restringe o acesso do usuário a vários diretórios

3

Estou procurando uma possibilidade de restringir o acesso de um usuário ao seu diretório e algumas outras pastas com dados.

/ home / user1, / data / media

para perceber que isso não é grande coisa, mas como posso proibir que o usuário1 não consiga procurar outras pastas ou arquivos? por exemplo, por padrão, todos os usuários têm permissão para navegar por quase todos os diretórios e arquivos.

por exemplo. Existe uma possibilidade de proibir que o usuário1 é capaz de ver sua pasta, mas não é capaz de navegar através de / etc, / opt e assim por diante?

caso contrário, ele seria capaz de olhar nos arquivos de configuração o que realmente queremos proibir ...

nós tentamos com o chroot, mas nesse methot ele só seria capaz de ver sua homefolder ...

Muito obrigado

    
por paschn 24.03.2016 / 09:24

3 respostas

1

Acho que usar o chroot é a melhor aposta. Use o mount --bind / source / home / user / dir para criar uma "árvore" de diretórios que o usuário pode acessar a partir da jaula chroot.

A alternativa seria negar as permissões do usuário a outras partes do sistema usando chmod e chown, mas isso pode causar outros efeitos colaterais, e é bem provável que você sentirá falta de algo.

    
por 24.03.2016 / 09:42
0

Você pode usar o sistema Access Control List (ACL), que permite permissões mais refinadas. Os comandos relevantes são setfacl e getfacl .

Como você não especificou sua distro, aqui está um link sobre ACLs no Debian e em RHEL/CentOS .

    
por 24.03.2016 / 10:06
0

As permissões da pasta padrão são 755 (legíveis e executáveis / acessíveis por outros).

Você pode alterar as permissões padrão para todas as pastas editando o arquivo /etc/adduser.conf -

Encontre a linha: DIR_MODE = 0755

Para bloquear outros, altere para: DIR_MODE = 0750

Para também bloquear pessoas no mesmo grupo (ver ls -l / home) altere para: DIR_MODE = 0700 As alterações entrarão em vigor quando você criar um novo usuário.

Você pode alterar as permissões padrão de arquivo / pasta (ou seja, quando criar um novo arquivo) de uma pasta específica usando estes comandos:

chmod g + s / pasta / meu caminho #set sticky bit

setfacl -d -mg :: rwx / folder / mypath #definir grupo para rwx padrão

setfacl -d -m o :: 000 / folder / mypath #set outras permissões de acordo

Para verificar a alteração:

getfacl / folder / mypath

isto é para pastas específicas

    
por 24.03.2016 / 11:03