[+] Zezwolenie dostępu tylko do katalogu domowego użytkownika

surma - 10-03-2010 15:05
Witam.

Posiadam serwer VPS na Debianie. Właśnie z tego serwera udostępniam konta shell.
Niestety, nie wiem jak skonfigurować Debiana aby użytkownik miał tylko i wyłącznie dostęp do swojego katalogu i nie miał możliwości zaglądać w pliki systemowe i innych użytkowników.

Dlaczego wątek w dziale serwer bo moja druga sprawa tyczy się apache. Chciałbym aby każdy użytkownik miał w swoim katalogu domowym public_html. Wiadomo czemu miałby on służyć.

Edycja:
Chwila z Google: http://pepisboczek.wordpress.com/200...o-uzytkownika/

Liczę na szybką pomoc.

PS. Przydałby się dział dla zielonych, nie lubię zaśmiecać takimi amatorskimi pytaniami forum.

LordRuthwen - 10-03-2010 15:15
http://www.google.pl/search?q=ssh+ja...ient=firefox-a
http://www.google.pl/search?q=apache...ient=firefox-a

surma - 10-03-2010 16:02

http://www.google.pl/search?q=ssh+ja...ient=firefox-a Dobrze. Powiem tak: spędzam nad Google drugą godzinę, nadal bez rezultatów. Tzn. znalazłem sposoby jak to wykonać (tylko /home/*) ale nie działają. Albo jakiś składnik znalazł błąd i strajkuje, albo metody są przestarzałe. Na tym forum też coś znalazłem, też bez rezultatów.

fnmirk - 11-03-2010 01:16
surma, przejrzyj dokładnie forum temat wielokrotnie poruszany i rozwiązany.

Dodano:
Zajrzyj do działu Dla Początkujących lub przejrzyj ,,Debian Reference''.

surma - 12-03-2010 18:22
Miałem już wczoraj odpisać ale zapomniałem. Problem już wcześniej rozwiązałem. Wystarczy vsftpd z odpowiednim konfingiem. Wiem, że jeszcze została dziura w ssh, ale nie miałem czasu zablokować. Dziękuję za nakierowanie.

//łe jezu.. pisałem to z komórki.. wg mnie pogrubienie nie jest potrzebne.. ; surma

bagsiur - 12-03-2010 20:42

Miałem już wczoraj odpisać ale zapomniałem. Problem już wcześniej rozwiązałem. Wystarczy vsftpd z odpowiednim konfingiem. Wiem, że jeszcze została dziura w ssh, ale nie miałem czasu zablokować. Dziękuję za nakierowanie. Co do tych katalogów użytkownika to poczytaj o chroot albo odpowiednio nadaj uprawnienia chmod -em

surma - 12-03-2010 21:04
Gdybym nadał uprawnienia (chmod) apache nie miałoby dostępu do public_html (mówię o ,,chmodzie 700'', inne mnie nie interesują), a gdybym już dał 700-setkę na /home, użytkownik miałby dostęp do takich katalogów jak /etc itd. Jeżeli już mowa o chroot. Żadnego poradnika nie mogę znaleźć, a jak już znajduje, to linki wygasły (mówię o poradnikach, ale do linków do pobrania aplikacji też (żadnego alternatywnego odnośnika nie ma).

bagsiur - 12-03-2010 21:44
Więc dodaj użytkownika www-data do jakiejś grupy, która miałaby prawa do uruchamiania skryptów z public_html, lub zachowaj prawo do uruchamiania 711. Choć zawsze istnieje ryzyko, że ktoś obcy uruchomi skrypt innemu użytkownikowi (o ile ma rentgena i zna lokalizacje wszystkich plików oraz wie jak się nazywają, bo oczywiście nie ma prawa do odczytu).

surma - 13-03-2010 00:11
Chmod 711? Może nie do końca mi o to chodziło, ale swoją role spełnia. A jeżeli chodzi o pliki systemowe, jaki mógłby być minimalny chmod? Tak żeby system i inne aplikacje mogły swobodnie korzystać z systemu, jednocześnie chroniąc przed wscipskimi userami?

labiol - 13-03-2010 11:44
A dlaczego nie skorzystać z rozszerzonych atrybutów (ACL)? Tutaj jest opis http://www.nuxified.org/blog/acls_ex...ilepermissions.
Pozdrawiam

widmo17 - 13-03-2010 13:19
Wtedy zwykły skrypt php odpalony z serwera apache pozwoli użytkownikom odczytywać każdy plik, do którego www-data ma dostęp. Trochę słaba opcja jak na udostępnianie powłoki. Najlepiej by było zrobić coś w stylu suphp.

bagsiur - 13-03-2010 15:55

Wtedy zwykły skrypt php odpalony z serwera apache pozwoli użytkownikom odczytywać każdy plik, do którego www-data ma dostęp. Trochę słaba opcja jak na udostępnianie powłoki. Najlepiej by było zrobić coś w stylu suphp. Dokładnie, ale zazwyczaj wszystko co znajduje się w public_html jest przeznaczone dla apache.

widmo17 - 13-03-2010 16:28

Dokładnie, ale zazwyczaj wszystko co znajduje się w public_html jest przeznaczone dla apache. No tak, tylko jak np. użytkownik będzie miał plik typu config.php w public_html to ,,będzie buba''.