Вопросы Теги

Препятствуйте тому, чтобы пользователи видели и получили доступ к файловой системе вне $HOME

Проверьте этого: http://en.wikipedia.org/wiki/RAID_5#RAID_5 Доступное дисковое пространство показывают там.

0
задан 5 March 2012 в 13:46
4 ответа

Короткий ответ: нет. Чтобы пользователь мог взаимодействовать со своими данными, ему необходимо использовать программы (bash, ls, cat, vi ....). Чтобы использовать эти программы, пользователь должен иметь возможность перечислять каталоги, в которых они содержатся, и читать из файлов, содержащих программы.

Вы можете запретить пользователям доступ к файлам данных других пользователей с помощью настроек разрешения (и маска разрешений) соответствующим образом и / или ограничение доступа через chroot (но они все еще могут видеть конфигурационные и исполняемые файлы, к которым у них есть доступ).

Конечная цель - не дать им увидеть внутреннее устройство системы в File / Open

Это бессмысленно как Конечная цель - какова модель угроз? Как они могли таким образом получить / подорвать безопасность?

4
ответ дан 4 December 2019 в 11:07

Вы можете "chroot" пользователей в их домашних серверах (они не могут подняться выше своего домашнего каталога и увидеть что-нибудь еще). Вы можете проверить разрешения, чтобы заблокировать доступ пользователям в специальной группе (но большинство системных утилит продолжают работать так, как они нужны пользователям). В последнем случае у вас нет журналов (но нужны ли они, если вы знаете, что ваши пользователи не видят файлы?)

3
ответ дан 4 December 2019 в 11:07

Если пользователи входят в систему с помощью ssh, вы можете «привязать» их к их домашним каталогам. OpenSSH v4.9p1 позволяет вы можете сделать это с помощью директивы ChrootDirectory : 

Match group sftponly
         ChrootDirectory /home/%u
         X11Forwarding no
         AllowTcpForwarding no

(Подробнее см. man sshd_config)

В зависимости от вашего уровня доверия к пользователям, вы также можете захотеть использовать ограниченную оболочку например lshell или rbash .

1
ответ дан 4 December 2019 в 11:07

Этого можно добиться с помощью rbash

Используйте эту команду, чтобы создать нового пользователя с именем guest, который имеет доступ только к своему домашнему каталогу:

sudo useradd -m -s /bin/rbash guest

Разбивка:

  • sudo useradd создает пользователя с правами суперпользователя
  • -m создает и регистрирует домашний каталог для пользователя
  • -s устанавливает оболочку пользователя. в нашем случае каталог rbash
  • /bin/rbash путь к каталогу rbash
  • гость имя нашего пользователя

В результате должно получиться: ССЫЛКА

1
ответ дан 28 April 2021 в 15:41

Теги

Похожие вопросы