User auf das home-verzeichnis beschränken?

Post Reply
Message
Author
mike23
Posts: 3
Joined: 04. Nov 2002 15:09

User auf das home-verzeichnis beschränken?

#1 Post by mike23 »

ich würde gernen einen user auf sein Homeverzeichnis beschränken. Gibt es da eine elegantere Lösung, als dass ich allen sonstigen Verzeichnissen auf der Platte das read-recht für "all users" entsage?

mir gehts einfach darum, dass ich jemanden an meinen computer lassen will, er soll surfen können und dateien in seinem directory speichern etc, ansonsten aber nix blödes anstellen können. (so gut wie ich mich bisher auskenne, bin ich selbst gefahr genug *g*)

"nett" wäre noch, wenn dieser user alle rechte auf eine windows-fat partition hat, so für den austausch zwischen linux und winxp.

danke!

User avatar
hjb
Pro-Linux
Posts: 3264
Joined: 15. Aug 1999 16:59
Location: Bruchsal
Contact:

Re: User auf das home-verzeichnis beschränken?

#2 Post by hjb »

Hi!

Das ist derzeit nicht möglich.

Gruß,
hjb
Pro-Linux - warum durch Fenster steigen, wenn es eine Tür gibt?

User avatar
max
Posts: 806
Joined: 14. May 2000 12:55
Location: Ruhrpott

Re: User auf das home-verzeichnis beschränken?

#3 Post by max »

@hjb
meinst du generell nicht möglich oder nicht "elegant und mal eben so" möglich?
Komplizierte Optionen:
-chroot
-Knoppix (komisch, höre ich in letzter Zeit immer wieder als Antwort direkt nach 42)
-restricted shell

Einfache Optionen sind auch mir nicht bekannt.
einfach Leserecht für alle entziehen geht nicht, da ganz bestimmt irgendein nobody Prozess auf irgendeine
Datei in /etc zugreifen muss...
Gruss Max

ratte

Re: User auf das home-verzeichnis beschränken?

#4 Post by ratte »

mittels runlevel manipulation und netscape autostart im kioskmode kann man mit linux eine surfbox bauen, die keinen loginprompt hat.

eine anleitung dafuer musst du dir selbst zusammensuchen, und, wenn fertig, einmal fuer alle posten oder ver-artikel-n.

ratte

Otto

Re: User auf das home-verzeichnis beschränken?

#5 Post by Otto »

Wieso die Read-Rechte entziehen? Da kann doch nichts passieren, wenn man nur lesen darf.

Bob Gomorrha

Re: User auf das home-verzeichnis beschränken?

#6 Post by Bob Gomorrha »

@otto

Aber wenn Du Deine Freundin auf Deiner Workstation arbeiten lässt muss Sie ja nicht unbedingt sehen, daß da auch die Online Ausgabe des Pirelli-Kalenders auf der Platte hast.

Tentakel

Re: User auf das home-verzeichnis beschränken?

#7 Post by Tentakel »

http://www.aarongifford.com/computers/chrsh.html

Noch nicht selber ausprobiert, klingt aber interesssant

rattengift

Re: User auf das home-verzeichnis beschränken?

#8 Post by rattengift »

ich versteh den ganzen wirbel nicht recht. es geht hier doch nicht um ein hochsicherheitssystem sondern lediglich darum, einen (vermutlich ohnehin unbedarften) user davon abzuhalten,
- versehentlich systemdaten zu löschen (das ist ohnehin defaultmässig so -- und lesen soll er ruhig dürfen, warum auch nicht),
und
- in die homeverzeichnisse anderer user hineinzustolpern (hier soll er auch nicht lesen dürfen). (es ist mir unbegreiflich, warum das bei manchen distris NICHT defaultmässig so ist).
für diese zwecke genügt doch elementares chown/chmod.

pete

Re: User auf das home-verzeichnis beschränken?

#9 Post by pete »

der link ist interessant, muss ich mir mal genauer ansehen, thx!

zum problem nochmal:
einerseits gehts schon darum, einen eher ungefährlichen user einfach unbeachtet surfen lassen zu können. das würde ich mir mittlerweile auch trauen.

es geht mir aber zweitens auch darum, andere user am rechner arbeiten lassen zu können. user, die nicht unbedingt die verzeichnisstruktur sehen sollten, gemountete fat-laufwerke bearbeiten, generell zu viel über das system erfahren...

das mit den laufwerken hab ich mit chmod/chown noch relativ leicht gelöst, aber den rest?

ums mal so zusagen: ich hab noch (???) viel zu wenig einblick in das system, um zu wissen, was ein anderer user sehen sollte und was nicht. so gesehen wärs am einfachsten, wenn er garnix sieht :)
oder mal anders rum: was würdet ihr auf jeden fall nicht jedem zeigen?

was ich auch gehört habe:
bei angriffen aus dem netz hat es ein angreifer ohne root rechte ja dann auch viel schwerer oder? denn wenn der user selbst keine entscheidenden rechte hat...

bitte korrigiert mich!...

Otto

Re: User auf das home-verzeichnis beschränken?

#10 Post by Otto »

Für den Surf-Benutzer eine neue Gruppe anlegen z.B. surf.
Einen Benutzer z.B. web anlegen und der Gruppe surf zuweisen.
In allen .profiles auf dem System umask 027 einfügen.

Durch umask 027 wird beim Anlegen von Dateien die Berechtigung zum Lesen für die Gruppe erteilt. Außer Root und den Gruppenmitgliedern kann diese Dateien niemand mehr anschauen. (Oder umask 077, dann kann nur noch der Besitzer darauf zugreifen)

Mit chmod bereits bestehende Dateien in anderen Home-Verzeichnissen die Berechtigung für Other entziehen.

Dann kann die Freundin, die nur das Paßwort für den Benutzer "web" erhält, nur Dateien in ihrem Home-Verzeichnis des Benutzers web und Systemdateien, die für den Betrieb nötig sind ansehen. Auf andere Home-Verzeichnisse kann sie nicht mehr zugreifen.

Aufwändiger geht es mit chroot. Dann muß man aber einen gesamten Verzeichnisbaum anlegen, der alles nötige für den Benutzer web enthält. D.h. Alle Libs kopieren, die zum Surfen benötigt werden. Dann hat der Benutzer keinen Zugriff mehr auf Libs die nicht zum Surfen benötigt werden. Er kann nur noch auf Dateien in diesem Verzeichnisbaum zugreifen.

HTH

Post Reply