LINUX.ORG.RU

домашний каталог пользователя ssh


0

1

подскажите пожалуйста ! через плес создал пользователя фтп. ему надо дать доступ к ссш ! в файле etc/passwd

test:x:10001:505::/var/www/vhosts/m.ru/subdomains/1:bin/bash
в итоге доступ появился но пользователь может по всему дереву каталогов прыгать ! как огарничеть его доступ той дирректорией которая указана: /var/www/vhosts/m.ru/subdomains/1

Ответ на: комментарий от goingUp

хммм...из под рута зайти и как прописать что бы он не нырял глубже своей директории ???

chmod -R 755 /var/www/vhosts/m.ru/subdomains/1 
так или надо ещё указать пользователя для какого ?

morgusha ()

в итоге доступ появился но пользователь может по всему дереву каталогов прыгать ! как огарничеть его доступ той дирректорией которая указана: /var/www/vhosts/m.ru/subdomains/1

никак. Во всяком случае по системным каталогам он всё равно будет прыгать. Можно только закрыть доступ к другим юзерам, например chmod go-rwx /home/otheruser

emulek ()

и да, пусть прыгает, тебе жалко? Что ты там скрываешь? Своё CP надо в своём закрытом хомяке хранить.

emulek ()
Ответ на: комментарий от morgusha

Ну тогда ftp/sftp. sftp настраивается довольно просто, если пользователей немного.

backbone ★★★★★ ()
Последнее исправление: backbone (всего исправлений: 1)
Ответ на: комментарий от emulek

Не переворачивай с ног на голову. ТС хотел закрыть ssh юзера в его хомдире — это чрут. Точка. Зачем совсем др. вопрос. Например не светить имена др. пользователей в /etc/passwd и банально в /home/* и т.д. Имена файлов (даже если к содержимому нет доступа), тоже могут дать лишнюю инфу юзеру.

sdio ★★★★★ ()
Ответ на: комментарий от morgusha

Если ты хочешь дать (win)scp в рамках хомдира юзера, а не полноценный шел, то есть решение и достаточно простое.

sdio ★★★★★ ()
Последнее исправление: sdio (всего исправлений: 1)
Ответ на: комментарий от sdio

Не переворачивай с ног на голову. ТС хотел закрыть ssh юзера в его хомдире — это чрут. Точка. Зачем совсем др. вопрос. Например не светить имена др. пользователей в /etc/passwd и банально в /home/* и т.д. Имена файлов (даже если к содержимому нет доступа), тоже могут дать лишнюю инфу юзеру.

понимаешь... В системе ничего не должно быть секретного. Я не говорю, что её нельзя закрыть, я говорю, что это — не нужно.

И да, с -x (и с -r) ты не сможешь прочитать даже имена файлов (только с -r ты можешь угадать имя файла, и прочитать сам файл, если у тебя +r на файле).

Т.е. все секретные данные нужно хранить в своём хомяке. Или в файлах с правами 0600 (или в каталогах 0700).

Chroot в некотором смысле фикция, т.к. фактический доступ к системным файлам у тебя есть. Т.е. не нужно от него ждать чудес. Чудес не бывает.

emulek ()
Ответ на: комментарий от goingUp

chmod o-r /etc/passwd

а ты как зайдёшь?

chomd o-rw /home

это можно. Но не нужно. Кстати, там и так -w.

Но лень же, да.

попробовать самому, перед тем как посоветовать?

emulek ()
Ответ на: комментарий от emulek

Ты дурачок что-ли? Я ТСу дал ответ. Ты влез со своим «не нужно». Не нужно, так не нужно, я тебя переубеждать не собираюсь.

sdio ★★★★★ ()
Последнее исправление: sdio (всего исправлений: 2)
Ответ на: комментарий от emulek

а ты как зайдёшь?

Если мне нужно, можно и группу сделать

это можно. Но не нужно.

Не нужно. Сильный аргумент.

попробовать самому,

Лень выставлять права. Проще накостылять chroot.

goingUp ★★★★★ ()
Ответ на: комментарий от sdio

Ты дурочек что-ли?

если тебя спросят, как правильно готовить KCN, и чем его вкуснее запивать, ты тоже расскажешь?

Ну тогда ладно, всё ок.

emulek ()
Ответ на: комментарий от goingUp

Если мне нужно, можно и группу сделать

login ЕМНИП с nogroup запускается... Ну делай...

Не нужно. Сильный аргумент.

чем не аргумент?

Лень выставлять права. Проще накостылять chroot.

ну ладно.

emulek ()
Ответ на: комментарий от sdio

ssh + chroot — это далеко от выстрела в ногу

согласен. Да, у меня кроме «не нужно» нет аргументов.

emulek ()

Создай группу и дай ей ограниченные права.

IPR ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.