Запрет пользователю выходить из домашнего каталога

Автор Tesla, 17 января 2015, 22:24:14

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

Tesla

Да, чтобы новый пользователь, в данном случае newuser1, не мог заходит ьв папку /home/, соответственно видеть содержание данной папки. Я думал на счет ограничения прав просмотра всем кроме владельца папки /home/ то-есть только руту. Подскажите это никак не повлияет на работу пользователей?

ihammers

Просмотр, нет, главное чтобы права меняли на корневую директорию пользователя, а не на все файлы в ней. Смотрите ответ выше, в частности статью про chmod.
Debian GNU/Linux Bookworm, LXQt/OpenBox: AMD Ryzen 5 5600G / 64Gb RAM
_______________________________
Debian GNU/Linux Bookworm, без графики: AMD Phenon X4 / 16Gb RAM
_______________________________
Debian GNU/Linux Bookworm, LXQt/OpenBox: Acer Aspire One 722 AMD C60 / 8Gb RAM / ATI HD6290

Tesla


Tesla

Теперь когда заходит пользователь (h7jkqxzrstu) его направляет в домашний каталог, без права входа на /home/ (если прямо указать путь), а когда заходить пользователь newuser1, то ето направляет в корень / (в реальный корень), и он может зайти в /home/ и в /home/newuser1/. Почему так может быть?

ihammers

Ну так, правильно. У вас пользователь newuser1 не ограничен, chroot окружение работает только для h7jkqxzrstu. Так как в настройках вы писали про ограничение по группе, в которую новый пользователь не добавлен. Поэтому его вход в систему осуществляется по обычным правилам.

Правильно ли я понял, что при входе через SSH, пользователь находится не в /home/newuser1, а в /? Вы ничего не правили в настройках openssh-server-а?
Debian GNU/Linux Bookworm, LXQt/OpenBox: AMD Ryzen 5 5600G / 64Gb RAM
_______________________________
Debian GNU/Linux Bookworm, без графики: AMD Phenon X4 / 16Gb RAM
_______________________________
Debian GNU/Linux Bookworm, LXQt/OpenBox: Acer Aspire One 722 AMD C60 / 8Gb RAM / ATI HD6290

Tesla

Простите, изменил но не написал

/etc/ssh/sshd_config:
Match group backupp
         ChrootDirectory /home/%u
         X11Forwarding no
         AllowTcpForwarding no
         ForceCommand internal-sftp


root@S2:/home# groups newuser1
newuser1 : newuser1 backupp

root@S2:/home# groups h7jkqxzrstu
h7jkqxzrstu : h7jkqxzrstu cdrom floppy audio dip video plugdev backupp

У домашних каталогов єтих пользователей владелец рут

ihammers

Покажите:
~$ ls -ans /home/

Вы хотите, чтобы оба пользователя были ограничены?
Debian GNU/Linux Bookworm, LXQt/OpenBox: AMD Ryzen 5 5600G / 64Gb RAM
_______________________________
Debian GNU/Linux Bookworm, без графики: AMD Phenon X4 / 16Gb RAM
_______________________________
Debian GNU/Linux Bookworm, LXQt/OpenBox: Acer Aspire One 722 AMD C60 / 8Gb RAM / ATI HD6290

Tesla

#37
Да, все пользователи входящие в группу backupp

Сообщение объединено: 13 февраля 2015, 18:33:42

newuser1@S2:~$ ls -ans /home/
итого 36
4 drwxr-xr-x  6 0 0  4096 Фев  7 18:56 .
4 drwxr-xr-x 23 0 0  4096 Янв 11 18:39 ..
4 drwxr-xr-x  3 0 0  4096 Фев  7 17:59 h7jkqxzrstu
16 drwx------  2 0 0 16384 Янв 11 18:35 lost+found
4 drwxr-xr-x  3 0 0  4096 Фев  8 14:52 newuser1
4 drwxr-xr-x  2 0 0  4096 Фев  7 19:15 TMP


