hi

möchte gerne alles ausserhalb des /home dirs für user sperren nur keine ahnung wie.

z.b.

/home/test

user test darf nicht aus dem /home dir in z.b. /bin oder /usr sondern nur innerhalb des home verzeichnisses bleiben und dort in keine ahnung /home/1 /home/2 usw. sich bewegen.

für jeden rat link hinweis usw. bin ich sehr froh : )

mfg

N1Md4

Mit chmod -R koennte man die Rechte so setzen, das user sich nur noch in ihren Homeverzeichnissen bewegen koennen. Ich weiss aber nicht ob das Ratsam ist da Progs ja ggf. auf shared libs zugreifen muessen und auch der /dev Ordner koennte Probleme machen (das sind nur die ersten Sachen die mir auffallen es gibt bestimmt noch viel mehr Sachen, die das zu einer dummen Idee machen).

hehe so dumm ist die idee nicht so habe ich das home dir abgesichert mit chmod 700

nur bei /tmp /bin /urs/lib usw. geht das nicht da wie du gesagt hast die programme drauf zugreiffen!

drum frage ich obs da ne andere möglichkeit gibt oder ob einer weiss welche ich chmod 700 kann und welche ich nur vor lese/schreibzugriff schützen kann und werden die dateien auch angezeigt wenn man sie ausführen kann? ja oder?

Hm, es ging dir doch um das Einsprerren?
Mit chmod 700 sperrst du ja nur andere aus.

kann man das auch für einen einzigen user einstellen? hab z.b. einen account namens "gast", der soll im dateibrowser (konqueror oder nautilus) einfach nicht in die verzeichnisse schauen können, ohne ne fehlermeldung zu kriegen. einfach so als ob es nur das homeverzeichnis gibt. geht das irgendwie?

(die konsole wird dann einfach aus dem menü genommen etc.)

ja mit 700 sperre ich user1 aus user2 aus is mir klar und auch gut so! nur eben noch in das home dir einsperren fehlt.

moin;

es kommt darauf an, womit du das machen möchtest...

bei ftp ist das relativ einfach, eine changed root zu definieren...bei samba und apache ebenso...

bei einem shell-account (ssh/telnet) sieht die geschichte deutlich anders aus...
da muss du nämlich eine sog. changed root umgebung (chroot) einrichten und die mit dem tool "chroot" aktivieren...

diese changed-root umgebung spiegel ein kleines linux im linux, in dem sich alles befindet, was der user braucht...
er sieht quasi nur seine virtuelle umgebung und sonst nichts...

entsprechend muss alles was er benötigt innerhalb dieser virtuellen umgebung vorhanden sein...

für chroot gibbet jede menge howtos..ich denke, die frage taucht hier auf dem board auch nicht das erste mal auf


such einfach mal

ciao

tommy

naja hab eben mal gesucht einiges gefunden nur wurde immer auf sites verwiesen die mir im grunde nicht richtig weiter helfen! und chroot bzw das ganze andere wie rbash is ne menge arbeit (bei knapp 100 usern :S je dedi - hab 10 ) is das schon ein bisschen schwerer!

darum würd ich lieber wissen welche dirs ich chmodden kann um die user "auszusperren" und nicht ein zu sperren also eben alles andersrum! keine jails sondern eher verschlossene türen so auf die art "wir müssen leider draussen bleiben *hund daneben*"

mfg

N1Md4

moin;

dafür müsstest du eigentlich nur allen verzeichnissen die wletweiten leserechte nehmen und den user inne unrpivilegierte gruppe tun...

allerdings weiss ich nicht, inwieweit das systemprobleme prvoziert da einige tools darauf angewiesen sind, dass andere lesbar sind für sie...

übrigens isset nicht sooo viel arbeit, das für so viele einzurichten...

erstens musste ja nicht für jeden ne eigene chroot bauen und zwotens...falls dir doch der sinn danach steht, rsyncste das verzeichnis einfach rekursiv woanders hin und legts den neuen benutzer in der chroot an...

ciao

tommy

naja von rbash und chroot hab ich überhaupt keine ahnung und mit chmod und der gruppe siehts auch schlecht aus da einige tools zugriff brauchen

moin;

ich denke, ich habe die antworten auf deine fragen gefunden...

der chroot-patch für ssh

http://majikal.dyn.dhs.org/projekts/openssh_chroot_patch/

viel spass


tommy

Not Found
The requested URL /projekts/openssh_chroot_patch/openssh_chroot_patch/ was not found on this server.

:(

mal sehn vielleicht finde ich ja das wo anders !?

EDIT:

sorry war mein fehler! die url geht nur mein inet wurde blockiert...

danke!