LINUX.ORG.RU
ФорумAdmin

Ограничение области видимости юзеру

 ,


1

2

Всем привет. Установлена Ubuntu 16.04.6 LTS. Хочу реализовать следующее - создать пользователя и ограничить ему область видимости, чтобы через sftp или ssh он не мог выходить за пределы своего домашнего каталога, а также видеть другие папки за его пределами. Создать пользователя я то могу - adduser username, а вот как реализовать следующее? Также нужно скрыть от глаз пользователя .bash файлы находящиеся в его домашнем каталоге http://prntscr.com/moq217.

чтобы через sftp или ssh он не мог выходить за пределы своего домашнего каталога

chroot

Также нужно скрыть от глаз пользователя .bash файлы находящиеся в его домашнем каталоге

А это зачем?

anc ★★★★★
()

Создаешь группу пользователей к примеру sftpusers

groupadd sftpusers

Поскольку sftp - подсистема ssh, то и настройки ее находятся в файле sshd_config. Его и нужно подредактировать:

nano /etc/ssh/sshd_config

Находим и комментируем строку:

 #Subsystem sftp /usr/lib/openssh/sftp-server

Добавляем прямо под ней строку:

Subsystem sftp internal-sftp
Далее после параметра UsePAM строкой ниже
UsePAM yes

Добавляем группу с параметрами Chroot

Match Group sftpusers
        X11Forwarding no
        AllowTcpForwarding no
        ChrootDirectory %h
        ForceCommand internal-sftp
        PasswordAuthentication yes

Перегружаем SSH

initctl restart ssh

Теперь можно и пользователя создать и сразу внести его в группу sftpusers

useradd -g sftpusers -d /home/username -m -s /bin/false username

Теперь ставим права на домашнюю дирикторию пользователю

chown root:root /home/username

#Если пользователю нужно создать папку с правом на запись:

mkdir /home/username/upload
chown username:sftpusers /home/username/upload

А потом уже туда монтируй какие папки хочешь.

shrmvl
()
Ответ на: комментарий от shrmvl

Если ему нужен SSH тогда не используй оболочку /bin/false

shrmvl
()

ну как вариант chroot

xaTa ★★★
()
Ответ на: комментарий от shrmvl

В смысле ограничения rbash ломаются

anc ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.