Вопрос по SSH

Автор basior, 11 февраля 2015, 12:13:36

« назад - далее »

0 Пользователи и 2 гостей просматривают эту тему.

basior

Всем привет.
Вот у меня есть пользователь, допустим user.
Когда заходишь по ssh под логином user и в командной строке написать ls -l, то видно домашние папки этого пользователя.
Но когда написать cd ../ то пользователь выходит из своей директории, и может лазить по чужим.
Как не дать или запретить пользователю видеть чужие каталоги?

gardarea51

Ну, отнять права на чтение для всех остальных..

basior

Цитата: gardarea51 от 11 февраля 2015, 14:26:38
Ну, отнять права на чтение для всех остальных..
Совсем не понятно. Не вижу логики. У остальных не будет прав на чтение, то как они будут читать?

ogost

имеется ввиду убрать права на чтение для домашних папок пользователей. что-то вроде chmod 750 /home/<username>. ну или 700.
само по себе доступ к папкам/файлам не относится к ssh.

basior

Цитата: ogost от 11 февраля 2015, 17:14:21
имеется ввиду убрать права на чтение для домашних папок пользователей. что-то вроде chmod 750 /home/<username>. ну или 700.
само по себе доступ к папкам/файлам не относится к ssh.
Та это бред.
При таком раскладе:
Could not chdir to home directory /home/user: Permission denied
-bash: /home/user/.bash_profile: Отказано в доступе

В итоге когда написать ls -l вообще выдает список каталогов root.
И тогда к примеру с помощью cd /home любой пользователь может видеть каталоги других пользователей.
Возможность лазить по всем каталогам не исчезла, даже как советует gardarea51, отнять права на чтение для всех остальных пользователей.
Это не вариант, или возможно я что-то не так делаю.

ogost

#5
вообще-то gardarea51 и я предлагаем одно и то же.
tsogoo@aspire5532:/home$ whoami
tsogoo
tsogoo@aspire5532:/home$ ls -l
total 8
drwxr-x---  2 tengis tengis 4096 Feb 12 00:13 tengis
drwxr-xr-x 46 tsogoo tsogoo 4096 Feb 11 22:02 tsogoo
tsogoo@aspire5532:/home$ cd tengis/
bash: cd: tengis/: Permission denied
tsogoo@aspire5532:/home$ ls tengis/
ls: cannot open directory tengis/: Permission denied
tsogoo@aspire5532:/home$

как видите у меня всё получается

Сообщение объединено: 11 февраля 2015, 19:29:45

если уж прям хотите, чтоб и по корню не ходили, можете специально для ssh юзеров создать некое chroot окружение. например так, на буржуйском.

basior

ogost, попробуй сделать вместо ls tengis, stat tengis.
К тому же я говорю про выход из домашней директории cd ../

ogost

#7
tsogoo@aspire5532:/home$ stat tengis
  File: `tengis'
  Size: 4096      Blocks: 8          IO Block: 4096   directory
Device: 805h/2053d Inode: 4718610     Links: 20
Access: (0750/drwxr-x---)  Uid: ( 1001/  tengis)   Gid: ( 1001/  tengis)
Access: 2015-02-12 00:16:11.611360848 +0800
Modify: 2015-02-12 00:23:24.245475891 +0800
Change: 2015-02-12 00:23:24.245475891 +0800
Birth: -

ничего криминального не вижу.
про выход из домашней директории - вы смотрели ссылку, которую я вам привел?

Сообщение объединено: 11 февраля 2015, 20:02:44

если просто взять и закрыть доступ к корню, кроме домашнего каталога, то у ssh юзеров возникнут проблемы с утилитами, которые ему нужны для нормальной работы. тот же bash, mv и прочее прочее из /bin и других директорий. поэтому по ссылке выше создается отдельное chroot окружение, включающее в себя минимум нужных утилит, а ssh настраивается для работы только в заданной директории для указанного пользователя.

basior

ogost, не совсем понятно, что да как.  :'(
Хочу дать некоторым пользователям ssh доступ, но боюсь что возможно навредят системе.
Наверное пока не суждено мне выдавать ssh доступ ((( Еще статья дурацкая, случайно попала на глаза )

ogost

#9
в простейшем случае идете в директорию /home и для домашней директории каждого пользователя убираете права на чтение для всех остальных, кроме владельца:
cd /home
chmod 750 tengis
chmod 750 user1

и кроме владельца никто не сможет просмотреть содержимое директории.
неопытный пользователь без рутовских прав вряд ли сможет навредить системе.


Сообщение объединено: 11 февраля 2015, 21:13:27

кстати тут в соседней теме обсуждают примерно то же самое.

basior

Цитата: ogost от 11 февраля 2015, 21:10:27
в простейшем случае идете в директорию /home и для домашней директории каждого пользователя убираете права на чтение для всех остальных, кроме владельца:
cd /home
chmod 750 tengis
chmod 750 user1

и кроме владельца никто не сможет просмотреть содержимое директории.
неопытный пользователь без рутовских прав вряд ли сможет навредить системе.


Сообщение объединено: 11 Февраль 2015, 21:13:27

кстати тут в соседней теме обсуждают примерно то же самое.
Что странно, что у меня даже владелец не может войти если выставить права 750.

ogost

у вас какой-то неправильный линукс ))
давайте разберемся, покажите что имеете, ls -l /home

basior

#12
Цитата: ogost от 12 февраля 2015, 17:08:24
у вас какой-то неправильный линукс ))
давайте разберемся, покажите что имеете, ls -l /home
root@debian:~# ls -l /home
итого 16
drwxr-xr-x 41 user1  user1  4096 Фев 15 01:43 user1
drwxr-xr-x  4 user2  user2 4096 Дек 27  2013 user2
dr-xr-xr-x  4 ftp     ftp     4096 Янв 15  2014 ftp
dr-xr-xr-x  8 malinka malinka 4096 Фев 15 00:10 malinka


ogost

выставите 750 для user1, зайдите под ним, попробуйте ещё раз ls -lh

basior

#14
Цитата: ogost от 15 февраля 2015, 15:31:37
выставите 750 для user1, зайдите под ним, попробуйте ещё раз ls -lh

login as: user1
user1@х.х.х.х's password:
Linux debian 3.2.0-4-686-pae #1 SMP Debian 3.2.65-1+deb7u1 i686

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
You have mail.
Last login: Sat Feb 14 23:27:51 2015 from х.х.х.х
user1@debian:~$ ls -lh
drwxrwxrwx 2 user1 user1 4,0K Дек 22  2013 Видео
drwxrwxrwx 6 user1 user1 4,0K Июл 30  2014 Документы
drwxrwxrwx 5 user1 user1 4,0K Фев 10  2014 Загрузки
drwxrwxrwx 2 user1 user1 4,0K Янв 29 19:28 Изображения
drwxrwxrwx 2 user1 user1 4,0K Дек 22  2013 Музыка
drwxrwxrwx 2 user1 user1 4,0K Дек 22  2013 Общедоступные
drwxrwxrwx 3 user1 user1 4,0K Янв 29 15:30 Рабочий стол
drwxrwxrwx 2 user1 user1 4,0K Дек 22  2013 Шаблоны

А роль командной оболочки играет?