysql и учетная запись в системе это две разные вещи

например когда человек покупает самый обычный виртуальный хостинг, ему предоставляется доступ по ssh. Да и если там подключится по shell, то там будет ограниченное количество доступных папок и файлов на просмотр, пользователь shell их даже не видит в системе.

это chroot ssh

Если честно, вообще не думал, что так сложно будет в таком вроде простом вопросе на первый взляд.

Это простой вопрос с простым решением. В общем случае ничего защищать не надо, ничего страшного в этом нет, ничего важного юзер без привилегий не увидит и не наделает. Все же не винда. Если нужна изоляция по-хардкору, чтоб никто никого не видел и не знал, то надо каждому юзеру делать чрут, а еще лучше отдельный контейнер. И общаться (если нужно) между ними через NFS, например.

Можете подсказать приблизительный набор системных папок и файлов на которые необходимо дать доступ обычному shell пользователю, без которых просто не будет работать система с ним?

Черт знает. Зависит от того, что юзер делать будет. Я бы посмотрел файло, из которого состоит твоя голая свежеустановленная система, и выдал бы юзеру права только на эти файлы. На все остальное, что будет доставляться после - запрещать.

Это простой вопрос с простым решением. В общем случае ничего защищать не надо, ничего страшного в этом нет, ничего важного юзер без привилегий не увидит и не наделает. Все же не винда.

ИМХО, это из разряда «можно, но не нужно»

для этого не нужен ssh

да вроде нужен, http://itmages.ru/image/view/2455136/c51c6870

это chroot ssh

понятно, спасибо.

Это простой вопрос с простым решением. В общем случае ничего защищать не надо, ничего страшного в этом нет, ничего важного юзер без привилегий не увидит и не наделает. Все же не винда.
Черт знает. Зависит от того, что юзер делать будет. Я бы посмотрел файло, из которого состоит твоя голая свежеустановленная система, и выдал бы юзеру права только на эти файлы. На все остальное, что будет доставляться после - запрещать.

спасибо, принял к сведению, но на самом деле задумался, а надо ли пользователя ограничивать... ммм... что-то в тупик зашел, может на самом деле не надо O_o

да вроде нужен, http://itmages.ru/image/view/2455136/c51c6870

это для организации ssh туннеля средствами putty

спасибо, принял к сведению, но на самом деле задумался, а надо ли пользователя ограничивать... ммм... что-то в тупик зашел, может на самом деле не надо O_o

сделай ему ssh chroot в пользовательский каталог. Что бы сделать туннель этого хватит с головой, а по системе лазить ему не нужно

это для организации ssh туннеля средствами putty

Так для этого нужно указать ssh пользователя (в подсказке «Пользователь shell»). Под этим же пользователем человек может зайти через ssh терминал и увидеть те все папки и файлы, о которых говорим здесь.

повторю вопрос. Зачем пользователю ssh? Какие у него задачи?

Черт его знает, какие задачи могут возникнуть у веб-разработчиков, у клиента, я просто отталкиваюсь от обычного виртуального хостинга, где хостер выдает доступ к пользователю ssh с shell правами - значит такая необходимость есть.

Так для этого нужно указать ssh пользователя (в подсказке «Пользователь shell»). Под этим же пользователем человек может зайти через ssh терминал и увидеть те все папки и файлы, о которых говорим здесь.

я знаю как это работает :)

как я уже написал - чрута средствами ssh для этого будет достаточно

Черт его знает, какие задачи могут возникнуть у веб-разработчиков, у клиента, я просто отталкиваюсь от обычного виртуального хостинга, где хостер выдает доступ к пользователю ssh с shell правами - значит такая необходимость есть.

опять таки, ssh chroot

сделай ему ssh chroot в пользовательский каталог. Что бы сделать туннель этого хватит с головой, а по системе лазить ему не нужно

А, не заметил этот коммент, спасибо.

