PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Neue Benutzergruppe die nix sehen darf



mrsirl
05.01.09, 01:00
Hallo,

habe Suse 10.3 und soweit eingerichtet als Server.

Nun will ich eine Benutzergruppe anlegen für meine Mitarbeiter die im Außendienst sind.
Diese sollen jedoch keinen Ordner sehen, diese sollen nichteinmal einblick in die Ordner haben -> einfach nur auf Ihre /home sonst nix.

Wie könnte ich das machen?

Habe über Google darüber jetzt noch nxi gefunden (außer war wieder mal zu doof dafür)...

Schöne Nacht noch ...
Viele Grüße
Michael

derRichard
05.01.09, 02:13
hi!

suse 10.3 ist schon mal eine ganz schlechte wahl. dafür bekommst du nicht mehr lange updates.

du willst user in ihr home einsperren? dann verrate uns doch wenigstens in welchem zusammenghang. ftp? ssh?

hth,
//richard

mrsirl
05.01.09, 10:02
Hi,

Suse 10.3 deswegen, da ich die neuere Version 11.0 auf meinem IBM x330 nicht zum laufen bekommen habe.
Warum auch immer...

Rein kommen die Außendienstler über OpenVPN Verbindung, anschließend sollen Sie NoMachine Client starten und erhalten einen Desktop.
Wenn Sie im Dekstop sind, sollen Sie sich nur auf Ihre /Home Zugriff haben.

Alle anderen Verzeichnisse gehen den ADM nix an.

EDIT: VPN Verbindung wird nicht mit der Option Cleint-to-Client ausgeführt, also sollten die ADM's auch wenn nur VPN Verbindung besteht keine anderen Clients o. Server sehen und damit auch keinen Zugrif haben.


Gruß
Michael

ThorstenHirsch
05.01.09, 10:42
Die aktuelle Version ist übrigens 11.1.

Dein Vorhaben ist insofern noch nicht so ganz durchdacht als dass ein UNIX-System nicht funktionieren kann, wenn Du die user nur auf ihr $HOME zugreifen lässt, schließlich sind alle Programme (und dazu zählen auch die systemnahen Programme) außerhalb von $HOME. Also ein chroot auf's $HOME ist schonmal nix.

Du kannst die user so konfigurieren, dass sie in /home auf kein anderes $HOME zugreifen dürfen außer ihrem eigenen. Das ist vielleicht sogar schon per default so eingestellt. Und dann gibt's da noch so Sachen wie jail shell (find ich gerade nicht). Das hab' ich mal auprobiert und es hat auch mehr oder weniger funktioniert. Damit bastelst du eine neue Umgebung für einen user, indem du explizit die Befehle konfigurierst, auf die er Zugriff haben darf. Die jail shell hängt dann auch alle davon abhängigen Dateien in diese neue Umgebung rein. Aber ich würd sowas niemandem empfehlen. Der Administrationsaufwand ist einfach viel zu groß.

derRichard
05.01.09, 12:42
Hi,
Suse 10.3 deswegen, da ich die neuere Version 11.0 auf meinem IBM x330 nicht zum laufen bekommen habe.
Warum auch immer...

na dann viel spaß ab oktober. ;)
http://en.opensuse.org/SUSE_Linux_Lifetime

und nebenbei wenn das ein server für eine firma ist, dann solltest eine enterprisedistribution in betracht ziehen. (suse enterprise, redhat enterprise, etc...)
sonst kann das ende für dich richtig böse werden.

einen desktop-user kannst du nicht so einfach einsperren, ThorstenHirsch hat das eh schon erklärt. setzte lieber die berechtigungen sauber.

hth,
//richard

cane
05.01.09, 14:52
Der Univention Corporate Server kann sowas übrigens auch - vielleicht interessant für dich:

http://www.univention.de/

mfg
cane

mrsirl
06.01.09, 14:47
habe mich heute nochmal kurz mit diesem Thema beschäftigt.

Ich glaube ich habe mich falsch ausgedrückt...

Was ich eigentlich wollte, daß die "neue Gruppe z.B. ADM" verzeichnisse einfach nicht sehen kann wie z.B. das Verzeichnis /usr.

