Prosíme přihlašte se nebo zaregistrujte.

Přihlašte se svým uživatelským jménem a heslem.
Vaše pomoc je stále potřeba!

Autor Téma: zakaz prochazeni slozek  (Přečteno 8327 krát)

1x23

  • Aktivní člen
  • *
  • Příspěvků: 449
zakaz prochazeni slozek
« kdy: 24 Dubna 2012, 18:25:13 »
Ahoj, je divne ze kdyz vytvorim noveho uzivatele, tak muze cestovat po home jak se mu ze chce:(, teda leze vsude.
Je nejaka moznost jak zakazat uzivatelum cestovat po systemu, predem dekuji za nakopnuti zpravnym smerem,a jak system nastavit tak, aby pri vytvoreni uzivatele mel jenom prava na svoje slozky a zustal ve svem domovskem adresari?

NTB: Lenovo P50. OS - Ubuntu 18.04

Linux registred user: 499415

Armus69

  • Aktivní člen
  • *
  • Příspěvků: 297
    • http://www.netlancers.cz
Re:zakaz prochazeni slozek
« Odpověď #1 kdy: 24 Dubna 2012, 19:11:07 »
Co myslíte tím že leze všude, samozřejmě uživatel co má ssh přístup se může pohybovat po serveru a spouštět programy jak mu dovolí je jeho práva uživatele a skupiny. Pokud může vlézt do home adresářů jiných uživatelů je to tím že jsou na těch adresářích špatná práva a vlastnictví, popřípadě sdílejí skupinu ( např. users).
   Pokud máte na mysli ftp, zvolte ftp server s chroot funkcí, například vsftpd.
jabber:  Armus69@jabber.cz

ntz_reloaded

  • Lokaj
  • Závislák
  • ***
  • Příspěvků: 3735
  • skill :: ur home erly
Re:zakaz prochazeni slozek
« Odpověď #2 kdy: 24 Dubna 2012, 19:29:38 »
pri vytvareni uzivatele zmenit umask pro domovsky adresar z 022 (coz je predpokladam default v ubuntu) na neco typu 077 v etc/login.defs .. mozna to jde zaskrtnout v dialogu pri vytvareni uzivatele.

na soucasnou slozku aplikovat chmod pomoci go-rwx nebo tak nejak .. mozna g-rwx,o-rwx rekurzivne ;) .. najit v manualu, vyzkouset .. nikoliv pomoci cisel

viz.
man umask
man chmod
man login.defs
man useradd
tikejte mi, taky Vam tikam ...
song of the day - openSUSE, openindiana, DuckDuckGo
The noise ain't noise anymore, who's to blame, WHO'S TO BLAME ??

Martin Šácha

  • Člen občanského sdružení Ubuntu ČR a placené komunitní podpory
  • Administrátor fóra
  • ******
  • Příspěvků: 5153
Re:zakaz prochazeni slozek
« Odpověď #3 kdy: 25 Dubna 2012, 19:51:16 »
Tohle defaultní nastavení práv v /home je naprosto debilní a jedna z prvních věcí, které po instalaci systému/přidání uživatele měním na 077 (viz ntz).
Mint MATE 64bit / DuckDuckGo.com
Programátoři považují WYSIWYG za špatné u kódu i u žen. Programátor chce "dostat to, co žádá“ – kód tajemný, neodpouštějící, nebezpečný.

1x23

  • Aktivní člen
  • *
  • Příspěvků: 449
Re:zakaz prochazeni slozek
« Odpověď #4 kdy: 30 Dubna 2012, 20:21:02 »
vyzkousim, diky
NTB: Lenovo P50. OS - Ubuntu 18.04

Linux registred user: 499415

1x23

  • Aktivní člen
  • *
  • Příspěvků: 449
Re:zakaz prochazeni slozek
« Odpověď #5 kdy: 30 Dubna 2012, 22:02:30 »
zkousel jsem to pres  login.defs, unmask z 22 na 077 ale nepomohlo to, pri vytvoreni noveho uzvatele, muzu pres ssh prochazet,vsechny slozky. pres adduser se neda nic zmenit, aspon v manualu jsem se nic nedozvedel. mel bych po editaci souboru login.defs neco restartovat?
NTB: Lenovo P50. OS - Ubuntu 18.04

Linux registred user: 499415

ntz_reloaded

  • Lokaj
  • Závislák
  • ***
  • Příspěvků: 3735
  • skill :: ur home erly
Re:zakaz prochazeni slozek
« Odpověď #6 kdy: 30 Dubna 2012, 22:41:22 »
asi to nespravne chapes .. kdyz vytvoris noveho uzivatele tak se umaska aplikuje pouze na nove vytvorene soubory.

na soucasnou slozku aplikovat chmod pomoci go-rwx nebo tak nejak .. mozna g-rwx,o-rwx rekurzivne ;) .. najit v manualu, vyzkouset .. nikoliv pomoci cisel

viz.
man umask
man chmod
man login.defs
man useradd

^^ mysleno pro jiz vytvorene uzivatele
tikejte mi, taky Vam tikam ...
song of the day - openSUSE, openindiana, DuckDuckGo
The noise ain't noise anymore, who's to blame, WHO'S TO BLAME ??

1x23

  • Aktivní člen
  • *
  • Příspěvků: 449
Re:zakaz prochazeni slozek
« Odpověď #7 kdy: 03 Května 2012, 21:16:22 »
ahoj, jedine co mi funguje je vytvorit skupinu a te dat urcite prava, ale jeste nevim jak dat prava jen na slozku uzivatele.
Kód: [Vybrat]
chgrp user -R mate nekdo typ jak to upravit na dalsi uzivatele, i budouci. To jsem asi moc dobre nedomylel, protoze by mohl uzivatel jen cist svoje data a nic nemenit:-D
Mam jeste jeden dotaz, lze nejak nadefinovat co smi uzivtel v terminalu pustit a co ne? Ted muzu jako uzivatel pustit htop

Diky za nakopnuti
NTB: Lenovo P50. OS - Ubuntu 18.04

Linux registred user: 499415

1x23

  • Aktivní člen
  • *
  • Příspěvků: 449
Re:zakaz prochazeni slozek
« Odpověď #8 kdy: 08 Května 2012, 23:33:10 »
zkousel jsem chmod g-rwx, vytvareni noveho uzivatele po zmene unmask z 022 na 077, ani jedno nepomohlo pres ssh uzivatel muze cestovat kde chce,

drwx------  3 data     data       21 May  8 17:19 data
NTB: Lenovo P50. OS - Ubuntu 18.04

Linux registred user: 499415

ntz_reloaded

  • Lokaj
  • Závislák
  • ***
  • Příspěvků: 3735
  • skill :: ur home erly
Re:zakaz prochazeni slozek
« Odpověď #9 kdy: 09 Května 2012, 01:10:29 »
ach jo ..

to neplati pro stare uzivatele .. kazdy uzivatel ma prava jake mu pridelis .. precti si prosim na wiki nebo nekde v tutorialu jak prava v unixu funguji .. tohle se fakt neda.

zdravim, ntz
tikejte mi, taky Vam tikam ...
song of the day - openSUSE, openindiana, DuckDuckGo
The noise ain't noise anymore, who's to blame, WHO'S TO BLAME ??

1x23

  • Aktivní člen
  • *
  • Příspěvků: 449
Re:zakaz prochazeni slozek
« Odpověď #10 kdy: 09 Května 2012, 20:29:56 »
neslo mi to ani u novych, jj zkusim
NTB: Lenovo P50. OS - Ubuntu 18.04

Linux registred user: 499415

On

  • Stálý člen
  • **
  • Příspěvků: 1136
    • Operační systémy
Re:zakaz prochazeni slozek
« Odpověď #11 kdy: 10 Května 2012, 10:09:54 »
Zaujalo mě docela od ntz_reloaded

