Zugriff für Benutzer auf mehrere Verzeichnisse beschränken

900
paschn

Ich suche nach einer Möglichkeit, den Zugriff eines Benutzers auf sein Heimatverzeichnis und einige andere Ordner mit Daten zu beschränken.

/ home / user1 / / data / media

zu erkennen, dass dies keine große Sache ist, aber wie kann ich verbieten, dass user1 nicht in andere Ordner oder Dateien sehen kann? Standardmäßig haben alle Benutzer die Berechtigung, nahezu alle Verzeichnisse und Dateien zu durchsuchen.

Gibt es beispielsweise eine Möglichkeit, dass Benutzer1 seinen Ordner nicht sehen kann, aber nicht in der Lage ist, / etc, / opt usw. zu durchsuchen?

ansonsten könnte er in config-Dateien nachsehen, was wir wirklich verbieten wollen ...

wir haben es mit der chroot versucht, aber in diesem methot konnte er nur seinen heimordner sehen ...

Danke vielmals

3

3 Antworten auf die Frage

1
davidgo

Ich denke, chroot ist die beste Wahl. Verwenden Sie mount --bind / source / home / user / dir, um einen "Verzeichnisbaum" von Verzeichnissen zu erstellen, auf die der Benutzer vom Chroot-Gefängnis aus zugreifen kann.

Die Alternative wäre, die Benutzerberechtigungen für andere Teile des Systems mithilfe von chmod und chown zu verweigern. Dies birgt jedoch andere Nebenwirkungen und es ist sehr wahrscheinlich, dass Sie etwas verpassen.

0
dr01

Sie können das Access Control List (ACL) -System verwenden, das detailliertere Berechtigungen ermöglicht. Die entsprechenden Befehle sind setfaclund getfacl.

Da Sie Ihre Distribution nicht angegeben haben, finden Sie hier einige Links zu ACLs unter Debian und RHEL / CentOS .

0
vembutech

Die Standardordnerberechtigungen sind 755 (lesbar und ausführbar / für andere zugänglich).

Sie können die Standardberechtigungen für alle Ordner ändern, indem Sie die Datei /etc/adduser.conf bearbeiten.

Suchen Sie die Zeile: DIR_MODE = 0755

Um andere zu blockieren, ändern Sie sie in: DIR_MODE = 0750

Um auch Personen in derselben Gruppe zu blockieren (siehe ls -l / home), ändern Sie sie in: DIR_MODE = 0700 Änderungen werden wirksam, wenn Sie einen neuen Benutzer erstellen.

Sie können die Standard-Datei- / Ordnerberechtigungen (z. B. beim Erstellen einer neuen Datei) eines bestimmten Ordners mithilfe der folgenden Befehle ändern:

chmod g + s / ordner / mein_pfad #set sticky bit

setfacl -d -mg :: rwx / folder / mypath #set-Gruppe auf den Standardwert für rwx

setfacl -d -mo :: 000 / folder / mypath # setzt andere Berechtigungen entsprechend

So überprüfen Sie die Änderung:

getfacl / Ordner / MeinPfad

Dies ist für bestimmte Ordner

Verwandte Probleme