В продолжение темы, сделал chroot в пользовательский каталог:

Match user newuser
       ChrootDirectory /home/newuser
       X11Forwarding no
       AllowTcpForwarding no

владелец папки newuser -> root, права 750

# getent passwd medsys
medsys:x:1002:2240:Medusa User:/home/medsys:/usr/bin/rssh

# grep -vE '^#|^$' /etc/rssh.conf 
logfacility = LOG_USER 
allowscp
allowsftp
umask = 022
user=medsys:022:00011:/data1/medusa_south  # both with chroot

В данном случае /data1/medusa_south это «/» юзера

# ls -F /data1/medusa_south

bin/ dev/ etc/ home/ lib64/ usr/


# tree bin etc dev home lib64 usr
bin
|-- bash
|-- cat
`-- sh -> bash
etc
|-- group
|-- hosts
|-- ld.so.cache
|-- ld.so.conf
|-- nsswitch.conf
|-- passwd
|-- resolv.conf
|-- rssh.conf
|-- shadow
`-- shells
dev
|-- null
`-- zero
home
`-- medsys
         [SKIP]
lib64
|-- ld-linux-x86-64.so.2
|-- libc.so.6
|-- libcom_err.so.2
|-- libcrypt.so.1
|-- libcrypto.so.6
|-- libdl.so.2
|-- libkeyutils.so.1
|-- libnsl.so.1
|-- libnss_compat.so.2
|-- libnss_files.so.2
|-- libpthread.so.0
|-- libresolv.so.2
|-- libselinux.so.1
|-- libsepol.so.1
|-- libtermcap.so.2
`-- libutil.so.1
usr
|-- bin
|   |-- ldd
|   |-- rssh
|   |-- scp
|   `-- sftp
|-- lib64
|   |-- libgssapi_krb5.so.2
|   |-- libk5crypto.so.3
|   |-- libkrb5.so.3
|   |-- libkrb5support.so.0
|   |-- libnspr4.so
|   |-- libnss3.so
|   |-- libnssutil3.so
|   |-- libplc4.so
|   |-- libplds4.so
|   `-- libz.so.1
`-- libexec
    |-- openssh
    |   `-- sftp-server
    `-- rssh_chroot_helper

Все просто, если не ныть.

Спасибо что показали структуру папок, подскажите как ее создать теперь там - это симлинки?

Можно просто скопировать. В гугле по запросу «ssh chroot» много готовых скриптов для этого

Под этим же пользователем человек может зайти через ssh терминал и увидеть те все папки и файлы, о которых говорим здесь.

да ладно тебе.

Можно просто скопировать. В гугле по запросу «ssh chroot» много готовых скриптов для этого

/etc/selinux/config

SELINUX=disabled

Создал группу:

groupadd chrooted

useradd usertest -G chrooted
passwd usertest

/etc/ssh/sshd_config Пробовал и такой вариант:

#Subsystem<---->sftp<-->/usr/libexec/openssh/sftp-server

AllowGroups sshusers chrooted
Match Group chrooted
         ChrootDirectory %h
         X11Forwarding no
         AllowTcpForwarding no

#Subsystem<---->sftp<-->/usr/libexec/openssh/sftp-server
Subsystem<----->sftp<-->internal-sftp
AllowGroups sshusers chrooted
Match Group chrooted
         ChrootDirectory %h
         X11Forwarding no
         AllowTcpForwarding no

Далее пробовал этот вариант: http://khmel.org/?p=624

/root/create_chroot_env.sh /home/usertest

И этот вариант пробовал: http://www.opennet.ru/tips/2006_sftp_ssh_chroot.shtml http://www.fuschlberger.net/programs/ssh-scp-sftp-chroot-jail/make_chroot_jai...

/root/make_chroot_jail.sh usertest /bin/bash /home/usertest

В обеих вариантах копируются системные папки и файлы в домашнюю директорию пользователю /home/usertest

Но не пускает через shell, не через ssh-тонель, как только ввожу пароль, ошибка:

Server unnecessarily closed network 

Я не админ, поэтому толковых советов дать не смогу, могу только намекнуть, в какую сторону ещё можно погуглить:

1. В debian/ubuntu есть очень хорошая команда debootstrap, создающая chroot окружение для этих систем.

2. Вообще chroot считается недостаточно надёжным. В BSD-системах вместо него обычно используют jail, а в linux можно использовать лёгкие виртуальные машины типа xen.

лучше поздно, чем никогда

http://linux.die.net/man/1/lshell

lshell is a shell coded in Python that lets you

shell coded in Python

Ты понял что сделал? Начался эпик тред на 100500 сообщений.

да ладно, работает зато :)

Руководство

Вот руководство как ограничить пользователя в своей папке по ssh http://www.articls.ru/category/linux/ssh_user_access_rights.html