Запрет доступа ко всем дмректориям кроме ~/

0

0

Доброго времени суток.

Я даже не знаю в какую сторону копать. Появилась задача дать ssh для определённого юзера естественно с привязкой по IP или MAC. Эта задача решилась легко, 15 минут в "Iptables tutorial" и правила написаны.

Но тут есть подводный камень: я не люблю когда по серваку ползает кто бы то нибыло.

Подскажите нормальный способ разрешить ему делать чего угодно в своём домашнем каталоге, и запретить rwx во всей остальной системе. При этом стандартные юзер утилиты должны быть ему доступны (ping, mc, и т.п.)

Суть ограничения запрет чтения текстовых файлов и скриптов юзер в отдельной группе так как вероятней всего в скоре появятся ещё пара таких.

Ссылка

←	Как заставить portage проверять сигнатуры?

Логи работы пользователя

→

А если домашний каталог юзера делать в chroot?

init_6 ★★★★★
(21.09.09 12:31:14 MSD)

Ссылка

зачем привязывать к ip и mac, а не сделать по паролю или ключам?

чего ты не хочеш чтобы юзеры читали? - знаки препинания расставь

x905 ★★★★★
(21.09.09 12:47:07 MSD)

с какой то версии ssh chroot есть из коробки, надо только сделать окружение - /dev, /bin & co директории. последние можно сделать хардлинками на системные, а можно и скопировать. вобщем каждому юзеру по chroot'у. а можно попробовать openvz или что-то подобное.

CFA ★
(21.09.09 13:17:46 MSD)

Ссылка

bash -r в качестве шелла

ponch ★
(21.09.09 18:30:05 MSD)

Ответ на: комментарий от x905 21.09.09 12:47:07 MSD

Вопервых знаки препинания расставлены максимально подробно, во вторых причём тут пароли и ключи когда речь не идёт об аутентификации а только о правах доступа внутри системы?

metaljuga
(22.09.09 00:14:16 MSD) автор топика

Ссылка

Ответ на: комментарий от ponch 21.09.09 18:30:05 MSD

bash -r запрещяет команды в которых присудствует хотябы один слеш а следовательно юзер не сможет перемещятся по каталогам внутри ~/ мне это конечно подуше, но поставленой задачи это не решит... :(

metaljuga
(22.09.09 00:45:50 MSD) автор топика

Ответ на: комментарий от metaljuga 22.09.09 00:45:50 MSD

Подытожу написаное раньше:

просто openssh+chroot - ваше все из lightweight решений. OpenVZ+tpe+chroot+rbash или selinux/grsecurity/подобное с/без chroot - потяжелее, но мощнее.

Valmont ★★★
(22.09.09 00:54:39 MSD)

Ссылка

> Подскажите нормальный способ разрешить ему делать чего угодно в своём домашнем каталоге, и запретить rwx во всей остальной системе. При этом стандартные юзер утилиты должны быть ему доступны (ping, mc, и т.п.)
> ***rwx во всей остальной системе***

У твоих пользователей рутовые права? У простых "смертных" пользователей прав на запись кроме ~,/tmp и кое-чего в /dev отродясь никогда не бывало.

~~Lumi~~ ★★★★★
(25.09.09 15:47:14 MSD)