Como ocultar completamente as coisas de um usuário?

Navegue suas respostas
2

Eu quero que alguns dos meus amigos acessem meu computador fazendo contas de usuário. Eles acessam meu computador principalmente por sftp e ssh, mas eles também podem acessá-lo em minha casa. No entanto, eu não quero que eles sejam capazes de ver todos os meus arquivos (não meus arquivos pessoais do meu diretório pessoal, quero dizer arquivos que residem fora do diretório do usuário, como etc, lib ...)

Eu fiz a pergunta recentemente:

OpenSSH, usuário chroot: Root precisa possuir o diretório do usuário, existe alguma consequência?

E o awnser que me foi dado foi que, se eu chroot o usuário, precisarei criar um ambiente completo para cada usuário.

Existe uma maneira de realmente impedir que os usuários saiam de seu diretório pessoal e os impeçam de passar um argumento para um programa como cp que apontam para fora de seu diretório inicial ou de qualquer maneira para manter meu sistema privado? ? Qual é a melhor solução? Eu quero que eles sejam capazes de usar totalmente todos os meus programas, mas incapazes de copiar ou ler arquivos, ou usar programas para ler ou copiar arquivos fora de seu diretório pessoal.

    
por user1115057 22.04.2012 / 03:45

5 respostas

1

Dependendo do que "usar todos os meus programas", as opções são:

  • Use permissões de arquivo padrão do Unix para proteger seus arquivos . A vantagem aqui é que é realmente fácil de configurar, pois é apenas uma questão de decidir quais arquivos você deseja proteger e definir as permissões apropriadas neles. A desvantagem é que seu amigo não poderá fazer tudo no sistema, pois não terá acesso root

  • Executa uma cadeia do FreeBSD . O FreeBSD possui cadeias que são projetadas exatamente para este propósito. Eles fazem um pequeno esforço para configurar, mas você está dando ao seu amigo um sistema de arquivos completo que eles podem usar como quiserem: link

  • Execute uma verdadeira máquina virtual . O Xen ou o Virtualbox podem ser executados para fornecer um servidor totalmente operacional ao seu amigo. Isso pode consumir muito recursos em termos de memória, CPU e disco, mas é o mais separado dos seus arquivos.

por 18.05.2012 / 12:39
3

Eu duvido que você possa permitir que eles usem todos os seus programas, mas não consigam ler arquivos fora de casa. Tudo o que seria necessário é um programa que depende de um arquivo de configuração para destruir isso.

Você pode criar uma máquina virtual e dar a eles acesso de usuário (ou root) à máquina virtual.

Algumas soluções comuns de VMs são:

  1. Xen
  2. VirtualBox
  3. KVM
  4. OpenVZ
por 22.04.2012 / 03:53
2

Você tem algumas opções que tornarão seu diretório pessoal (ou parte dele) fora dos limites.

  • Altere o diretório de sua casa para o proprietário apenas usando chmod 700 ~ . Isso permitirá que apenas você e root acessem o diretório.

  • Mova seu diretório pessoal para um sistema de arquivos criptografado. (Isso impedirá que eles acessem-no quando você não o tiver descriptografado. Combine com o acima se eles puderem ter acesso enquanto você tiver o sistema de arquivos descriptografado.)

  • Use uma ferramenta de criptografia de arquivos para impedir o acesso a arquivos individuais.

  • Esconda os arquivos privados em diretórios ocultos. Use um nome como .private para ocultar suas coisas particulares. Isso é apenas segurança pela obscuridade. Você precisará combiná-lo com uma ou mais das opções acima para torná-lo seguro.

Lembre-se de que, se você der aos seus usuários acesso root, eles terão muito poder para ignorar suas configurações de segurança. (Compartilhar o acesso a sistemas com arquivos que você não deseja compartilhar tem riscos.)

    
por 24.04.2012 / 04:32
1

Isso soa como propriedade básica, propriedade de grupo e configurações de bits de permissão no arquivo.

Seus arquivos pessoais são protegidos por seu ID de usuário pessoal e seu ID de grupo pessoal. Os arquivos que você deseja compartilhar recebem um GID para amigos / público.

Verifique este site: link

    
por 22.04.2012 / 09:15
1

O Iron Bars Shell pode ser exatamente o que você está procurando.

Iron Bars SHell, or short ibsh is my first attempt to create a restricted working environment for Linux/Unix. I'm sure that many system administrators wish or have wished for a way to lock some/all users into a safe dungeon, where they can only do harm to their own files.

Aqui estão alguns mais informações sobre como usá-lo.

    
por 22.04.2012 / 10:58

Tags

xsel / tmp / xselection não está funcionando no script número aleatório necessário