Jak udost

cyryllo · Post autor: **cyryllo** » 26 lipca 2009, 21:49

Myślałem aby ustawić 700 dla głównego katalogu ale czy to nie zaszkodzi?

Nie sprawdzałem bo wolę najpierw zapytać.

Edycja:

Sprawdziłem i po zmianie home na 700 w ogóle nie można wejść nawet na konto czyli do katalogów głębiej np. /home/użytkownik/

Haseo · Post autor: **Haseo** » 26 lipca 2009, 22:19

Chcesz dać:

Kod: Zaznacz cały

chmod 700 /

dla głównego systemu /? A co z plikami i katalogami dla demonów? Nie będą mieli oni nawet dostępu do odczytu danych z pliku.
Ustaw użytkownikowi powłokę na rbash wtedy nie wyjdzie ze swojego katalogu. Wadą tego rozwiązania jest, że nie wejdzie do innego katalogu.

cyryllo · Post autor: **cyryllo** » 26 lipca 2009, 22:35

Skorzystam chyba z Chrooted chyba najlepsze rozwiązanie.

grzesiek · Post autor: **grzesiek** » 27 lipca 2009, 19:07

cyryllo pisze:Sprawdziłem i po zmianie home na 700 w ogóle nie można wejść nawet na konto czyli do katalogów głębiej np. /home/użytkownik/

Użytkownik może, jak należy do jakiejś grupy to też powinien, ale inni nie, zrób tak chmod o-rw i wtedy zadziała.
Patrz na właścicieli, jeżeli /home należy do root i dasz 700 to tylko root może tam wejść, a Ty jesteś inny, bo nawet nie należysz do żadnej dopuszczonej grupy. Musisz pozwolić dla innych tam wejść - x

vimoco · Post autor: **vimoco** » 28 lipca 2009, 01:30

Dobrze, a jak ukryć wszystkie foldery oprócz home?
Bo wszystkim katalogom w /home dałem 770, ale użytkownik może wyjść poza /home i grzebać w systemowych plikach, jak je ukryć?
Bo jak dam 770 to chyba nie będzie działać coś?

sigo · Post autor: **sigo** » 28 lipca 2009, 08:22

Jeżeli nadasz (przykładowo)

Kod: Zaznacz cały

chmod 711 /

użytkownicy będą mogli wejść do systemu plików, ale nie zobaczą jego zawartości. Jeżeli jednak będą znali bezpośrednią ścieżkę do jakiegoś miejsca - będą mogli tam wejść i wszystko podpatrywać.

Chcąc zabezpieczyć cały system w ten sposób, musiałbyś zmieniać uprawnienia dla sporej liczby katalogów i plików. Polecam użycie środowiska chrootowanego dla użytkownika - to lepsze rozwiązanie.

pawelkkkk · Post autor: **pawelkkkk** » 28 lipca 2009, 12:46

Witam.
Konfiguracja dla serwera proftpd:
Ustawiasz DefaultRoot jako /home - nie będzie można wyjść do głównego drzewa systemu plików.

Ograniczenie zapisu:

Kod: Zaznacz cały

<Directory /home/costam>
<Limit READ>
AllowUser root,admin,usery
DenyUser userx
</Limit>
<Limit WRITE>
AllowUser root,admin
DenyUser userx,usery
</Limit>
</Directory>

Root i administrator będą mogli zapisywać i odczytywać, użytkownicy odczytać pliki, ale zapisać już nie, a użytkownikx przeczyta tylko listę plików, ale do pliku już nie zajrzy.

Pozdrawiam
Paweł