Fórum Ubuntu CZ/SK
Ostatní => Ubuntu Server => Téma založeno: 1x23 24 Dubna 2012, 18:25:13
-
Ahoj, je divne ze kdyz vytvorim noveho uzivatele, tak muze cestovat po home jak se mu ze chce:(, teda leze vsude.
Je nejaka moznost jak zakazat uzivatelum cestovat po systemu, predem dekuji za nakopnuti zpravnym smerem,a jak system nastavit tak, aby pri vytvoreni uzivatele mel jenom prava na svoje slozky a zustal ve svem domovskem adresari?
-
Co myslíte tím že leze všude, samozřejmě uživatel co má ssh přístup se může pohybovat po serveru a spouštět programy jak mu dovolí je jeho práva uživatele a skupiny. Pokud může vlézt do home adresářů jiných uživatelů je to tím že jsou na těch adresářích špatná práva a vlastnictví, popřípadě sdílejí skupinu ( např. users).
Pokud máte na mysli ftp, zvolte ftp server s chroot funkcí, například vsftpd.
-
pri vytvareni uzivatele zmenit umask pro domovsky adresar z 022 (coz je predpokladam default v ubuntu) na neco typu 077 v etc/login.defs .. mozna to jde zaskrtnout v dialogu pri vytvareni uzivatele.
na soucasnou slozku aplikovat chmod pomoci go-rwx nebo tak nejak .. mozna g-rwx,o-rwx rekurzivne ;) .. najit v manualu, vyzkouset .. nikoliv pomoci cisel
viz.
man umask
man chmod
man login.defs
man useradd
-
Tohle defaultní nastavení práv v /home je naprosto debilní a jedna z prvních věcí, které po instalaci systému/přidání uživatele měním na 077 (viz ntz).
-
vyzkousim, diky
-
zkousel jsem to pres login.defs, unmask z 22 na 077 ale nepomohlo to, pri vytvoreni noveho uzvatele, muzu pres ssh prochazet,vsechny slozky. pres adduser se neda nic zmenit, aspon v manualu jsem se nic nedozvedel. mel bych po editaci souboru login.defs neco restartovat?
-
asi to nespravne chapes .. kdyz vytvoris noveho uzivatele tak se umaska aplikuje pouze na nove vytvorene soubory.
na soucasnou slozku aplikovat chmod pomoci go-rwx nebo tak nejak .. mozna g-rwx,o-rwx rekurzivne ;) .. najit v manualu, vyzkouset .. nikoliv pomoci cisel
viz.
man umask
man chmod
man login.defs
man useradd
^^ mysleno pro jiz vytvorene uzivatele
-
ahoj, jedine co mi funguje je vytvorit skupinu a te dat urcite prava, ale jeste nevim jak dat prava jen na slozku uzivatele.
chgrp user -R
mate nekdo typ jak to upravit na dalsi uzivatele, i budouci. To jsem asi moc dobre nedomylel, protoze by mohl uzivatel jen cist svoje data a nic nemenit:-D
Mam jeste jeden dotaz, lze nejak nadefinovat co smi uzivtel v terminalu pustit a co ne? Ted muzu jako uzivatel pustit htop
Diky za nakopnuti
-
zkousel jsem chmod g-rwx, vytvareni noveho uzivatele po zmene unmask z 022 na 077, ani jedno nepomohlo pres ssh uzivatel muze cestovat kde chce,
drwx------ 3 data data 21 May 8 17:19 data
-
ach jo ..
to neplati pro stare uzivatele .. kazdy uzivatel ma prava jake mu pridelis .. precti si prosim na wiki nebo nekde v tutorialu jak prava v unixu funguji .. tohle se fakt neda.
zdravim, ntz
-
neslo mi to ani u novych, jj zkusim
-
Zaujalo mě docela od ntz_reloaded
na soucasnou slozku aplikovat chmod pomoci go-rwx nebo tak nejak .. mozna g-rwx,o-rwx rekurzivne ;) .. najit v manualu, vyzkouset .. nikoliv pomoci cisel
A jen by mě zajímalo, proč se to nedělá pomocí čísel?
díky
-
Tohle defaultní nastavení práv v /home je naprosto debilní a jedna z prvních věcí, které po instalaci systému/přidání uživatele měním na 077 (viz ntz).
Konečně jsem pochopil..... Pořád jsem nerozuměl tomu, proč jinde třeba ne Fedoře je to jinak(Ne?).
-
ahoj, tak zkousel jsem to s g-rwx, 0-rwx. a nemuzu se dokopat k vysledku. nastavil jsem teda o-rwx a unmask z 022 na 077 a dal noveho uzivatele, a stejne muzu cestovat po slozkach.
/home/data# ls -la
total 4
drwx------ 4 data data 56 May 14 08:06 .
drwxr-xr-x 13 root root 154 May 8 16:56 ..
drwxr-xr-x 4 data data 24 May 14 12:41 20120429
drwxr-xr-x 14 data data 114 May 14 12:39 20120514
-rw------- 1 data data 26 May 13 22:22 .bash_history
/home# ls -la
drwx------ 4 data data 56 May 14 08:06 data
Co jsem teda udelal spatne, jak bych to mel jeste zmenit.
Dekuji za odpovedi :), ale nevim si stim rady:(
-
chmod 700 /home/data = složku otevře jen majitel
chmod 750 /home/data = složku otevře majitel a člen skupiny
Samozřejmě pokud jsi přihlášen jako root tak máš přístup všude.
-
https://cs.wikipedia.org/wiki/P%C5%99%C3%ADstupov%C3%A1_pr%C3%A1va_v_Unixu
^^ ty ty zaklady proste nechapes, je mi lito
kdyz mas umask 077 a pridas noveho uzivatele
# useradd -d /var/tmp/home/testuser -m testuser
# ls -ld /var/tmp/home/testuser/
drwx------ 6 testuser users 4096 2012-05-14 13:02 /var/tmp/home/testuser/
^^ tak jednoduse jinej uzivatel nez root a majitel se tam *nedostane
ad.x) u me v suse:
#
# The UMASK value for useradd can be found in /etc/default/useradd,
# this variable here is deprecated and currently only used as fallback
# by pam_umask.so.
#
UMASK 022
nutno doplnit do etc/default/useradd (je to tam napsano primo v login.defs, nutno pouzivat mozek)
-
doplnil jsem do /etc/default/useradd umask 077
root@test:/home# useradd -d /home/asdf -m asdf
root@test:/home# passwd asdf
Enter new UNIX password:
Retype new UNIX password:
passwd: password updated successfully
prihlasim se pres ssh jako uzivatel asdf
Last login: Mon May 14 21:49:40 2012 from
$ ls
$ cd /
$ ls
bin media sbin usr
boot home initrd.img mnt selinux var
dead.letter initrd.img.old opt srv vmlinuz
dev lib proc sys vmlinuz.old
etc lib64 root tmp
$ cd /home
$ ls
a asdf b data ftp pega home pegas test
$ cd home
$ ls
aaa pegas
co teda delam spatne? uz jsem zkusil destiky kombinaci. Wiki jsem si precetl, chapu to jak je to mysleno. ale nechapu proc to se muzu pohybovat po /, kdyz by to jit nemelo.
Do jinych slozek v /home/ se nedostanu. to je fajn
Dekuji za odpovedi :) a nakopnuti
-
aha, jo tohle myslis ..
kristova noho :D, tohle neni mozne docilit ... uzivatel musi videt po systemu .. jenom aby ti mohl bezet shell znamena, ze musis dohlednout na:
# ldd `which bash`
linux-vdso.so.1 => (0x00007fff85be5000)
libreadline.so.6 => /lib64/libreadline.so.6 (0x00007fc9fd834000)
libncurses.so.5 => /lib64/libncurses.so.5 (0x00007fc9fd5df000)
libdl.so.2 => /lib64/libdl.so.2 (0x00007fc9fd3db000)
libc.so.6 => /lib64/libc.so.6 (0x00007fc9fd07b000)
/lib64/ld-linux-x86-64.so.2 (0x00007fc9fda7b000)
+ zakladni prikazy pro praci se soubory a podobne ...
pokud chces docilit co nejomezenejsiho pristupu samotnych uzivatelu k systemu, tak linux pro to neni zcela vhodny nastroj protoze mu chybi ucinej role management (RBAC). Kompromis je, ze uzivatel se loguje do chrootu ..
najdi si na wiki co je chroot a zagugli jak se to nastavuje ... najdes step-by-step navod
-
dekuji, jdu na to ;)
-
Nevím teda, jestli chápu problém správně, ale...nechceš náhodou vytvořit uživatele kvůli sdílení dat? Nebo chceš uživatelům zpřístupnit shell, ale pouze ve svém domovském adresáři (což mám za to, že nepůjde) ? Potřebují tví uživatelé příkazový řádek?
Jestli ti jde jen o sdílení dat, tak buď ftp (nemám ho rád) nebo sftp (mám ho rád)..u obou ale docílíš toho, že uživatel bude zamklý ve své domovské složce a uvidí jen to, co chceš, aby viděli...nebudou ale moct spouštět příkazy v shellu..sftp jich sice pár umí, ale nic, co by asi běžný uživatel potřeboval..
-
jeste jsem se k tomu nedostal, neni cas:(.
Ano, sdileni.shell nepotrebuju, a ftp jsem nechtel pouzit. potrebuju jen nahrat fota z kamery,a aby uzivatel necestoval.
-
useradd -rd /mnt/ftp pepa ### prida systemovej ucet pepa (nemuze se na nej prihlasit) s domacim adresarem /mnt/ftp, kterej muze sdilet s jinejma .. ach jo, to je ale rozuzleni
-
a kdybych to chtel jen pro jednoho uzivatele, tak to jde jedine pres chroot?
-
a kdybych to chtel jen pro jednoho uzivatele, tak to jde jedine pres chroot?
tezko uhodnout jak to myslis
tezko uhodnout co ma byt vysledkem
-
to NTZ:
Hádám, že ho zmátlo malinko to, že jsi napsal "kterej muze sdilet s jinejma" ..
to 1x23
Pokud ho nechceš sdílet, tak nebudeš...dáš přístupové údaje prostě jednomu člověku a hotovo :)