ich würde gernen einen user auf sein Homeverzeichnis beschränken. Gibt es da eine elegantere Lösung, als dass ich allen sonstigen Verzeichnissen auf der Platte das read-recht für "all users" entsage?
mir gehts einfach darum, dass ich jemanden an meinen computer lassen will, er soll surfen können und dateien in seinem directory speichern etc, ansonsten aber nix blödes anstellen können. (so gut wie ich mich bisher auskenne, bin ich selbst gefahr genug *g*)
"nett" wäre noch, wenn dieser user alle rechte auf eine windows-fat partition hat, so für den austausch zwischen linux und winxp.
danke!
User auf das home-verzeichnis beschränken?
Re: User auf das home-verzeichnis beschränken?
Hi!
Das ist derzeit nicht möglich.
Gruß,
hjb
Das ist derzeit nicht möglich.
Gruß,
hjb
Pro-Linux - warum durch Fenster steigen, wenn es eine Tür gibt?
Re: User auf das home-verzeichnis beschränken?
@hjb
meinst du generell nicht möglich oder nicht "elegant und mal eben so" möglich?
Komplizierte Optionen:
-chroot
-Knoppix (komisch, höre ich in letzter Zeit immer wieder als Antwort direkt nach 42)
-restricted shell
Einfache Optionen sind auch mir nicht bekannt.
einfach Leserecht für alle entziehen geht nicht, da ganz bestimmt irgendein nobody Prozess auf irgendeine
Datei in /etc zugreifen muss...
Gruss Max
meinst du generell nicht möglich oder nicht "elegant und mal eben so" möglich?
Komplizierte Optionen:
-chroot
-Knoppix (komisch, höre ich in letzter Zeit immer wieder als Antwort direkt nach 42)
-restricted shell
Einfache Optionen sind auch mir nicht bekannt.
einfach Leserecht für alle entziehen geht nicht, da ganz bestimmt irgendein nobody Prozess auf irgendeine
Datei in /etc zugreifen muss...
Gruss Max
Re: User auf das home-verzeichnis beschränken?
mittels runlevel manipulation und netscape autostart im kioskmode kann man mit linux eine surfbox bauen, die keinen loginprompt hat.
eine anleitung dafuer musst du dir selbst zusammensuchen, und, wenn fertig, einmal fuer alle posten oder ver-artikel-n.
ratte
eine anleitung dafuer musst du dir selbst zusammensuchen, und, wenn fertig, einmal fuer alle posten oder ver-artikel-n.
ratte
Re: User auf das home-verzeichnis beschränken?
Wieso die Read-Rechte entziehen? Da kann doch nichts passieren, wenn man nur lesen darf.
Re: User auf das home-verzeichnis beschränken?
@otto
Aber wenn Du Deine Freundin auf Deiner Workstation arbeiten lässt muss Sie ja nicht unbedingt sehen, daß da auch die Online Ausgabe des Pirelli-Kalenders auf der Platte hast.
Aber wenn Du Deine Freundin auf Deiner Workstation arbeiten lässt muss Sie ja nicht unbedingt sehen, daß da auch die Online Ausgabe des Pirelli-Kalenders auf der Platte hast.
Re: User auf das home-verzeichnis beschränken?
http://www.aarongifford.com/computers/chrsh.html
Noch nicht selber ausprobiert, klingt aber interesssant
Noch nicht selber ausprobiert, klingt aber interesssant
Re: User auf das home-verzeichnis beschränken?
ich versteh den ganzen wirbel nicht recht. es geht hier doch nicht um ein hochsicherheitssystem sondern lediglich darum, einen (vermutlich ohnehin unbedarften) user davon abzuhalten,
- versehentlich systemdaten zu löschen (das ist ohnehin defaultmässig so -- und lesen soll er ruhig dürfen, warum auch nicht),
und
- in die homeverzeichnisse anderer user hineinzustolpern (hier soll er auch nicht lesen dürfen). (es ist mir unbegreiflich, warum das bei manchen distris NICHT defaultmässig so ist).
für diese zwecke genügt doch elementares chown/chmod.
- versehentlich systemdaten zu löschen (das ist ohnehin defaultmässig so -- und lesen soll er ruhig dürfen, warum auch nicht),
und
- in die homeverzeichnisse anderer user hineinzustolpern (hier soll er auch nicht lesen dürfen). (es ist mir unbegreiflich, warum das bei manchen distris NICHT defaultmässig so ist).
für diese zwecke genügt doch elementares chown/chmod.
