© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
turbo23 <turbo23(at)gmx.net> wrote:
> Ich möchte unterbinden, dass User mit einer Shell Login auf dem System
> "browsen" koennen.
Mal 'ne andere Fragen: Was sollen die Leute überhaupt kön-
nen dürfen? Sollen sie lokal beliebige Programme starten
dürfen? In dem Fall kannst Du eigentlich nicht wirksam
verhindern, daß sie sich alles angucken können, was world-
readable ist, wenn Du chroot oder jail nicht benutzen
willst, es sei denn, Du kastrierst die Kiste extrem: kein
Compiler, kein perl (!) etc.pp., aber dann stellt sich die
Frage, ob der Rechner noch sinnvoll benutzbar ist.
Oder dient der Benutzerzugang nur einem bestimmten Zweck,
z.B. Edieren von Dateien (Webseiten o.ä.)? In dem Fall
solltest Du den Leuten gar keine Login-Shell geben und
stattdessen eine andere Möglichkeit vorsehen, ihre Tätig-
keiten durchzuführen, z.B. CGIs oder Applets, mit deren
Hilfe sie ihre Sachen per Browser editieren können, oder
was auch immer. Mit geeigneter Authentisierung, versteht
sich. Es gibt da schon diverse fertige Lösungen.
> Ich weiss das dies mit einer chroot Umgebung loesbar
> wäre. Ich suche jedoch nach einer anderen lösung. Eine die auch weniger
> Fetsplattenplatz braucht.
Es gibt durchaus auch skalierbare Lösungen mit chroot oder
jail, die nicht übermäßig viel Festplattenplatz benötigen,
z.B. Stichwort Loopback-Mounts.
> Die restricted Shell ist auch nicht genau das,
> was ich suche.
Die will natürlich erstmal richtig konfiguriert werden, be-
vor sie (aus Admin-Sicht) brauchbar ist. Nur ist sie dann
aus Benutzer-Sicht nicht mehr brauchbar. :-)
Ich habe die Erfahrung gemacht, daß man derartige Probleme
in der Praxis eher nicht mit der restricted Shell lösen
kann.
> Gibt es keine andere Möglichkeit die Leute in festzuhalten? Sie sollten
> aber die Möglichkeit haben ihr public_html weiter zu benutzen, dateien in
> ihrem dir zu editieren etc.
Ahja, das klingt tatsächlich danach, als wenn Du den Leuten
keine Login-Shell geben möchtest, sondern ein geeignetes
CGI oder so, um ihre Webpages remote zu verwalten. Sowas
in der Art wie "Frontpage", aber es muß ja nicht gerade
dieses sein. ;-)
Gruß
Olli
-- Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München Any opinions expressed in this message may be personal to the author and may not necessarily reflect the opinions of secnetix in any way. "All that we see or seem is just a dream within a dream" (E. A. Poe) To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Fri 23 Feb 2001 - 10:25:56 CET