Forum Debian Users Gang

dadexix · 2008-07-12 22:52:54

Witam, mam dwa potyania
Czy jest możlwość udostępnienia shell'a userowi ale tak by nie mógł dotykać określonego katalogu w katalogu domowym?
/home/user ma katalogi
a, b, c,
Dla usera o nazwie "user" ma nie istnieć katalog "c".
Pytanie na en temat również takie, jakiej powłoki wybrać by było najbezpieczniej dla systemu? najlepiej by dla usera ~ = /, jego katalog domowy to jedyny(jak w ftp)
Zbytnio na tym się nie znam, nigdy takich potrzeb nie miałem...

Pytanie dwa, na serverze dedykowanym ni z tego ni z owego siadł mi ssh, kazde poloczenie do ssh - "polaczenie odrzucone"... trzeba było usługę zrestartować, jednyne wyjście to reset "ręczny"(odcięcie zasilania) servera ponieważ nie mogłem się w żaden sposób do niego dostać(na szczęście u mnie takie rzeczy działają automatycznie)

I tu pytanie - czy jeśli bym zainstalował telnet to czy w takich sytuacjach on by mi pomógł(a nie zaszkodził - uszczerbiając bezpieczeństwo?) Czy to dobre rozwiązanie? oczywiście telnetu używać tylko gdy ssh mi padnie i tylko by postawić...?

Pozdrawiam

bercik · 2008-07-13 02:26:46

nowsze wersje sshd maja (podobno) opcje jail'owania wskazanych uzytkownikow ktorym udostepniamy sftp (rozumiem ze o to chodzi bo jezeli ma byc to dostep przez powloke to aby mial on sens powinien byc jakis dostep do uruchamianych pogramow)

co do dedyka to dowiedz sie czy nie ofweruja oni dostepu z jakiejs swojej maszyny do portu szeregowego twojego dedyka - wtedy wystawiasz sobie getty na port szeregowy ... co do telnetu to jezeli nie bedzie uzywany (i nie bedzie w nim dziury) to jakos bardzo nie naraza systemu (tytlko dodatkowa usluga sluchajaca na jakims porcie)

edit:
przyszlo mi jeszcze ze tego ograniczonego ssh chesz uzywac do puszczania jakiejs uslugi (np. svn) - wtedy mozesz zrobic autoryzacje kluczami (uzytkownik bez mozliwosci logowania sie haslem) i w pliku authorized_keys ograniczyc zarejestrowany klucz tylko do jednej komendy ... BTW napisz dokladniej czemu ma sluzyc ten ograniczony dostep - bedzie latwiej doradzic ...

Ostatnio edytowany przez bercik (2008-07-13 02:30:14)

dadexix · 2008-07-13 05:22:02

dzięki wielkie, lecz telnet i brak dziur to dla mnie czarna magia, nie uzywalem telnetu i nie wiem jakie w ogole dziury byc mogą ale poszukam google nie boli:)

A co do ssh... no to tak, zależy mi na corn, apsy zamkają się po rozłączeniu, ograniczenie takich rzeczy appsów jak menadżer bibliotek pear czy precl itd. itp...:], tylko ważne dla mnie to by gdy ktoś daje ls - danego katalogu ma nie być, gdy daje cd katalog - dostaje "nie ma takiego katalogu":) niby łatwiej zmienić uprawnienia ale właścicel musi byc ten sam:)

bercik · 2008-07-13 11:54:36

dosc ciezka sprawa bo (o ile dobrze rozumiem*) chesz udostepniac aplikacje, ale tak zeby ich nie bylo widac ... jedyne co mi przychodzi to zrobic prawdziwego jaila (lub jakiegos "na sterydach" - Linux-VServer / OpenVZ) i udostepnic userom tylko niezbedne do ich dzialania pliki ...

* chyba ze sie myle i chodzi o zablokowanie pewnych podkatalogow w /home

PS osobiscie nie widze wiekszego sensu w zabranianiu userom przegladnia rzeczy tkich jak /usr /bin czy /etc (tu jest kilka rzeczy ktorych ogladac nie powinni, ale to zalatwiaja prawa dostepu) ... no chyba ze bardzo, ale to bardzo nie ufasz swoim userom (ale wtedy nie dawalbym im shella)

Forum Debian Users Gang

Ogłoszenie

#1 2008-07-12 22:52:54

dadexix - Użytkownik

Powłoka ssh oraz pytanie o telnet

#2 2008-07-13 02:26:46

bercik - Moderator Mamut

Re: Powłoka ssh oraz pytanie o telnet

#3 2008-07-13 05:22:02

dadexix - Użytkownik

Re: Powłoka ssh oraz pytanie o telnet

#4 2008-07-13 11:54:36

bercik - Moderator Mamut

Re: Powłoka ssh oraz pytanie o telnet

Stopka forum