Citace
na soucasnou slozku aplikovat chmod pomoci go-rwx nebo tak nejak .. mozna g-rwx,o-rwx rekurzivne ;) .. najit v manualu, vyzkouset .. nikoliv pomoci cisel

A jen by mě zajímalo, proč se to nedělá pomocí čísel?

díky
Asus M2A-VM HDMI, Athlon 64 X2 4800+, 4GB DDR2/800Mhz,Powercolor HD 2600 XT, Ubuntu 10.10
Být posledním nevadí, ale nikdy nesmíte být poslední dvakrát po sobě - Iacocca

Roman Vacho

  • Moderátor
  • Závislák
  • ***
  • Příspěvků: 6018
Re:zakaz prochazeni slozek
« Odpověď #12 kdy: 10 Května 2012, 10:50:19 »
Tohle defaultní nastavení práv v /home je naprosto debilní a jedna z prvních věcí, které po instalaci systému/přidání uživatele měním na 077 (viz ntz).

Konečně jsem pochopil..... Pořád jsem nerozuměl tomu, proč jinde třeba ne Fedoře je to jinak(Ne?).
Vyřešená vlákna je vhodné uzavřít "Topic Solved" dole pod vláknem. Děkujeme.

1x23

  • Aktivní člen
  • *
  • Příspěvků: 449
Re:zakaz prochazeni slozek
« Odpověď #13 kdy: 14 Května 2012, 12:52:08 »
ahoj, tak zkousel jsem to s g-rwx, 0-rwx. a nemuzu se dokopat k vysledku. nastavil jsem teda o-rwx a unmask z 022 na 077 a dal noveho uzivatele, a stejne muzu cestovat po slozkach.

Kód: [Vybrat]
/home/data# ls -la
total 4
drwx------  4 data data  56 May 14 08:06 .
drwxr-xr-x 13 root root 154 May  8 16:56 ..
drwxr-xr-x  4 data data  24 May 14 12:41 20120429
drwxr-xr-x 14 data data 114 May 14 12:39 20120514
-rw-------  1 data data  26 May 13 22:22 .bash_history

Kód: [Vybrat]
/home# ls -la
drwx------  4 data     data       56 May 14 08:06 data

Co jsem teda udelal spatne, jak bych to mel jeste zmenit.
Dekuji za odpovedi :), ale nevim si stim rady:(
NTB: Lenovo P50. OS - Ubuntu 18.04

Linux registred user: 499415

Armus69

  • Aktivní člen
  • *
  • Příspěvků: 297
    • http://www.netlancers.cz
Re:zakaz prochazeni slozek
« Odpověď #14 kdy: 14 Května 2012, 13:01:29 »
chmod 700 /home/data  = složku otevře jen majitel
chmod 750 /home/data  = složku otevře majitel a člen skupiny

  Samozřejmě pokud jsi přihlášen jako root  tak máš přístup všude.
« Poslední změna: 14 Května 2012, 13:04:32 od Armus69 »
jabber:  Armus69@jabber.cz

ntz_reloaded

  • Lokaj
  • Závislák
  • ***
  • Příspěvků: 3735
  • skill :: ur home erly
Re:zakaz prochazeni slozek
« Odpověď #15 kdy: 14 Května 2012, 13:06:09 »
https://cs.wikipedia.org/wiki/P%C5%99%C3%ADstupov%C3%A1_pr%C3%A1va_v_Unixu

^^ ty ty zaklady proste nechapes, je mi lito

kdyz mas umask 077 a pridas noveho uzivatele

Kód: [Vybrat]
# useradd -d /var/tmp/home/testuser -m testuser
# ls -ld /var/tmp/home/testuser/
drwx------ 6 testuser users 4096 2012-05-14 13:02 /var/tmp/home/testuser/

^^ tak jednoduse jinej uzivatel nez root a majitel se tam *nedostane

ad.x) u me v suse:

Kód: [Vybrat]
#
# The UMASK value for useradd can be found in /etc/default/useradd,
# this variable here is deprecated and currently only used as fallback
# by pam_umask.so.
#
UMASK                   022

nutno doplnit do etc/default/useradd (je to tam napsano primo v login.defs, nutno pouzivat mozek)
tikejte mi, taky Vam tikam ...
song of the day - openSUSE, openindiana, DuckDuckGo
The noise ain't noise anymore, who's to blame, WHO'S TO BLAME ??

