Запрет пользователю выходить из домашнего каталога

yura_n · 27 января 2015, 22:41:22

Средствами Tomoyo/Akari можно запретить доступ файловых менеджеров к системным каталогам. Тоже самое наверное можно сделать и для эмулятора терминала (не пробовал). Тогда пользователь не сможет их увидеть.

Tesla · 28 января 2015, 14:25:21

Цитата: Tesla от 18 января 2015, 20:15:00сли речь идет о системных файлах, то какой смысл запрещать это пользователю? Пускай просматривает. Важно чтобы он изменять их не мог. Если речь идет о файлах других пользователей, то это зависит от того, в какие группы пользователи входят, от прав установленных на файлы для группы и остальных.

Если пользователь будет иметь доступ к системным файлам (только чтение) то это не будет нести потенциальную опасность для системы?

Цитата: ihammers от 18 января 2015, 20:29:07
Пользователь локальный или доступ получает, через SSH/SFTP. Если получает доступ удалённо, то смотрите в сторону chroot в настройках openssh-server.

PS: как тут мне... можно налететь на грабли при запуске программы, так как они находятся выше домашней директории пользователя.

Доступ с SSH/SFTP (если я правильно понимаю то доступ через программу filezila будет идти черзе SFTP)

Помогите пожалуйста разобраться с chroot.

В файле /etc/ssh/sshd_config:
1. Удалил строку Subsystem sftp /usr/lib/openssh/sftp-server
2. Добавит строку Subsystem sftp internal-sftp
3. И добавил :
Match Group h7jkqxzrstu
ChrootDirectory /home
ForceCommand internal-sftp
AllowTcpForwarding no

Инструкцию брал с этого сайта http://blog.antage.name/posts/sftp-chroot-%D0%B2-%D0%B4%D0%BE%D0%BC%D0%B0%D1%88%D0%BD%D1%8E%D1%8E-%D0%BF%D0%B0%D0%BF%D0%BA%D1%83.html
По идеи это должно запретить доступ через консоль, но оставить доступ через SFTP, для пользывателей группы h7jkqxzrstu.
В результате пользователи данной группы не могут зайти через консоль, через SFTP заходят, их сразу направляет в "/" но отсюда они никуда не могут зайти (даже в папку / home) и ничего не могут сделать

yura_n · 28 января 2015, 17:02:16

Цитата: Tesla от 28 января 2015, 14:25:21Если пользователь будет иметь доступ к системным файлам (только чтение) то это не будет нести потенциальную опасность для системы?

А какая в этом может быть опасность, если пользователь только читает системные файлы, а изменять их не может? Это нормальное состояние.

ihammers · 29 января 2015, 05:51:31

Цитата: Tesla от 28 января 2015, 14:25:21Доступ с SSH/SFTP (если я правильно понимаю то доступ через программу filezila будет идти черзе SFTP)

Если вы укажите в Filezilla использовать SFTP, насколько я помню, в настройках подключения есть такой пункт.

Цитата: Tesla от 28 января 2015, 14:25:21
Помогите пожалуйста разобраться с chroot.

В файле /etc/ssh/sshd_config:
1. Удалил строку Subsystem sftp /usr/lib/openssh/sftp-server
2. Добавит строку Subsystem sftp internal-sftp
3. И добавил :
Match Group h7jkqxzrstu
ChrootDirectory /home
ForceCommand internal-sftp
AllowTcpForwarding no

Инструкцию брал с этого сайта http://blog.antage.name/posts/sftp-chroot-%D0%B2-%D0%B4%D0%BE%D0%BC%D0%B0%D1%88%D0%BD%D1%8E%D1%8E-%D0%BF%D0%B0%D0%BF%D0%BA%D1%83.html
По идеи это должно запретить доступ через консоль, но оставить доступ через SFTP, для пользывателей группы h7jkqxzrstu.
В результате пользователи данной группы не могут зайти через консоль, через SFTP заходят, их сразу направляет в "/" но отсюда они никуда не могут зайти (даже в папку / home) и ничего не могут сделать

Лучше всё-таки исправить права доступа к директории на root, в большинстве инструкций так делают.

Код Выделить

~# nano /etc/ssh/sshd_config
Subsystem sftp internal-sftp
Match group h7jkqxzrstu
         ChrootDirectory /home/%u
         X11Forwarding no
         AllowTcpForwarding no
         ForceCommand internal-sftp

Потом правим права на директорию:

Код Выделить

~# chown root.root /home/USER
~# usermod -d / USER # В некоторых случаях требуется изменить home директорию для пользователя.
~# adduser user h7jkqxzrstu

Когда-то настраивал, насколько я помню, по следующей инструкции: ссылка.

PS: пункт с usermod я не использовал, так как мне он не потребовался.

Tesla · 01 февраля 2015, 17:35:06

Код (xml) Выделить

[code=javascript]~# chown root.root /home/USER
~# usermod -d / USER # В некоторых случаях требуется изменить home директорию для пользователя.
~# adduser user h7jkqxzrstu

[/code]
Объясните пожалуйста что здесь что делает

Когда задаю такие настройки то не подключается ни через ssh ни через filezila

Код (xml) Выделить

Subsystem sftp internal-sftp
Match group h7jkqxzrstu
         ChrootDirectory /home/%u
         X11Forwarding no
         AllowTcpForwarding no
         ForceCommand internal-sftp

ihammers · 02 февраля 2015, 05:17:43

Цитата: Tesla от 01 февраля 2015, 17:35:06Объясните пожалуйста что здесь что делает

1 - устанавливает пользователя и группу для домашней директории пользователя на root.
2 - второй пункт описан выше, я его не использовал.
3 - добавляет пользователя в группу, по которой происходит проверка.