h7jkqxzrstu@S2:~$ ls -ans /home/
итого 36
4 drwxr-xr-x  6 0 0  4096 Фев  7 18:56 .
4 drwxr-xr-x 23 0 0  4096 Янв 11 18:39 ..
4 drwxr-xr-x  3 0 0  4096 Фев  7 17:59 h7jkqxzrstu
16 drwx------  2 0 0 16384 Янв 11 18:35 lost+found
4 drwxr-xr-x  3 0 0  4096 Фев  8 14:52 newuser1
4 drwxr-xr-x  2 0 0  4096 Фев  7 19:15 TMP

ihammers

Опишите как вы подключаетесь к удалённой машине от этих двух пользователей. Перезапускали openssh-server после изменения конфигурации, подключались ли к этой машине после перезапуска сервиса?

PS: Не нужно выводить одну и туже информацию два раза.
Debian GNU/Linux Bookworm, LXQt/OpenBox: AMD Ryzen 5 5600G / 64Gb RAM
_______________________________
Debian GNU/Linux Bookworm, без графики: AMD Phenon X4 / 16Gb RAM
_______________________________
Debian GNU/Linux Bookworm, LXQt/OpenBox: Acer Aspire One 722 AMD C60 / 8Gb RAM / ATI HD6290

Tesla

Через filezilla. Да, перезапускал.

"PS: Не нужно выводить одну и туже информацию два раза."
Я думал что может быть разный вывод для пользователей

ihammers

Странное поведение системы... Что-нибудь необычное в логах (auth.log) системы есть?
Debian GNU/Linux Bookworm, LXQt/OpenBox: AMD Ryzen 5 5600G / 64Gb RAM
_______________________________
Debian GNU/Linux Bookworm, без графики: AMD Phenon X4 / 16Gb RAM
_______________________________
Debian GNU/Linux Bookworm, LXQt/OpenBox: Acer Aspire One 722 AMD C60 / 8Gb RAM / ATI HD6290

Tesla

К сожалению я не очень разбираюсь в том что именно там должно быть, а что "необычное"

ihammers

Так, довайте ещё раз по порядку: настройки openssh-server, информацию о группах в которых состоит пользователь, информацию о домашней директории (кому пренадлежит и метки), если есть возможность зайти через ssh, то тогда запускайте с флагом -v. Также жалательны логи подсоединения через filezilla от всех пользователей, которым нужно чтобы они были изолированы в своей директории.
Debian GNU/Linux Bookworm, LXQt/OpenBox: AMD Ryzen 5 5600G / 64Gb RAM
_______________________________
Debian GNU/Linux Bookworm, без графики: AMD Phenon X4 / 16Gb RAM
_______________________________
Debian GNU/Linux Bookworm, LXQt/OpenBox: Acer Aspire One 722 AMD C60 / 8Gb RAM / ATI HD6290

Tesla

Простите что долго не отвечал, не было времени на тестовый сервер.
Не знаю какое чудо произошло, сейчас все работает корректно. Большое Вам спасибо.


Еще уточню алгоритм действий:
1. В /etc/ssh/sshd_config строку "Subsystem sftp /usr/lib/openssh/sftp-server" заменяем на "Subsystem sftp internal-sftp"
2. В /etc/ssh/sshd_config для группы "backupp" прописываем
Match group backupp
         ChrootDirectory /home/%u
         X11Forwarding no
         AllowTcpForwarding no
         ForceCommand internal-sftp

3. Папки передаем руту
4. Присваиваем пользователя необходимую группу

Верно?

ihammers

Да, алгоритм верный.
Если тема/вопрос решен, то добавьте в тему заголовка [Решено].
ИМХО: Скорей всего лучше будет создать скрипт по добавлению пользователя в систему с выше указанной группой.
Debian GNU/Linux Bookworm, LXQt/OpenBox: AMD Ryzen 5 5600G / 64Gb RAM
_______________________________
Debian GNU/Linux Bookworm, без графики: AMD Phenon X4 / 16Gb RAM
_______________________________
Debian GNU/Linux Bookworm, LXQt/OpenBox: Acer Aspire One 722 AMD C60 / 8Gb RAM / ATI HD6290