LINUX.ORG.RU
ФорумAdmin

Как ограничить хождение юзеров по серверу через telnet и ftp?


0

0

Посмотрел подшивки конференции и увидел, что оба вопроса часто дискутируются вместе... Проблема: 1. Зарегистрированные юзеры при ftp-коннекте должны ходить только по своей директории, а не шастать по всему серверу. При этом они должны иметь возможность писАть файлы в свою директорию и удалять из нее файлы. 2. Telnet по локалке и модему должен быть доступен только одному зарегистрированному пользователю например, user1. Этот user1 нужен только мне и только для того, чтобы с него запускать su (root). Остальные юзеры, даже введя правильные login и passwd, не должны получать telnet-доступ. Что я накопал самостоятельно? 1. Ftp. Лучшая подсказка получается по man ftpaccess. Увы, файл подсказки очень большой. Вот, что я сделал В /etc/ftpaccess добавил в конце строчку restricted-gid group1 и в группу group1 поместил всех пользователей. Все заработало хорошо, кроме двух НО: А). В своих директориях юзеры метут файлы root-а, как метлой машут! Как избавиться от этого безобразия: удаления файлов root-а простыми юзерами, пусть даже в своей директории? В первый раз идел на самом Линуксе, как простой юзер так беспардонно обращается с файлами root-а с правами доступа rw-r--r--. Б). Как ограничить аппетиты простых юзеров, скажем 10 Мбайтами на брата? А то еще, чего доброго, накидают в свои директории мегабайт 700! С чего начинать? Quota? Или man ftpaccess (видел я там пару подходящих опций)? Или крутить рычаги согласованно? 2. Telnet. Что-то не нашел я способов управления доступом Юзеров. Только хостами. Пока не придумал ничего лучшего, чем добавить в /etc/hosts.deny строчку in.telnetd: ALL EXCEPT 10.0.0 И пока радуюсь тем, что администрирую сервер с нетвердых IP-адресов. С реальных IP-адресов telnet недоступен - проверил :) И все-таки хотелось бы сделать так, как я написАл вначале... Может man hosts.deny невнимательно прочитал? С уважением, Mike Kudritsky.

anonymous

Re: Как ограничить хождение юзеров по серверу через telnet и ftp?

извини, на все отвечать ломливо - может кто другой соберется ;) А вот по поводу рутовых файлов просвещу - это не баг а фича :) У директории где файло лежит какие атрибуты ? что-то типа user:group rwxr-xr-x . то есть удалить файл можно, так как есть право записи в дир, а вот изменить его - фигушки. В данном случае надо либо пересматривать структуру/маски каталогов, либо пытаться играться с ACL (но сам не пробовал, так что не уверен что поможет) Ладно, и по поводу телнета - можно в /etc/profile всунуть проверку $LOGNAME и если не то - exit 0 , дешево и сердито :)

sasha999 ★★★★ ()

Re: Как ограничить хождение юзеров по серверу через telnet и ftp?

По поводу телнета - еще проще. Локально же у тебя юзера не сидят, я надеюсь? Отключи шелл и все. Т.е. в /etc/passwd заменяешь всем юзерам кроме себя /bin/bash (или что там у тебя? csh?) на /dev/null. Прописываешь /dev/null в /etc/shells. Плюс в /etc/default/useradd строчку "SHELL=/bin/bash" меняешь на "SHELL=/dev/null". Все новые юзера автоматом будут получать вместо шелла /dev/null и ни локально, ни телнетом зайти не смогут. А строчку в хостах оставь. Это правильно. И если получишь "правильный" адрес, исправь, но оставь. Нечего разрешать всем коннектится.

anonymous ()

Re: Как ограничить хождение юзеров по серверу через telnet и ftp?

Тема получает свое продолжение:
У меня задача такая - разрешить юзеру1 заходить в конкретную папку юзера2 по FTP, причем у юзера1 не должно быть доступа ни в какие другие папки на этом фтп кроме той папки юзера2.
Я делал так:
-Создал юзера1, принадлежащим к группе, в которую входит юзер2.
-Назначил юзеру1 домашней директорией как раз ту папку юзера2, в которую он должен входить.
-дал юзеру1 шелл /dev/null (как писалось выше)
Для той папки для группы полные права.
Но даже, если я просто делаю su - юзер1 и ввожу его пароль, то система пишет:
su: warning: cannot chage directory to /home/.../юзер2_dir: Permission denied
su: cannot run /dev/null: Permission denied
Чего не так сделал???

anonymous ()

Re: Как ограничить хождение юзеров по серверу через telnet и ftp?

>Но даже, если я просто делаю su - юзер1 и ввожу его пароль, то >система пишет: >su: warning: cannot chage directory to /home/.../юзер2_dir: >Permission denied >su: cannot run /dev/null: Permission denied Зачем ты пытаешся зайти под пользователем, которому запретил шелл - "дал юзеру1 шелл /dev/null (как писалось выше)" !!!???

anonymous ()

Re: Как ограничить хождение юзеров по серверу через telnet и ftp?

не надо /dev/null, надо /bin/true - и ругани не будет, и шелла тоже.

sasha999 ★★★★ ()

Re: Как ограничить хождение юзеров по серверу через telnet и ftp?

Дело вкуса

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.