Limita o usuário de visualizar arquivos que ele não possui

2

Normalmente, arquivos como /etc/passwd têm as permissões 644 , o que significa que todos têm o direito de ler o arquivo ( 4 ), mas somente o proprietário tem o direito de lê-lo e escreva para ele ( 4+2 = 6 ).

Eu quero criar um usuário "limitado" no sistema que só tenha acesso de leitura e gravação aos diretórios e arquivos que ele possui. Mesmo se arquivos do sistema, como /etc/passwd , tiverem permissões de leitura, não quero que o usuário possa lê-los.

Eu poderia alterar todos os arquivos no computador para que sejam ilegíveis para todos os usuários que não os possuam, mas temo que isso possa quebrar muitas coisas.

Existe alguma maneira de limitar um usuário específico de visualizar todos os arquivos que não são de sua propriedade?

    
por IQAndreas 31.12.2014 / 15:42

2 respostas

2

Se o seu usuário está indo para o SSH para o sistema, é um pouco difícil. Se eles estiverem usando um cliente SFTP, você pode configurar uma cadeia chroot. Isso permitirá que você defina o ChrootDirectory para a pasta que você está referenciando.

    
por 31.12.2014 / 15:59
2

Uma opção que pode funcionar é configurar um chroot com uma instalação mínima do seu sistema. No Debian e no Ubuntu, isso pode ser feito com o debootstrap. No FreeBSD, isso é realizado mais completamente através de jails (não vou referenciar cadeias especificamente diferentes daquelas aqui).

Depois de concluir esta etapa, inicie um sshd em uma porta diferente no ambiente chroot. Algo parecido com isto:

chroot /srv/chroot-for-user /usr/bin/sshd -p 2200

Adicione o usuário ao / etc / passwd do chroot e crie um diretório home para ele.

Eles entrarão no novo ambiente e verão apenas os arquivos até o limite de chroot. Eles ainda terão acesso de leitura a todos os arquivos de sistema no chroot como antes, porque sem eles, eles não poderão usar ferramentas normais do sistema como ls, awk e tee, mas serão suas próprias cópias compartilhadas sem ninguém. fora do chroot.

Existem outras maneiras mais inteligentes de realizar esse tipo de coisa, mas o chroot é a maneira mais usada para limitar o acesso ao sistema de arquivos.

    
por 31.12.2014 / 20:15