Den Zugriff sollten Sie aber haben um - klar wie oben schon geschrieben - auf Programme ausführen zu können.

Ich meinte also, wie kann ich alle Verzeichnisse einfach nur unsichtbar machen.
Ich glaube alle wissen wir die die Außendiestmitarbeiter sind - nach dem Motta was ist da den so alles drinnen ;-) Das würde ich halt gern verhindern, denn was Sie nicht sehen macht Sie auch nicht heiß.

Gruß
Michael

cane
06.01.09, 15:04
Wenn Sie Programme aus /usr/ ausführen müssen impliziert das das sie /usr/ auch sehen müssen :)

In /usr/bin/ liegt zum Beispiel oftmals der Firefox...

mfg
cane

mrsirl
06.01.09, 15:38
nein nein... ich meine ohne Recht zu vergeben oder Recht einem user zu nehmen... sondern die verzeichniss alle wie sie sind unter / sollen einfahc nur nicht zu sehen sein.

Verstecken aber ohne Rechte ändern zu müssen.

Unter Win2003 Server über TerminalServer hat man auch die möglichkeit den User einfach Verzeichnisse zu verstecken obwohl er zugriff hat.

drcux
06.01.09, 15:43
das geht nicht

derRichard
06.01.09, 15:43
Unter Win2003 Server über TerminalServer hat man auch die möglichkeit den User einfach Verzeichnisse zu verstecken obwohl er zugriff hat.

du weisst aber schon wie schnell man sowas aushebelt?

//richard

mrsirl
06.01.09, 15:55
Ja ist schnell auszuhebeln ... weis ich ...

aber ich will auf teufel komm raus verhindern, daß die lieben ADM's Ihre Nase in Verzeichnisse stecken.

Wie geht Ihr den damit um.

Fakt ist, Sie haben alle einen VPN Zugang, da kein client-to-client parameter gesetzt ist, sehen sie keine anderen Clients und auch keine Server (Clients sind XP und Vista Rechner - Laptops).

Weiteren Zugang haben Sie auch erst, wenn Sie über Nomachine sich anmelden, ab da haben Sie Zugang zu KMail, Adressen und auch auf unsere interne Webseite (Intranet) mit unserem Informationssystem.

Aber alle wissen wir doch, je mehr die sehen umsomehr fummeln sie darin rum.

Ok /home/documents können sie untereinander nicht einsehen, was schon mal gut ist... aber will das sie einfach gar nix sehen...

Gut wenn das nicht gehen sollte, muß ich wohl damit leben.

Möchte mich aber trotzdem bedanken... habe zumindest viel Stoff zum nachdenken bekommen :-)

Vielleicht könntet Ihr mir aber eure Konstellationen schildern, wie Ihr mir Außendiestmirarbeiter und überhaupt mit Mitarbeiter umgeht...
Damit da nix passiert.

Viele Grüße
Michael

drcux
06.01.09, 17:06
Aber alle wissen wir doch, je mehr die sehen umsomehr fummeln sie darin rum.


Wo sollen sie denn deiner Meinung nach rumfummeln? Wenn die Rechte auf die Verzeichnisse richtig gesetzt sind, das ein normaler User nur in seinem Home und in /tmp schreiben. Nix mit rumfummeln..

/dev/null_Peter
06.01.09, 22:07
... und wirklich kritische Dateien können sie außerhalb ihres eigenen /home nicht mal lesen.

MfG Peter

FLOST
07.01.09, 10:19
Du stellst keine Sicherheit dadurch her, dass jemand etwas "nicht siehet".

Per default hat ein normaler User nur auf sein /home und auf /tmp Zugriff. Hinzukommen noch Befehle, ohne die er nciht auskommt (cd oder ls). Config Dateien, oder Befehle, die nur für root vorgesehen sind kann er nicht lesen, oder ausführen (sehen wir mal von Sicherheitslücken etc. ab). Wenn dein System richtig eingerichtet ist, kan nichts passieren. Solltest du oder dein Admin allerdings aus Bequemlichkeit die Rechte auf 777 gesetzt haben (oder ähnliches) dann wird es schwierig. Dann sind deine ADM allerdings dein geringstes Problem.