Создание и ограничение пользователя в Linux(Debian)

Версия ядра это очень важно) Вообще надо глянуть в функцию пользователи,, хотя это дебилиан, там этого может и не быть, тогда из консоли, но я хз)

ограничение при работе с ftp - файлом ftpchroot. а вот с ограничением по ssh всё намного интереснее. можно ограничить группу стандартными правами доступа (и попробовать не прибить права остальным для работы системы). И чтобы этого не произошло, можно использовать второй слой прав доступа - я тут в соседних тредах как раз про SElinux рассказывал. :)

Не могли бы вы написать пример? Я никак не могу решить эту проблему

с примером, увы и ах, не подмогну, ибо ковыряться глубоко и долго. Если копать в сторону selinux - системного пользователя линкуем с пользователем selinux, как описанно по ссылочке, а дальше, можно копнуть как в сторону RBAC, так и MLS - дело вкуса, как удобнее, результат один.

Используя стандартные права доступа, взорвав мозг, в принципе, тоже можно, но проще с мандатным контролем доступа, т.к. систему это не убьёт при малейшем косяке.

Создать пользователя, запереть его в своей папке.
ssh

Смотри в сторону restricted shell'ов, типа rbash(1). Хотя в целом это плохая идея. Если у юзера есть шелл, он рано или поздно сможет проломить защиту через к/либо уязвимость ядра, dbus, systemd или ещё какой поделки.

Lord900, тебе прямо очень надо что-бы пользователь не мог сделать ls /bin, но при этом мог сделать ls ~/kotiki ? Ты уверен? Что тебе надо именно это? Может тебе всё-таки надо что-бы пользователь vasya не мог прочесть файлы пользователя petya, а содержимое /bin можно и не секретить?
Во втором случае достаточно изменить umask (параметр задающий дефолтные права доступа к файлам) всех пользователей на более строгий (не дающий доступ на чтение всем) и поменять права уже созданных другими пользователями файлов.
Если-же тебе всё-таки надо секретить содержимое /bin и прочих системных директорий то советую подумать ещё раз над тем действительно-ли тебе это нужно

Мне по сути нужно чтоб пользователь мог запускать скрипт и смотреть в консоль(для этого ssh)

Тогда установи sshd и создай пользователя, он сможет «запускать скрипты и смотреть в консоль» (если у него нет проблем со зрением).
Или тебе всё-таки надо что-бы пользователь чего-то не мог?

т.е. по сути пользователю вообще нужно всего 2 команды. sh start.sh и screen

Установи sshd и screen, создай пользователя, убедись что у него его доступ на чтение к файлу start.sh.
Или сформулируй что именно тебя не устраивает в такой конфигурации

Еще раз. Мне нужно создать пользователя. Выделить ему отдельную папку таким образом, чтоб он не смог выйти за её пределы. И смог запускать файлы в своей папке

поставь lxc. создай виртуального рута user namespace. или виртуалку.

Переформулирую. Зачем тебе нужно «чтоб он не смог выйти за её пределы»?

Потому что за пределами папки находятся мои файлы. Я не хочу, чтобы люди, которым я выдавал пользователя могли их просматривать.

Вооот, мы уже подобрались к сути проблемы: почему файлы которые не должны быть доступны всем пользователям системы доступны всем пользователям системы?
Давай опустим пару раундов риторических вопросов и сразу перейдём к тому месту нашей истории в которой ты читаешь про chmod и [uel='https://ru.wikipedia.org/wiki/Umask']umask

Я же писал, что уже пробовал и достаточно многократко. Я не спроста просил полный пример всего этого. Не нужно кидать мне ссылки. Просто приведи правильный пример

Не нужно кидать мне ссылки. Просто приведи правильный пример

А вот здесь ты берёшь и идёшь прямо наxyй, никуда не сворачивая.

3000 руб яндекс деньгами или биткоинами, рутовый доступ к серверу и список файлов которые не должны быть доступны абы кому. Ну или в Job

Не захломляй тему. Уйди отсюда.

Вопрос остаётся открытым. Если есть желающие помочь. Буду благодарен

UP

Намути виртуалку

Потому что за пределами папки находятся мои файлы. Я не хочу, чтобы люди, которым я выдавал пользователя могли их просматривать.

Допустим, ты (пользователь, от которого созданы твои файлы) — lord, юзеры, которым нельзя смотреть твои файлы — user1 и user2. Тебе надо: изменить права на файлы в домашнем каталоге lord (ну и остальные принадлежащие ему файлы, если таковые есть) на 700 для исполняемых и 600 для неисполняемых, это можно сделать командой chroot, там тебе помогут o, g, -r, -X, -w и т. д. Подробнее man chmod. Эти файлы отныне не смогут читаться никем, кроме lord (и root, которому, конечно, можно всё), даже те, что с ним в одной группе. Далее, чтобы новые файлы, которые пользователь lord будет создавать, имели по умолчанию те же права (то есть, не были доступны user1, user2 и другим), нужно прописать юзеру lord umask. Там применяется маска к тем же правам, только для вновь создаваемых файлов, то есть там надо НАОБОРОТ — 077. Подробнее man umask. Если тебе надо, чтобы user1 и user2 не могли читать файлы друг друга — просто производишь те же действия для них. То есть, для всех пользователей применяешь umask. Это всё, что тебе нужно. Если ты хочешь, чтобы юзеры не могли читать ещё и в /bin, то ты этого не хочешь, поверь.

P.s. Так же, если это возможно хотелось бы узнать можно ли ограничить пользователя в оперативной памяти?

Да, можно. man ulimit