LINUX.ORG.RU

Запретить пользователю выходить из своей директории

 , ,


2

1

Привет. Поступило задание — ограничить пользователя в правах. Он должен иметь право сидеть только в своей директории и передвигаться по ней. И выполнять команды в ней же. Он не имеета права считывать файлы с других директорий и выходить туда. Домашний арест, гы-гы-гы.

Как можно это реализовать?

Пробовали через rbash — ОК, он не может выходить из своей домашней директории. но он всё равно может напрямую смотреть файлы командами типа cat /tmp/file.txt

Пробовали правкой ssh-конфига:

Match User urod
        ChrootDirectory /urod

По идее работает, но он не сможет вообще выполнять никакие команды и даже залогиниться по умолчанию, т.к. у него отсутсвуют программы типа ls, ll и даже сам bash, т.к. chroot изменён.

Есть ли ещё варианты или способы решить мою задачу? Задание менять нельзя, т.к. я мартышка, исполняющая приказы из вне.

А если скопировать в ту директорию нужные бинарники и их зависимости и на те директории и файлы флаги x поставить, а r и w нет?

Xenius ★★★★★ ()
Ответ на: комментарий от Xenius

Ну это придётся копировать /bin, /usr/bin и все библиотеки с собой подтянуть. Пол системы скопировать по сути.

Другого выхода нет?

iljuase ★★ ()
Ответ на: комментарий от logon

Эдак ты всем пользователям запретишь, а не лично этому

Balantay ()
Ответ на: комментарий от logon

На сервере очень много пользователей и только один «нехороший», которого нужно ограничить в правах.

Твоя команда вообще всех убъёт кроме рута, т.к. ограничит доступ другим пользователям даже к /bin/bash

iljuase ★★ ()
Ответ на: комментарий от Balantay

ACL выключены на файловых системах, чтобы их включить, надо изменить /etc/fstab и перемонтировать файловые системы, а этого делать нельзя, сервер на продакшне и его нельзя ребутать.

и как мне поможет ACL? Опять запретить пользователю доступ ко всем папкам, кроме его домашнего каталога?

iljuase ★★ ()
Ответ на: комментарий от iljuase

Ну это придётся копировать /bin, /usr/bin и все библиотеки с собой подтянуть.

Можно не копировать, а применить хардлинки, но тогда cat /bin/bash будет работать, например.

Xenius ★★★★★ ()

Он не имеета права считывать файлы с других директорий

Даже /etc? Даже /bin? Если /bin можно читать, то можно попробовать смонтировать в хомяк что надо (через mount --bind) и chroot в него.

tailgunner ★★★★★ ()
Ответ на: комментарий от tailgunner

Вы совершенно правы, решения моей проблемы скорее всего не существует.

Попробую объяснить это тому, кто дал мне такое задание.

Всем спасибо.

iljuase ★★ ()
Ответ на: комментарий от iljuase

Вы совершенно правы, решения моей проблемы скорее всего не существует.

Если понимать проблему буквально - скорее всего, нет. Но я не думаю, что ее надо понимать буквально.

tailgunner ★★★★★ ()
Ответ на: комментарий от iljuase

ACL выключены на файловых системах, чтобы их включить, надо изменить /etc/fstab и перемонтировать файловые системы, а этого делать нельзя, сервер на продакшне и его нельзя ребутать.

Можно перемонтировать с опцией remount
mount /patch-to-dir -o remount,acl
Или с acl так нельзя?

torvn77 ★★★★★ ()

на лузера делаешь отдельный gid. т.е. никаких общих групп. далее что-то типа

sudo chmod -R o-rwx /home 
т.е. «азеров» ня-я-яфуй из хомяков и файлопомоек. проверить noexec на $TEMP $TMP. noexec и квоту ему на хомяк (в строго обязательном порядке) и пущай детко развлекаеццо. если чо - setfacl в рыло. ибо нех.

anonymous ()

Выдай ему kvm виртуалку и логинь прямо в неё. Пусть там делает что угодно.

Хомяк прокинь внутрь.

ChALkeR ★★★★★ ()
Последнее исправление: ChALkeR (всего исправлений: 2)

100 мл. разупорина (внутривенно) «поставновщику» этого «задания» и 75 мл. - принявшего его к исполнению.

anonymous ()
Ответ на: комментарий от iljuase

Мы же не запретим ему передвигаться

Ноги ему сломай, какер.

anonymous ()
Ответ на: комментарий от iljuase

же не запретим ему передвигаться и видеть

Естественно. В ТЗ что было?

должен иметь право сидеть только в своей директории

Из такой своей директории уже никуда и никак.

DonkeyHot ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.