Автор Тема: Запрет пользователю выходить из домашнего каталога  (Прочитано 28441 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Tesla

  • Активный пользователь
  • **
  • Сообщений: 66
Добрый вечер уважаемые!
Нужно чтобы пользователь не мог выйти из своего домашнего каталога, то есть не мог ппросматривать все другие файлы апки и т.д .. Подскажите как это сделать.
« Последнее редактирование: 03 Апреля 2015, 19:19:24 от Tesla »
 

Оффлайн alsoijw

Почитай про chmod. Менять права на системные файлы нельзя
Мало видеть нам начало - надо видеть и конец. Если видишь ты создание - значит где-то есть ТВОРЕЦ
Многие жалуются: геометрия в жизни не пригодилась. Ямб от хорея им приходится отличать ежедневно?
 

yura_n

  • Гость
Если речь идет о системных файлах, то какой смысл запрещать это пользователю? Пускай просматривает. Важно чтобы он изменять их не мог. Если речь идет о файлах других пользователей, то это зависит от того, в какие группы пользователи входят, от прав установленных на файлы для группы и остальных.
 
Пользователи, которые поблагодарили этот пост: Tesla

Оффлайн Tesla

  • Активный пользователь
  • **
  • Сообщений: 66
О chmod знаю, но как сделать так чтобы пользователь не мог никакие файлы просматривать кроме тех, что у него в домашнем каталоге. Хотелось бы, чтобы даже системные файлы не мог просматривать пользователь.
 

Оффлайн ihammers

Пользователь локальный или доступ получает, через SSH/SFTP. Если получает доступ удалённо, то смотрите в сторону chroot в настройках openssh-server.

PS: как тут мне... можно налететь на грабли при запуске программы, так как они находятся выше домашней директории пользователя.
Debian GNU/Linux Stretch, kernel 4.9.0-5-amd64,
LXQt/KDE/OpenBox AMD Phenon X4 / 16Gb RAM / ATI HD7750 Silent
_______________________________
Debian GNU/Linux Stretch, kernel 4.9.0-5-amd64, LXQt/KDE/OpenBox
Acer Aspire One 722 AMD C60 / 4Gb RAM / ATI HD6290
 
Пользователи, которые поблагодарили этот пост: Tesla

Оффлайн doctor@tardis

Кстати, а можно ли просто убрать 'r'? Ну типа от пользователя

chmod -R u-r /
И потом дать доступ к домашнему каталогу
chmod -R u+r /home/user/

То есть по идее запускать программы (x) он сможет, просто не сможет видеть, что находится в системных каталогах.
Получится? Проверю на виртуалке..
 

Оффлайн ihammers

Spoiler: ShowHide
chmod -R u-r /
Ммм... нетрогате корень.
Debian GNU/Linux Stretch, kernel 4.9.0-5-amd64,
LXQt/KDE/OpenBox AMD Phenon X4 / 16Gb RAM / ATI HD7750 Silent
_______________________________
Debian GNU/Linux Stretch, kernel 4.9.0-5-amd64, LXQt/KDE/OpenBox
Acer Aspire One 722 AMD C60 / 4Gb RAM / ATI HD6290
 

Оффлайн alsoijw

doctor@tardis, многие уже наигрались с правами.
Мало видеть нам начало - надо видеть и конец. Если видишь ты создание - значит где-то есть ТВОРЕЦ
Многие жалуются: геометрия в жизни не пригодилась. Ямб от хорея им приходится отличать ежедневно?
 

Оффлайн doctor@tardis

alsoijw, так тут ничего такого.. Опять же, chmod надо запускать от самого пользователя. И на систему это никак не повлияет. Просто создать нового пользователя и от него попробовать. Щас так и сделаю

Сообщение объединено: [time]24 Январь 2015, 14:50:40[/time]
Проверил.
И так, я не подумал о том, что пользователь не может менять права на системные файлы и папки. То бишь
chmod -R u-r /
Просто сказал шиш тебе, нет у тебя таких прав.
Тогда решил рискнуть) от рута ввел
chmod -R o-r /
 Эффект появился тут же - тупо слетело название терминала ( [][][][][]) и все системные кнопки. Решил разлогиниться - slim даже не запустился. Пришлось включить обратно
chmod -R o+r /
Все работает) А жалко, в идеале я пробовал от пользователя заблокировать домашний каталог, получилось и все вроде бы работало. Я даже создал каталог, в котором поместил скрипт, убрал права на чтение, но скрипт мог выполнятся.
« Последнее редактирование: 24 Января 2015, 14:51:50 от doctor@tardis »
 

Оффлайн alsoijw

doctor@tardis, для смены прав нужно быть рутом/хозяином файла. Но если ты рут, такие вольности тебе не прощаются.
Мало видеть нам начало - надо видеть и конец. Если видишь ты создание - значит где-то есть ТВОРЕЦ
Многие жалуются: геометрия в жизни не пригодилась. Ямб от хорея им приходится отличать ежедневно?
 

Оффлайн doctor@tardis

alsoijw, ну, почему же не прощаются) Прощаются) Это ведь СВОБОДНОЕ программное обеспечение, ты управляешь ПО, а не оно тобой) да и с правами можно всегда справиться, вернуть все как было. Хоть корень, хоть не корень. Исключение лишь в двух случаях - убрать от рута chmod -R u-wx / , ну или в моем случае chmod o+r сделало читаемым /etc/shadow, что, если не ошибаюсь, единственный файл, у которого нет метки "r" для пользователей. Но на домашнем компе это не страшно)
Экспериментировать нельзя только на рабочих системах, а дома делай что хочешь)

 

Оффлайн alsoijw

doctor@tardis, как-то побольше файлов. Долго будет накидать скрипт, который делает бекап прав?
Мало видеть нам начало - надо видеть и конец. Если видишь ты создание - значит где-то есть ТВОРЕЦ
Многие жалуются: геометрия в жизни не пригодилась. Ямб от хорея им приходится отличать ежедневно?
 

Оффлайн vic5710

есть детский дистр doudoulinux, вроде там решается через настройку рабочего стола (типа убрать xterm из приложений юзера) но глубоко я не копал
 

Оффлайн alsoijw

vic5710, а через файловый менеджер?
Мало видеть нам начало - надо видеть и конец. Если видишь ты создание - значит где-то есть ТВОРЕЦ
Многие жалуются: геометрия в жизни не пригодилась. Ямб от хорея им приходится отличать ежедневно?
 

Оффлайн vic5710

vic5710, а через файловый менеджер?
ну это решаемо, но с большим гемором вплоть до пересборки фм. я в одной сборке делал подобную вещь - писал типа свой фм с жестко заданным верхним каталогом (/home/user/)
вообще какого уровня юзер, будет ли он хакингом заниматься - много факторов надо учесть, непонятна сверхзадача вопроса. я делал скрипт в ~/.profile и юзер мог делать только то, что в скрипте

http://unixforum.org/index.php?showtopic=42477
тут обсуждалось
« Последнее редактирование: 27 Января 2015, 18:57:16 от vic5710 »
 

Теги: