Fórum Ubuntu CZ/SK
Ubuntu pro osobní počítače => Obecná podpora => Téma založeno: On 16 Ledna 2011, 11:56:01
-
Mám jeden server, kde je 8 uživatelů, všichni mají v /home svou složku, svůj účet a přístup k shellu ...pročetl jsem si něco o sftp a to je přesně to, co bych potřeboval - uzamčít je pouze do své složky..v návodech se to uzamyká vesměs do /etc/sftp/user, ale předpokládám, že je to jedno.. je ale třeba vytvořit skupinu sftp a v sshd_config nastavit, kam se má nově vytvořený uživatel nalinkovat...protože už uživatele vytvořené mám a mají svá hesla, které neznám a chtěl bych to zachovat, je nějaký způsob, jak je "uzamčít" např v té své domovské složce a aby neměli přístup k shellu? Nechci uživatele mazat a znovu vytvářet...tím by se problém sice vyřešil, ale neměli by tam svá hesla....pokud teda nestačí uložit /etc/passwd a /etc/shadow ...?
Úplně nejlepší způsob by byl, aby do shellu mohli, ale mohli používat JEN ty příkazy, které bych jim povolil...Konkrétní návod, který by vedl k úspěchu se mi nepodařilo najít nebo se mi to možná nepodařilo nastavit..
-
Což takhle přesunout stávající uživatele do skupiny sftp? Tím je máte v té dané groupě a tu pak uzamčete do slžek např.: /home/sftp/user1 a /home/sftp/user2 a je to.
http://www.root.cz/clanky/jak-nahradit-ftp-pomoci-sftp-a-zamknout-uzivatele/ Takhle to bude asi nejlepší pro Vás ;)
-
Podle tohoto návodu jsem to právě testoval a vše bylo ok...neměl jsem ale vytvořené uživatele a vytvářel jsem je dle návodu...
Skupinu sice vytvořím, ale z předešlého vytvoření uživatele už mají povolený přístup na shell....a nejsem si jistý, jestli je dovoleno editovat /etc/passwd, kde bych /bin/bash u konkrétního uživatele změnil na /bin/false ...to je ale jen domněnka, teď k testovacímu serveru nemám přístup a na ostrém to nechci zkoušet, pokud si nebudu sto pro jistý - nebo se nenajde někdo, kdo to zkoušel a tento krok mi posvětí :)
Jinak pokud bych chtěl všech 8 účtů přesměrovat do /home/sftp/user1-8, tak jen normálně vytvořím složku /home/sftp, překopíruju všechny účty sem a v /etc/passwd teda změním /home/user na /home/sftp/user ...? Ta úprava passwd se mi moc nelíbí :) Nebo jestli je na to něco spešl, jak je třeba na sudoers "visudo"..?
-
Editovat to můžete... když změníte shell na false pak daný nemá přístup na shell. Samozřejmě je jen a jen na Vás, aby jste si hlídal syntaxi. I když zrovna v tomto souboru tuším chyba u konkrétního řádku vyřadí z provozu pouze daný účet. Konkrétní edit nástroje osobně neznám. Snad se připojí popřípadě někdo jiný. Výměnu shellu /bin/bash za /bin/false mám 100% ozkoušenou ;)
To samé se dá skopírovat heslo z shadow ... v tomto souboru je heslo uloženo v zašifrované podobě (podobně jako se to dělá v mysql) a dá se jednoduše přepsat na jiný tvar přímo v tomto konfiguráku... ale slouží k tomu nástroj passwd, když měníte heslo.
-
Tak k prnímu kroku bych tedy odvahu našel...a co změna z /home/user na /home/sftp/user ...? Také v /etc/passwd ..mám strach jen z toho, že touhle změnou si tyto účty třeba už nenamountuje, pač nevím, jestli je /etc/passwd jediný soubor, kde se zapisuje kam se bude daný user mountovat a jestli bude mít přístup na shell - pokud je jediný, tak by to snad fungovat mohlo - tím bych to změnil i v sshd_config a je poklizeno..
Nastavil jsem tam uživatelům ještě šifrovaný soubor pomocí programu Truecrypt..aby jim ale fungoval, musí z shellu spustit příkaz v podobě svého jména...jmenuje se "Pepa", spustí tento program příkazem "Pepa" ..a potřeboval bych nastavit, aby přístup k shellu měl, ale pouze na tenhle jediný příkaz..na vše ostatní, aby to nereagovalo, chovalo se to jako neznámý příkaz ...myslel jsem, že to má na svědomí jen ~/.bashrc, ale ikdyž ho smažu, tak základní systémové příkazy normálně fungují.