Цитата: Tesla от 01 февраля 2015, 17:35:06Когда задаю такие настройки то не подключается ни через ssh ни через filezila

Если всё правильно сделали, то должно работать, если возникают проблемы, то смотрите в логах. В первую очередь в auth.log.

Tesla · 03 февраля 2015, 19:27:11

Цитата: ihammers от 02 февраля 2015, 05:17:43chown root.root /home/USER

Спасибо работает. Но так как владельцем домашнего каталога пользователя есть root, то пользователь не сможет изменять никакие данные в своем домашнем каталоге. Подскажите пожалуйста как сделать так чтобы он имел права RW

Объясните пожалуйста зачем вообще менять владельца домашнего каталога

ihammers · 04 февраля 2015, 05:10:27

Цитата: Tesla от 03 февраля 2015, 19:27:11
Цитата: ihammers от 02 февраля 2015, 05:17:43chown root.root /home/USER
Спасибо работает. Но так как владельцем домашнего каталога пользователя есть root, то пользователь не сможет изменять никакие данные в своем домашнем каталоге. Подскажите пожалуйста как сделать так чтобы он имел права RW

Если хотите, чтобы пользователь имел право изменять содержание, корневой директории, то есть домашней для него в окружении chroot, то исправьте в команде группу к которой принадлежит директория (h7jkqxzrstu). Должно помочь.

Цитата: Tesla от 03 февраля 2015, 19:27:11
Объясните пожалуйста зачем вообще менять владельца домашнего каталога

Всё проистекает из механизмов chroot:

Цитата: Википедияchroot — операция изменения корневого каталога в Unix-подобных операционных системах. Программа, запущенная с изменённым корневым каталогом, будет иметь доступ только к файлам, содержащимся в данном каталоге.

Используя данный механизм в системе можно построить другую систему. И эта система не будет знать о существовании первой.
Так же это, скажем так, может предоставить большую безопасность, но в программах существуют ошибки.

Tesla · 04 февраля 2015, 11:01:23

Цитата: ihammers от 04 февраля 2015, 05:10:27Если хотите, чтобы пользователь имел право изменять содержание, корневой директории, то есть домашней для него в окружении chroot, то исправьте в команде группу к которой принадлежит директория (h7jkqxzrstu). Должно помочь.

Можете объяснить подробнее, не понял. Возможно рутор создать в домашнем каталоге пользователя папку, и передать права (владельца) пользователю который должен иметь доступ?

ihammers · 04 февраля 2015, 13:45:20

Если создать внутри домашней директорию новую и выставить пользователя и группу, то пользователь сможет создавать/изменять содержимое данной директории.

Код Выделить

~# mkdir /home/USER/new_dir
chown USER:h7jkqxzrstu /home/USER/new_dir

Tesla · 05 февраля 2015, 19:08:47

Большое спасибо

Tesla · 07 февраля 2015, 21:24:02

Создал рутом группу, добавил туда двух пользователей, права на папку новому пользователи передал руту. Первый пользователь выше своей домашней папки зайти не может, а второй может зайти в папку / home / (Указание явно путь). Подскажите что сделать или что может быть не так.

ihammers · 08 февраля 2015, 04:18:14

Покажите для этих пользователей:

Код Выделить

~$ ls -ans /home/
И ещё список групп, к которым они принадлежат:

Код Выделить

~$ groups #от пользователя

PS: или как вариант ~$ grep USER /etc/group.

Tesla · 08 февраля 2015, 13:59:03

Код (xml) Выделить

newuser1@S2:~$ ls -ans /home/
итого 36
 4 drwxr-xr-x  6 0 0  4096 Фев  7 18:56 .
 4 drwxr-xr-x 23 0 0  4096 Янв 11 18:39 ..
 4 drwxr-xr-x  3 0 0  4096 Фев  7 17:59 h7jkqxzrstu
16 drwx------  2 0 0 16384 Янв 11 18:35 lost+found
 4 drwxr-xr-x  2 0 0  4096 Фев  7 18:10 newuser1
 4 drwxr-xr-x  2 0 0  4096 Фев  7 19:15 TMP

newuser1@S2:~$ groups
newuser1 backupp

Код (xml) Выделить

h7jkqxzrstu@S2:~$ ls -ans /home/
итого 36
 4 drwxr-xr-x  6 0 0  4096 Фев  7 18:56 .
 4 drwxr-xr-x 23 0 0  4096 Янв 11 18:39 ..
 4 drwxr-xr-x  3 0 0  4096 Фев  7 17:59 h7jkqxzrstu
16 drwx------  2 0 0 16384 Янв 11 18:35 lost+found
 4 drwxr-xr-x  2 0 0  4096 Фев  7 18:10 newuser1
 4 drwxr-xr-x  2 0 0  4096 Фев  7 19:15 TMP

h7jkqxzrstu cdrom floppy audio dip video plugdev backupp

ihammers · 09 февраля 2015, 05:17:29

Цитата: Tesla от 07 февраля 2015, 21:24:02Подскажите что сделать или что может быть не так.

А что вы хотите сделать? Ограничить доступ на просмотр директории новому пользователю?

PS: если я правильно понял, то вам нужен chmod 700 (или выставить параметр группы на g=-x). На Википедии есть хорошая статья.

Запрет пользователю выходить из домашнего каталога

yura_n

yura_n