Toon posts:

[Linux] User mag alleen zijn homedir zien

Pagina: 1
Acties:
  • 66 views sinds 30-01-2008

maandag 19 mei 2003 09:55

Acties:

Verwijderd

Topicstarter
Hallo,

we zijn bezig met het (proberen) om een linux server op te zetten. De basis installatie enzo dat lukt ons allemaal wel. We zitten alleen met beveiligings- en beperkingsprobleempjes.

Ik heb ergens wel eens iets gelezen over een pakket in Linux, wat er voor zorgde dat de user zeg maar een "/" prompt zag met daarin zijn mappen die die mog zien en benaderen. Zo heeft de user een eigen /bin.

Zoiets willen we nu ook, zodat we de gebruiker kunnnen beperken om de hele "tree" of inhoud van de server te zien. Hij mag alleen in zijn eigen home/www map komen.
En wat we zeker niet moeten vergeten is, dat je daarmee ook de progamma's die uit te voeren zijn door de gebruiker ook kun beperken.

Het probleem is nu, dat we niet weten hoe we dit moeten doen, of welke tools daarvoor zijn.

Ik ook het dat ik het een klein beetje heb duidelijk kunnen maken wat we precies willen en dat iemand ons misschien een beetje op weg kan helpen.

Alvast bedankt

maandag 19 mei 2003 09:58

Acties:
  • XTerm
  • Registratie: Juli 2001
  • Laatst online: 10-06-2025

XTerm

"User" "zien"
Please rephrase your question ? Over wat heb je het ?

FTP ? >> Google naar lock home dir op de proftpd site
Shell ? >> Dat wil je niet, anders, google es naar UML
Sama ? >> Samba zal dat ook wel kunnen, wederop google lock homedir/chroot

maandag 19 mei 2003 10:06

Acties:

Verwijderd

Topicstarter
Niet duidelijk genoeg dus...

Het maakt niet uit, als de user inlogt (via ftp of ssh) mag hij alleen zijn eigen homedirectorie zien.
Hij mag ook alleen programma's starten waar hij rechten toe heeft (dat is normaal).

Nu heb ik het een keer zien dat je inlogde op een server.
Dan kwam je dus in je shell "/", daarin stonden de mappen bin en www.
In de bin kon je dus zien wat je allemaal mog uitvoeren.
De map www was eingenlijk je home directory, die meteen als je website diende.

Nou zoiets willen we nu ook.

maandag 19 mei 2003 10:08

Acties:
  • JeroenT
  • Registratie: Juli 2001
  • Laatst online: 29-04 14:37

JeroenT

hoi!

Hij bedoelt dat de user die inlogged via een shell alleen binnen zijn eigen userdir moet blijven.

Bijvoorbeeld dat user piet alleen in /home/piet/ blijft. Zoals linux standaard geinstalleerd wordt kan die user piet overal in kijken , maar niet executen of writen behalve in zijn eigen userdir.

maandag 19 mei 2003 10:10

Acties:

Verwijderd

Topicstarter
ja precies....

Ik kan wel afschermen dat de user niet de inhoud mag zien van een bepaalde map.
Maar als je de mappen weet, kun je nogsteeds overal komen

maandag 19 mei 2003 10:13

Acties:
  • JeroenT
  • Registratie: Juli 2001
  • Laatst online: 29-04 14:37

JeroenT

hoi!

Verwijderd schreef op 19 May 2003 @ 10:06:
Niet duidelijk genoeg dus...

Het maakt niet uit, als de user inlogt (via ftp of ssh) mag hij alleen zijn eigen homedirectorie zien.
Hij mag ook alleen programma's starten waar hij rechten toe heeft (dat is normaal).

Nu heb ik het een keer zien dat je inlogde op een server.
Dan kwam je dus in je shell "/", daarin stonden de mappen bin en www.
In de bin kon je dus zien wat je allemaal mog uitvoeren.
De map www was eingenlijk je home directory, die meteen als je website diende.

Nou zoiets willen we nu ook.
Dat die www map als website dient kun je heel simpel met apache regelen.

code:
1
2
3

<IfModule mod_userdir.c>
    UserDir public_html <-- veranderen in www oid.
</IfModule>


Ahh ik zag iets interressants in de search.