1x23

  • Aktivní člen
  • *
  • Příspěvků: 449
Re:zakaz prochazeni slozek
« Odpověď #16 kdy: 14 Května 2012, 22:01:46 »
doplnil jsem do /etc/default/useradd   umask 077

Kód: [Vybrat]
root@test:/home# useradd -d /home/asdf -m asdf
root@test:/home# passwd asdf
Enter new UNIX password:
Retype new UNIX password:
passwd: password updated successfully

prihlasim se pres ssh jako uzivatel asdf

Kód: [Vybrat]
Last login: Mon May 14 21:49:40 2012 from
$ ls
$ cd /
$ ls
bin       media  sbin   usr
boot      home   initrd.img   mnt selinux  var
dead.letter  initrd.img.old  opt srv   vmlinuz
dev      lib   proc sys   vmlinuz.old
etc      lib64   root tmp
$ cd /home
$ ls
a  asdf  b  data  ftp pega home  pegas  test
$ cd home
$ ls
aaa  pegas

co teda delam spatne? uz jsem zkusil destiky kombinaci. Wiki jsem si precetl, chapu to jak je to mysleno. ale nechapu proc to se muzu pohybovat po /, kdyz by to jit nemelo.
Do jinych slozek v /home/ se nedostanu. to je fajn
Dekuji za odpovedi :) a nakopnuti
NTB: Lenovo P50. OS - Ubuntu 18.04

Linux registred user: 499415

ntz_reloaded

  • Lokaj
  • Závislák
  • ***
  • Příspěvků: 3735
  • skill :: ur home erly
Re:zakaz prochazeni slozek
« Odpověď #17 kdy: 14 Května 2012, 22:36:16 »
aha, jo tohle myslis ..

kristova noho :D, tohle neni mozne docilit ... uzivatel musi videt po systemu .. jenom aby ti mohl bezet shell znamena, ze musis dohlednout na:

Kód: [Vybrat]
# ldd `which bash`
        linux-vdso.so.1 =>  (0x00007fff85be5000)
        libreadline.so.6 => /lib64/libreadline.so.6 (0x00007fc9fd834000)
        libncurses.so.5 => /lib64/libncurses.so.5 (0x00007fc9fd5df000)
        libdl.so.2 => /lib64/libdl.so.2 (0x00007fc9fd3db000)
        libc.so.6 => /lib64/libc.so.6 (0x00007fc9fd07b000)
        /lib64/ld-linux-x86-64.so.2 (0x00007fc9fda7b000)

+ zakladni prikazy pro praci se soubory a podobne ...

pokud chces docilit co nejomezenejsiho pristupu samotnych uzivatelu k systemu, tak linux pro to neni zcela vhodny nastroj protoze mu chybi ucinej role management (RBAC). Kompromis je, ze uzivatel se loguje do chrootu ..

najdi si na wiki co je chroot a zagugli jak se to nastavuje ... najdes step-by-step navod
tikejte mi, taky Vam tikam ...
song of the day - openSUSE, openindiana, DuckDuckGo
The noise ain't noise anymore, who's to blame, WHO'S TO BLAME ??

1x23

  • Aktivní člen
  • *
  • Příspěvků: 449
Re:zakaz prochazeni slozek
« Odpověď #18 kdy: 15 Května 2012, 11:29:24 »
dekuji, jdu na to ;)
NTB: Lenovo P50. OS - Ubuntu 18.04

Linux registred user: 499415

On

  • Stálý člen
  • **
  • Příspěvků: 1136
    • Operační systémy
Re:zakaz prochazeni slozek
« Odpověď #19 kdy: 24 Května 2012, 15:56:02 »
Nevím teda, jestli chápu problém správně, ale...nechceš náhodou vytvořit uživatele kvůli sdílení dat? Nebo chceš uživatelům zpřístupnit shell, ale pouze ve svém domovském adresáři (což mám za to, že nepůjde) ? Potřebují tví uživatelé příkazový řádek?

