Permissions

Hi,

bei einer RPM Package das ich gebaut habe muss ich einen User in sein HOME Verzeihniss sperren.

Ein CHROOT darf ich nicht anlegen.

Könnte es zu Problemen führen wenn ich einfach das PostScript


nach der Installation ausführe somit kann der User nur noch ind HOME files schnüffeln und /files/data schreiben.

... oder nicht gut?

thx

gruß

iea

überhaupt nicht gut

erstens würde es nur auf die Verzeichnisse wirken, die du hier direkt ansprichst, (rekursiv würde ich die Befehl hier selbst nicht abgeben wollen, nicht mal zum testen was passiert). Zweitens würde es alle anderen User im System auch betreffen, also auch zB User die nur das Betriebssystem selbst benutzt( es macht nicht alles immer root im System), drittens muss man als ganz normaler User zum Ausführen von irgendetwas zumindestens die Konfigurationsdatein, die Programme und die Libs lesen können, und das auch schon bei der Anmeldung, sonst geht gar nichts. Lass nur die Verzeichnisse / und /* so wie sie sind, man hat sich da was dabei gedacht, als man das so festgelegt hat.

Such mal hier im Form, solche Probleme und Lösungen dazu hatten wir hier schon öfter besprochen

robi

Ok vielleicht mal zum Hintergrund... erstmal danke für die Antwort

Das ganze ist eine Virtuelle Machine die nur dafür da ist angemacht zu werden und als NFS Server zu dienen. Die Files liegen in /files

Da die VM rumkopiert wird soll keiner das Recht haben ausser root sich überhaupt anzumelden und wenn (winscp login muss für einen user erlaubt werden in /files) darf er nichts ausführen können.

schau mal zB man rbash und überlege mal, wenn du das als Loginshell verwendest
der User kann dann zB nicht cd verwenden, kann die PATH SHELL ENV BASH_ENV nicht ändern, kann keine Kommandos ausführen die mit / beginnen usw. Damit kannst du mit etwas Überlegung den User ganz schön kastrieren.

robi

Das hatte ich schonmal probiert doch jedesmal wenn ich mich mit dem User test der die rbash bekommen hat anmelde logt das system sich automtaisch wieder aus.

????

hast du da zuviel verboten?
stell die rbash nochmal als loginshell für user test ein und melde dich mal als root an und dann mal den Benutzer wechseln und somit die Anmeldeprozedur durchlaufen
schau mal ob dort eine Fehlermeldung kommt.

Wenn nicht dann erst mal auf einen anderen user wechseln damit du auch das Passwort noch mit eingeben musst.

@Mod bitte mal zur Konsole verschieben.

robi

Also via ssh kann ich mich jetzt einloggen aber dafür sagt winscp wron password.

KOMISCH

Wie kann ich dem rbash user djetz weitere Befehle erlauben?

z.b. ls ... der darf ja garnichts

iea schrieb:

z.b. ls ... der darf ja garnichts

Zum Vergrößern anklicken....

er darf die Befehle ausführen die er mit seiner PATH Variable findet.
Entweder du gibst ihm ganze Verzeichnisse zB /usr/bin frei oder aber du legst ihm Softlinks auf die Programme die er ausführen darf in ~/bin/ und gibst ihm nur dieses Verzeichnis frei. Du musst ihm also die ~/.profile anpassen glaube ich, ich hab das auch lange nicht mehr gemacht, einfach mal ein bissel probieren.
Wenn ich mich nicht ganz irre, werden die Restriktionen erst aktiv nachdem die ~/.profile durchlaufen ist.
Nur wenn er nach dem einrichten nicht mal ls machen darf wie du sagst, dann ist bei dir irgendwas verstellt, wie hast du denn den user eingerichtet mit useradd -m ..... ?????

robi

JA aber ohne -m

Das ist nur ein Winscp user der soll sich eigentlich garnicht via ssh einloggen können.

Er nur ini files in einen ordner kopieren dürfen. Das Problem is wenn WnSCP dann SSH zugang.

Guck mir die Profiles zu Hause mal an THX@robbi

hat jemand zufällig ein schönes HOW TO für das einrichten einer rbash mit dem RECHT nur ins eigene Homeverz. zu schreiben... ?

Hab das mal alles ausproboer funktionier aber net so richtig..

danke

Ich habe mein Problem inzwischen gelöst ... Mit dem Tool

scponly :....:

TXH an alle