Comment restreindre où un utilisateur peut faire dans Debian

2

Je viens d'ajouter un nouvel utilisateur dans Debian, mais je me demande simplement comment je peux limiter leur accès aux autres dossiers. En réalité, je veux juste qu'ils restent dans leur propre répertoire / home / nom d'utilisateur.

linux debian BinaryMisfit
la source

Réponses:

2

À moins que vous ajoutiez quelqu'un à d'autres groupes, le seul endroit où ils pourront créer des fichiers est dans / home / nom d'utilisateur / et / tmp /.

N'importe quel utilisateur qui souhaite la confidentialité peut modifier son répertoire personnel 750 ou 700 au lieu du 755 par défaut, mais c'est à chaque utilisateur de décider.

IIRC, les autorisations du répertoire racine de l'utilisateur sont suffisantes pour que tout reste récursivement à l'intérieur de ce répertoire privé.

Justin Smith
la source
1

Il existe de nombreuses façons de le faire, mais si vous voulez vraiment les restreindre à leur propre répertoire personnel, vous voulez probablement une solution shell restreinte .

ennuikiller
la source
1

C'est le comportement par défaut pour les systèmes Linux. Vous devriez vous contenter de laisser les choses comme elles sont, mais vous voudrez peut-être vérifier si les restrictions sont réellement en place en vous connectant en tant que nouvel utilisateur et en essayant de modifier les fichiers en dehors du répertoire de base.

Je tiens également à dire qu'ils pourront lire les fichiers de configuration dans le répertoire / etc ainsi que d'autres fichiers système, mais ne pourront pas voir / modifier le contenu du répertoire personnel des autres personnes. Notez que les fichiers système sensibles (tels que les clés privées pour SSH) ne sont lisibles que par root.

Marcusw
la source
comme il est maintenant , je pense que l'utilisateur est autorisé à parcourir tous les dossiers etc, veulent juste de sorte qu'ils ne peuvent pas quitter leur répertoire personnel et avec d' autres systèmes interfer / fichiers utilisateurs ...
1
Ils ne devraient pas pouvoir interférer du tout avec les autres utilisateurs, voyez ma modification. La philosophie de Linux est qu’aucun utilisateur ne peut affecter les paramètres d’autres utilisateurs ou lire leurs fichiers. Il n'y a vraiment aucune raison de ne pas les laisser voir les fichiers système, car tous les fichiers sensibles ne sont lisibles que par le superutilisateur. Si vous ne voulez pas que les utilisateurs voient un fichier ou un dossier spécifique, vous pouvez le modifier de sorte qu'il ne soit lisible que par l'utilisateur root, à l'instar des autres fichiers protégés.
Marcusw
@ David: comprenez qu'un utilisateur doit avoir accès à d'autres parties du système de fichiers pour exécuter des tâches telles que l'exécution de programmes. ils n'ont pas besoin d'avoir beaucoup d' accès - lire et exécuter, mais pas écrire - mais ils ont besoin d'un accès. Sauf si vous allez fournir un environnement de prison chroot avec tous les fichiers binaires qu'ils sont autorisés à exécuter ...
Quack quixote
Oui, c'est comme ça que j'aurais dû l'expliquer. Les fichiers système sont OBLIGATOIRES pour le fonctionnement du système, sans exception. Si vous voulez prendre le problème ailleurs avec un chroot, c'est bien aussi, mais ce n'est certainement pas la solution que j'utiliserais ...
marcusw
0

Éditez / etc / passwd et spécifiez qu’ils utilisent un shell restreint, comme rbash . Ils ne peuvent alors qu'exécuter des commandes à partir de leur PATH (que vous pouvez contrôler), ne peuvent pas modifier le contenu de PATH et ne peuvent pas changer de répertoire.

Charles Stewart
la source
0

Chroot est une solution possible, mais radicale, car vous perdez également l'accès à tous les répertoires / bin et autres. Nous avions un système mis en place pour les étudiants, avec à la maison un sous-répertoire ~ / bin contenant les programmes nécessaires et un identifiant avec un chroot à ~ de l'élève. Cela a bien fonctionné mais il a fallu un peu de préparation. Essayez ceci si vous voulez que la personne ait TRÈS peu d'accès avec ou sans le shell restreint.

Thomas
la source