Toon posts:

[SSH] Lock in Home-dir

Pagina: 1
Acties:
  • 102 views sinds 30-01-2008
  • Reageer

zaterdag 26 januari 2002 02:15

Acties:
  • Peter Power
  • Registratie: Juni 2001
  • Niet online

Peter Power

Topicstarter
Hallo,

Ik wil een aantal mensen van school shell access (ssh) aanbieden op mijn linux bakkie...

Enkel ik wil dat ze enkel in hun home-dir komen, dus bv. /home/piet/ en niet de rest van de harddisk kunnen bekijken.

Dit namelijk, omdat ze wat unix lessen willen kunnnen oefenen en dat thuis niet hebben :)

Maar ik wil voorkomen dat ze in mijn /www etc. komen..

Ook wil ik dat ze slechts bepaalde programma's kunnen opstarten...

Hoe ga ik dit aanpakken?

irc.tweakers.net #php - Het channel voor de echte PHP-ers!

zaterdag 26 januari 2002 03:27

Acties:
  • deadinspace
  • Registratie: Juni 2001
  • Laatst online: 02-05 18:38

deadinspace

The what goes where now?

Met google zoeken op 'chroot jail'.
Met een chroot jail zet je een process (en al zijn childs) vast in een bepaalde directory; deze directory is dan hun nieuwe root.
Dus, je zet hiermee bijvoorbeeld user test vast in /home/test. /home/test is dan vanuit user test gezien /.
Het nadeel is dat je in /home/test dan wel een volledig systeem moet meesjouwen, omdat user test totaal niet buiten /home/test kan, en dus ook niet bij de benodigde libraries en programma's van jouw systeem kan.

Een andere mogelijkheid is om ze gewoon overal bij te laten kunnen en dan alleen die dingen die wat belangrijker zijn dichtzetten. Je kunt bijvoorbeeld je homedir de permissies 700 geven, dan kan alleen de eigenaar van je homedir (jij dus) erin lezen (en schrijven uiteraard).
Je /www (of /var/www?) kun je dan bijvoorbeeld de permissies 770 geven, en als eigenaar 'www-data' en als group 'www-data'. Als apache dan als 'www-data' draait, kan apache gewoon lezen in die dir. Bovendien kan iedereen in de group 'www-data' (waar je dan uiteraard jezelf inzet) ook in die dir lezen en schrijven, maar alle andere users niet.

zaterdag 26 januari 2002 10:58

Acties:
  • Peter Power
  • Registratie: Juni 2001
  • Niet online

Peter Power

Topicstarter
Op zaterdag 26 januari 2002 03:27 schreef deadinspace het volgende:
Met google zoeken op 'chroot jail'.
Met een chroot jail zet je een process (en al zijn childs) vast in een bepaalde directory; deze directory is dan hun nieuwe root.
Dus, je zet hiermee bijvoorbeeld user test vast in /home/test. /home/test is dan vanuit user test gezien /.
Het nadeel is dat je in /home/test dan wel een volledig systeem moet meesjouwen, omdat user test totaal niet buiten /home/test kan, en dus ook niet bij de benodigde libraries en programma's van jouw systeem kan.

Een andere mogelijkheid is om ze gewoon overal bij te laten kunnen en dan alleen die dingen die wat belangrijker zijn dichtzetten. Je kunt bijvoorbeeld je homedir de permissies 700 geven, dan kan alleen de eigenaar van je homedir (jij dus) erin lezen (en schrijven uiteraard).
Je /www (of /var/www?) kun je dan bijvoorbeeld de permissies 770 geven, en als eigenaar 'www-data' en als group 'www-data'. Als apache dan als 'www-data' draait, kan apache gewoon lezen in die dir. Bovendien kan iedereen in de group 'www-data' (waar je dan uiteraard jezelf inzet) ook in die dir lezen en schrijven, maar alle andere users niet.
Ok ik ga is op zoek...

Het is dan ook mogelijk om dit voor specifieke users te doen, dus de root mag gewoon overal in etc. ?

irc.tweakers.net #php - Het channel voor de echte PHP-ers!

zaterdag 26 januari 2002 11:53

Acties:
  • jep
  • Registratie: November 2000
  • Laatst online: 05-05 11:28

jep

Ja..

Vraag is waarom je dit wil? Als je fatsoenlijke permissies insteld over je eigen bestanden is het geen probleem. De gebruikers kunnen dan alleen in hun eigen map schrijven en lezen en op sommige plaatsen lezen die ze ook mogen lezen (ivm. de veiligheid).
Reageer