Re: User auf das home-verzeichnis beschränken?
der link ist interessant, muss ich mir mal genauer ansehen, thx!
zum problem nochmal:
einerseits gehts schon darum, einen eher ungefährlichen user einfach unbeachtet surfen lassen zu können. das würde ich mir mittlerweile auch trauen.
es geht mir aber zweitens auch darum, andere user am rechner arbeiten lassen zu können. user, die nicht unbedingt die verzeichnisstruktur sehen sollten, gemountete fat-laufwerke bearbeiten, generell zu viel über das system erfahren...
das mit den laufwerken hab ich mit chmod/chown noch relativ leicht gelöst, aber den rest?
ums mal so zusagen: ich hab noch (???) viel zu wenig einblick in das system, um zu wissen, was ein anderer user sehen sollte und was nicht. so gesehen wärs am einfachsten, wenn er garnix sieht
oder mal anders rum: was würdet ihr auf jeden fall nicht jedem zeigen?
was ich auch gehört habe:
bei angriffen aus dem netz hat es ein angreifer ohne root rechte ja dann auch viel schwerer oder? denn wenn der user selbst keine entscheidenden rechte hat...
bitte korrigiert mich!...
zum problem nochmal:
einerseits gehts schon darum, einen eher ungefährlichen user einfach unbeachtet surfen lassen zu können. das würde ich mir mittlerweile auch trauen.
es geht mir aber zweitens auch darum, andere user am rechner arbeiten lassen zu können. user, die nicht unbedingt die verzeichnisstruktur sehen sollten, gemountete fat-laufwerke bearbeiten, generell zu viel über das system erfahren...
das mit den laufwerken hab ich mit chmod/chown noch relativ leicht gelöst, aber den rest?
ums mal so zusagen: ich hab noch (???) viel zu wenig einblick in das system, um zu wissen, was ein anderer user sehen sollte und was nicht. so gesehen wärs am einfachsten, wenn er garnix sieht
oder mal anders rum: was würdet ihr auf jeden fall nicht jedem zeigen?
was ich auch gehört habe:
bei angriffen aus dem netz hat es ein angreifer ohne root rechte ja dann auch viel schwerer oder? denn wenn der user selbst keine entscheidenden rechte hat...
bitte korrigiert mich!...
Re: User auf das home-verzeichnis beschränken?
Für den Surf-Benutzer eine neue Gruppe anlegen z.B. surf.
Einen Benutzer z.B. web anlegen und der Gruppe surf zuweisen.
In allen .profiles auf dem System umask 027 einfügen.
Durch umask 027 wird beim Anlegen von Dateien die Berechtigung zum Lesen für die Gruppe erteilt. Außer Root und den Gruppenmitgliedern kann diese Dateien niemand mehr anschauen. (Oder umask 077, dann kann nur noch der Besitzer darauf zugreifen)
Mit chmod bereits bestehende Dateien in anderen Home-Verzeichnissen die Berechtigung für Other entziehen.
Dann kann die Freundin, die nur das Paßwort für den Benutzer "web" erhält, nur Dateien in ihrem Home-Verzeichnis des Benutzers web und Systemdateien, die für den Betrieb nötig sind ansehen. Auf andere Home-Verzeichnisse kann sie nicht mehr zugreifen.
Aufwändiger geht es mit chroot. Dann muß man aber einen gesamten Verzeichnisbaum anlegen, der alles nötige für den Benutzer web enthält. D.h. Alle Libs kopieren, die zum Surfen benötigt werden. Dann hat der Benutzer keinen Zugriff mehr auf Libs die nicht zum Surfen benötigt werden. Er kann nur noch auf Dateien in diesem Verzeichnisbaum zugreifen.
HTH
Einen Benutzer z.B. web anlegen und der Gruppe surf zuweisen.
In allen .profiles auf dem System umask 027 einfügen.
Durch umask 027 wird beim Anlegen von Dateien die Berechtigung zum Lesen für die Gruppe erteilt. Außer Root und den Gruppenmitgliedern kann diese Dateien niemand mehr anschauen. (Oder umask 077, dann kann nur noch der Besitzer darauf zugreifen)
Mit chmod bereits bestehende Dateien in anderen Home-Verzeichnissen die Berechtigung für Other entziehen.
Dann kann die Freundin, die nur das Paßwort für den Benutzer "web" erhält, nur Dateien in ihrem Home-Verzeichnis des Benutzers web und Systemdateien, die für den Betrieb nötig sind ansehen. Auf andere Home-Verzeichnisse kann sie nicht mehr zugreifen.
Aufwändiger geht es mit chroot. Dann muß man aber einen gesamten Verzeichnisbaum anlegen, der alles nötige für den Benutzer web enthält. D.h. Alle Libs kopieren, die zum Surfen benötigt werden. Dann hat der Benutzer keinen Zugriff mehr auf Libs die nicht zum Surfen benötigt werden. Er kann nur noch auf Dateien in diesem Verzeichnisbaum zugreifen.
HTH