LINUX.ORG.RU

Запрет доступа ко всем дмректориям кроме ~/


0

0

Доброго времени суток.

Я даже не знаю в какую сторону копать. Появилась задача дать ssh для определённого юзера естественно с привязкой по IP или MAC. Эта задача решилась легко, 15 минут в "Iptables tutorial" и правила написаны.

Но тут есть подводный камень: я не люблю когда по серваку ползает кто бы то нибыло.

Подскажите нормальный способ разрешить ему делать чего угодно в своём домашнем каталоге, и запретить rwx во всей остальной системе. При этом стандартные юзер утилиты должны быть ему доступны (ping, mc, и т.п.)

Суть ограничения запрет чтения текстовых файлов и скриптов юзер в отдельной группе так как вероятней всего в скоре появятся ещё пара таких.

А если домашний каталог юзера делать в chroot?

init_6 ★★★★★
()

зачем привязывать к ip и mac, а не сделать по паролю или ключам?

чего ты не хочеш чтобы юзеры читали? - знаки препинания расставь

x905 ★★★★★
()

с какой то версии ssh chroot есть из коробки, надо только сделать окружение - /dev, /bin & co директории. последние можно сделать хардлинками на системные, а можно и скопировать. вобщем каждому юзеру по chroot'у. а можно попробовать openvz или что-то подобное.

CFA
()
Ответ на: комментарий от x905

Вопервых знаки препинания расставлены максимально подробно, во вторых причём тут пароли и ключи когда речь не идёт об аутентификации а только о правах доступа внутри системы?

metaljuga
() автор топика
Ответ на: комментарий от ponch

bash -r запрещяет команды в которых присудствует хотябы один слеш а следовательно юзер не сможет перемещятся по каталогам внутри ~/ мне это конечно подуше, но поставленой задачи это не решит... :(

metaljuga
() автор топика
Ответ на: комментарий от metaljuga

Подытожу написаное раньше:

просто openssh+chroot - ваше все из lightweight решений. OpenVZ+tpe+chroot+rbash или selinux/grsecurity/подобное с/без chroot - потяжелее, но мощнее.

Valmont ★★★
()

> Подскажите нормальный способ разрешить ему делать чего угодно в своём домашнем каталоге, и запретить rwx во всей остальной системе. При этом стандартные юзер утилиты должны быть ему доступны (ping, mc, и т.п.)
> ***rwx во всей остальной системе***


У твоих пользователей рутовые права? У простых "смертных" пользователей прав на запись кроме ~,/tmp и кое-чего в /dev отродясь никогда не бывало.

Lumi ★★★★★
()
Ответ на: комментарий от drull

># export telepat_mode="on"
>тут имеется ввиду что не должно быть ни r, ни w, ни x


ну тогда chrooted ssh будет самым простым и надежным решением

gserg ★★
()

из простых решений - chroot

из комплексных - selinux, rsbac

Cosmicman ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.