Запрет пользователю выходить из домашнего каталога

Автор Tesla, 17 января 2015, 22:24:14

« назад - далее »

0 Пользователи и 3 гостей просматривают эту тему.

Tesla

Добрый вечер уважаемые!
Нужно чтобы пользователь не мог выйти из своего домашнего каталога, то есть не мог ппросматривать все другие файлы апки и т.д .. Подскажите как это сделать.

alsoijw

Почитай про chmod. Менять права на системные файлы нельзя
Мало видеть нам начало - надо видеть и конец. Если видишь ты создание - значит где-то есть ТВОРЕЦ
Многие жалуются: геометрия в жизни не пригодилась. Ямб от хорея им приходится отличать ежедневно?

yura_n

Если речь идет о системных файлах, то какой смысл запрещать это пользователю? Пускай просматривает. Важно чтобы он изменять их не мог. Если речь идет о файлах других пользователей, то это зависит от того, в какие группы пользователи входят, от прав установленных на файлы для группы и остальных.

Tesla

О chmod знаю, но как сделать так чтобы пользователь не мог никакие файлы просматривать кроме тех, что у него в домашнем каталоге. Хотелось бы, чтобы даже системные файлы не мог просматривать пользователь.

ihammers

Пользователь локальный или доступ получает, через SSH/SFTP. Если получает доступ удалённо, то смотрите в сторону chroot в настройках openssh-server.

PS: как тут мне... можно налететь на грабли при запуске программы, так как они находятся выше домашней директории пользователя.
Debian GNU/Linux Bookworm, LXQt/OpenBox: AMD Ryzen 5 5600G / 64Gb RAM
_______________________________
Debian GNU/Linux Bookworm, без графики: AMD Phenon X4 / 16Gb RAM
_______________________________
Debian GNU/Linux Bookworm, LXQt/OpenBox: Acer Aspire One 722 AMD C60 / 8Gb RAM / ATI HD6290

doctor@tardis

Кстати, а можно ли просто убрать 'r'? Ну типа от пользователя

chmod -R u-r /
И потом дать доступ к домашнему каталогу
chmod -R u+r /home/user/

То есть по идее запускать программы (x) он сможет, просто не сможет видеть, что находится в системных каталогах.
Получится? Проверю на виртуалке..

ihammers

Открыть содержимое (спойлер)
Цитата: doctor@tardis от 23 января 2015, 19:01:20chmod -R u-r /
Ммм... нетрогате корень.
[свернуть]
Debian GNU/Linux Bookworm, LXQt/OpenBox: AMD Ryzen 5 5600G / 64Gb RAM
_______________________________
Debian GNU/Linux Bookworm, без графики: AMD Phenon X4 / 16Gb RAM
_______________________________
Debian GNU/Linux Bookworm, LXQt/OpenBox: Acer Aspire One 722 AMD C60 / 8Gb RAM / ATI HD6290

alsoijw

Мало видеть нам начало - надо видеть и конец. Если видишь ты создание - значит где-то есть ТВОРЕЦ
Многие жалуются: геометрия в жизни не пригодилась. Ямб от хорея им приходится отличать ежедневно?

doctor@tardis

#8
alsoijw, так тут ничего такого.. Опять же, chmod надо запускать от самого пользователя. И на систему это никак не повлияет. Просто создать нового пользователя и от него попробовать. Щас так и сделаю

Сообщение объединено: 24 Январь 2015, 14:50:40

Проверил.
И так, я не подумал о том, что пользователь не может менять права на системные файлы и папки. То бишь
chmod -R u-r /
Просто сказал шиш тебе, нет у тебя таких прав.
Тогда решил рискнуть) от рута ввел
chmod -R o-r /
Эффект появился тут же - тупо слетело название терминала ( [][][][][]) и все системные кнопки. Решил разлогиниться - slim даже не запустился. Пришлось включить обратно
chmod -R o+r /
Все работает) А жалко, в идеале я пробовал от пользователя заблокировать домашний каталог, получилось и все вроде бы работало. Я даже создал каталог, в котором поместил скрипт, убрал права на чтение, но скрипт мог выполнятся.

alsoijw

doctor@tardis, для смены прав нужно быть рутом/хозяином файла. Но если ты рут, такие вольности тебе не прощаются.
Мало видеть нам начало - надо видеть и конец. Если видишь ты создание - значит где-то есть ТВОРЕЦ
Многие жалуются: геометрия в жизни не пригодилась. Ямб от хорея им приходится отличать ежедневно?

doctor@tardis

alsoijw, ну, почему же не прощаются) Прощаются) Это ведь СВОБОДНОЕ программное обеспечение, ты управляешь ПО, а не оно тобой) да и с правами можно всегда справиться, вернуть все как было. Хоть корень, хоть не корень. Исключение лишь в двух случаях - убрать от рута chmod -R u-wx / , ну или в моем случае chmod o+r сделало читаемым /etc/shadow, что, если не ошибаюсь, единственный файл, у которого нет метки "r" для пользователей. Но на домашнем компе это не страшно)
Экспериментировать нельзя только на рабочих системах, а дома делай что хочешь)


alsoijw

doctor@tardis, как-то побольше файлов. Долго будет накидать скрипт, который делает бекап прав?
Мало видеть нам начало - надо видеть и конец. Если видишь ты создание - значит где-то есть ТВОРЕЦ
Многие жалуются: геометрия в жизни не пригодилась. Ямб от хорея им приходится отличать ежедневно?

vic5710

есть детский дистр doudoulinux, вроде там решается через настройку рабочего стола (типа убрать xterm из приложений юзера) но глубоко я не копал

alsoijw

Мало видеть нам начало - надо видеть и конец. Если видишь ты создание - значит где-то есть ТВОРЕЦ
Многие жалуются: геометрия в жизни не пригодилась. Ямб от хорея им приходится отличать ежедневно?

vic5710

#14
Цитата: alsoijw от 27 января 2015, 16:46:30
vic5710, а через файловый менеджер?
ну это решаемо, но с большим гемором вплоть до пересборки фм. я в одной сборке делал подобную вещь - писал типа свой фм с жестко заданным верхним каталогом (/home/user/)
вообще какого уровня юзер, будет ли он хакингом заниматься - много факторов надо учесть, непонятна сверхзадача вопроса. я делал скрипт в ~/.profile и юзер мог делать только то, что в скрипте

http://unixforum.org/index.php?showtopic=42477
тут обсуждалось