Ubuntu: Begrenzung des Benutzerkontos nur für den Zugriff auf sein Heimatverzeichnis

4

Ich habe gerade ein neues Benutzerkonto erstellt, aber der neue Benutzer kann auf die gesamte Verzeichnisstruktur (einschließlich der Basisverzeichnisse anderer Benutzer) zugreifen. Ich möchte den Benutzer darauf beschränken, NUR auf sein Home-Verzeichnis zuzugreifen (und nichts "oben"). Wie mache ich das?

linux ubuntu privileges user Migajek
quelle

Antworten:

3

Stellen Sie die Modi in allen Basisverzeichnissen auf 0700 ein .

Optional können Sie die Standard-Umask auf festlegen 077. Bearbeiten Sie in Ubuntu die umask 022Zeile " " in /etc/profile. Optional können Sie die PAM-Konfiguration in /etc/pam.d/common-session( pam_umask.so umask=077 usergroups) aktualisieren .

Optional chmod /etc/skelund update /etc/adduser.conf(Zeile " DIR_MODE=0755") auf 0700.

Sie können einen Benutzer nicht auf "Home-Verzeichnis und nichts" über "ohne viel Kopfschmerzen beschränken, und es macht auch keinen Sinn (zumindest für mich):

  • Um ein Programm ausführen zu können, muss der Benutzer Lesezugriff darauf haben.
  • Um gemeinsam genutzte Bibliotheken verwenden zu können, muss ein Programm Lesezugriff auf sie haben.
  • Zum Lesen der systemweiten Konfigurationsdateien und Ressourcen ist auch ein Lesezugriff erforderlich.

Es ist ein Schreibzugriff, vor dem Sie Angst haben sollten, und die Standardberechtigungen verhindern bereits das Schreiben an einer anderen Stelle als an wenigen Stellen.

Grawity
quelle
ok, was sind diese "paar Orte" ?! Das ist ziemlich wichtig für mich.
Migajek
@vic: find / -xdev -type d -a \( -path "$HOME" -prune \) -o \( -writable -a -executable \) -ls 2>/dev/null# Dies listet Verzeichnisse auf , auf die Sie Schreibzugriff haben.
Grawity
1
Die wenigen Speicherorte sind Dateien, in denen Kennwörter in Klartext oder anderen sinnvollen Daten gespeichert sind. Zum Beispiel, wenn Sie vpn und das Paket pptp-linux verwenden. Das Passwort wird in / etc / ppp / pap-secrets oder / etc / ppp / chap-secrets oder in einem Ordner darüber gespeichert. Welche Orte dies sind, hängt wirklich von Ihrem Setup und Ihrer Software ab. Im Allgemeinen werden die Standardrechte für alle Dateien jedoch entsprechend festgelegt.
Darokthar
wie ich schon sagte: "Aber im Allgemeinen sind die Standardrechte für alle Dateien passend gesetzt."
Darokthar
1

Dieser Thread ist ein bisschen alt, aber trotzdem können Sie die Benutzer (sehr restriktiv) auf das Ausgangsverzeichnis beschränken, indem Sie die Bash-Shell in rbash ändern, wenn Sie es wirklich wollen. Auf diese Weise kann der Benutzer den Befehl cd nicht verwenden. Oder ändern Sie den Eigentümer des Basisverzeichnisses wie oben erwähnt. Denken Sie jedoch daran, dass der Benutzer Bash ausführen kann, um restriktive Einstellungen vorzunehmen.

Kashif
quelle