[rml][ SSH] Lock in Home-dir[/rml]

[ Voor 12% gewijzigd door JeroenT op 19-05-2003 10:17 ]

maandag 19 mei 2003 10:16

Acties:

Verwijderd

proftpd en pureftp kunnen goed chrooten, moet je maar eens opzoeken in hun docs.
persoonlijk vind ik pureftp best, kun je aan LDAP, MySQL enzo koppelen, en kan virtuele users aan. Als je dus wil dat je gebruikers geen shell account (SSH/telnet) hebben, kan je best pureftp nemen...apache kan de virtualhosts ook uit ldap of MySQL trekken.

maandag 19 mei 2003 10:18

Acties:
  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 25-04 11:59

TrailBlazer

Karnemelk FTW

Waarom wil je dit zo strak afschermen. Als je ze shell access geeft inclusief bin dir kunnen ze toch het meeste wel installen als ze dat willen.

maandag 19 mei 2003 10:24

Acties:

Verwijderd

Topicstarter
TrailBlazer schreef op 19 mei 2003 @ 10:18:
Waarom wil je dit zo strak afschermen. Als je ze shell access geeft inclusief bin dir kunnen ze toch het meeste wel installen als ze dat willen.
Het is dus ook de bedoeling dat andere studenten er op komen.
En mijn ervaringen met mede studenten is....... toch dat iederen elkaar het leve zuur probeert te maken :(

maandag 19 mei 2003 10:37

Acties:
  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 25-04 11:59

TrailBlazer

Karnemelk FTW

Dan nog. Als je shell acces hebt kan je met een beetje kennis toch al heel veel doen

maandag 19 mei 2003 10:41

Acties:

Verwijderd

Topicstarter
Dat wil ik nu juist afvangen....

ik wil de gebruiker alleen kan zien en kan uitvoeren, wat ik van te voren heb ingesteld.
Niet meer en niet minder.

maandag 19 mei 2003 10:41

Acties:
  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 25-04 11:59

TrailBlazer

Karnemelk FTW

Heeft de gebruiker ook geen ftp access alleen dan is dit zinvol.

maandag 19 mei 2003 10:45

Acties:

Verwijderd

Topicstarter
Gebruiken moet op de server komen via FTP en SSH....

ik las net het topic wat hier boven genoemd werd, ik ga ff opzoek 'chroot jail'.
Zoals ik er nu naar kijk en wat ik gelezen heb, met je nu ook per gebruiker/groep aangeven welke dingen ze op de server mogen uitvoeren, die moeten dan ook naar de "directorie" van de user/groep gecopieerd worden...

maar ik ga ff op zoek !

maandag 19 mei 2003 10:45

Acties:
  • QuasaR
  • Registratie: December 2000
  • Laatst online: 12:39

QuasaR

One ring to rule them all

Bojo,

Zoek eens bij google op scponly.
dit is een programma, die in de user zn dir een soort / structuur nabouwt maar waarvan de inhoud leeg is. Hij maakt dan de directory / dus een user kan zodoende nooit in jouw orginele /etc of iets dergelijks kunnen komen ookal weet hij de map-naam.

Ik gebruik dit programma op onze secure-webserver voor klanten die zelf hun website aan willen passen. Door dit te gebruiken kunnen ze nooit in de sites van andere klanten komen.

Daddy of 3 :)

maandag 19 mei 2003 10:46

Acties:

Verwijderd

Topicstarter
OK, zal eens een kijkje nemen...

maandag 19 mei 2003 10:58

Acties:
  • Niek
  • Registratie: Februari 2001
  • Laatst online: 29-04 09:52

Niek

f.k.a. The_Surfer

http://www.gsyc.inf.uc3m.es/~assman/jail/index.html

http://www.gsyc.inf.uc3m....nfiguring/quickguide.html voor een installatie howto.

[ Voor 50% gewijzigd door Niek op 19-05-2003 10:58 ]

À vaincre sans péril, on triomphe sans gloire - Pierre Corneille

maandag 19 mei 2003 11:17

Acties:

Verwijderd

er is hier trouwens ook ooit iets gezegd over rbash (restricted bash) ofzoiets. Dat had ook die beperkingen dacht'k. rbash was dan `bash -r`, zou dat geen oplossing zijn voor je shell probleem?

[ Voor 6% gewijzigd door Verwijderd op 19-05-2003 11:17 ]

maandag 19 mei 2003 18:48

Acties:
  • moto-moi
  • Registratie: Juli 2001
  • Laatst online: 09-06-2011

moto-moi

Ja, ik haat jou ook :w

chroot jail, ga daar maar eens naar zoeken. Ik krijg namelijk niet het gevoel dat je erg je best hebt gedaan om iets zelf te vinden..
Kijk ook eens NOS policy - updated 01/04/03 door om te zien wat we wel van een topicstart verwachten..

Dicht.

God, root, what is difference? | Talga Vassternich | IBM zuigt

Pagina: 1

Dit topic is gesloten.