Jestli ti jde jen o sdílení dat, tak buď ftp (nemám ho rád) nebo sftp (mám ho rád)..u obou ale docílíš toho, že uživatel bude zamklý ve své domovské složce a uvidí jen to, co chceš, aby viděli...nebudou ale moct spouštět příkazy v shellu..sftp jich sice pár umí, ale nic, co by asi běžný uživatel potřeboval..
Asus M2A-VM HDMI, Athlon 64 X2 4800+, 4GB DDR2/800Mhz,Powercolor HD 2600 XT, Ubuntu 10.10
Být posledním nevadí, ale nikdy nesmíte být poslední dvakrát po sobě - Iacocca

1x23

  • Aktivní člen
  • *
  • Příspěvků: 449
Re:zakaz prochazeni slozek
« Odpověď #20 kdy: 25 Května 2012, 19:21:59 »
jeste jsem se k tomu nedostal, neni cas:(.
Ano, sdileni.shell nepotrebuju, a ftp jsem nechtel pouzit. potrebuju jen nahrat fota z kamery,a aby uzivatel necestoval.
NTB: Lenovo P50. OS - Ubuntu 18.04

Linux registred user: 499415

ntz_reloaded

  • Lokaj
  • Závislák
  • ***
  • Příspěvků: 3735
  • skill :: ur home erly
Re:zakaz prochazeni slozek
« Odpověď #21 kdy: 25 Května 2012, 19:28:10 »
useradd -rd /mnt/ftp pepa ### prida systemovej ucet pepa (nemuze se na nej prihlasit) s domacim adresarem /mnt/ftp, kterej muze sdilet s jinejma .. ach jo, to je ale rozuzleni
tikejte mi, taky Vam tikam ...
song of the day - openSUSE, openindiana, DuckDuckGo
The noise ain't noise anymore, who's to blame, WHO'S TO BLAME ??

1x23

  • Aktivní člen
  • *
  • Příspěvků: 449
Re:zakaz prochazeni slozek
« Odpověď #22 kdy: 25 Května 2012, 19:32:32 »
a kdybych to chtel jen pro jednoho uzivatele, tak to jde jedine pres chroot?
NTB: Lenovo P50. OS - Ubuntu 18.04

Linux registred user: 499415

ntz_reloaded

  • Lokaj
  • Závislák
  • ***
  • Příspěvků: 3735
  • skill :: ur home erly
Re:zakaz prochazeni slozek
« Odpověď #23 kdy: 25 Května 2012, 20:09:33 »
a kdybych to chtel jen pro jednoho uzivatele, tak to jde jedine pres chroot?
tezko uhodnout jak to myslis
tezko uhodnout co ma byt vysledkem
tikejte mi, taky Vam tikam ...
song of the day - openSUSE, openindiana, DuckDuckGo
The noise ain't noise anymore, who's to blame, WHO'S TO BLAME ??

On

  • Stálý člen
  • **
  • Příspěvků: 1136
    • Operační systémy
Re:zakaz prochazeni slozek
« Odpověď #24 kdy: 28 Května 2012, 10:04:27 »
to NTZ:
Hádám, že ho zmátlo malinko to, že jsi napsal "kterej muze sdilet s jinejma" ..

to 1x23
Pokud ho nechceš sdílet, tak nebudeš...dáš přístupové údaje prostě jednomu člověku a hotovo :)
Asus M2A-VM HDMI, Athlon 64 X2 4800+, 4GB DDR2/800Mhz,Powercolor HD 2600 XT, Ubuntu 10.10
Být posledním nevadí, ale nikdy nesmíte být poslední dvakrát po sobě - Iacocca

 

Provoz zaštiťuje spolek OpenAlt.