Re: User in sein Home-Verzeichnis einschliessen

From: Bernd Walter <ticso(at)cicely9.cicely.de>
Date: Thu, 1 May 2003 23:36:04 +0200

On Thu, May 01, 2003 at 11:15:25PM +0200, Andy Tschiersch wrote:
> Hallo,
>
> ich möchte gerne das bestimmte User, die sich auch über SSH einloggen
> können, nicht Dateien und Verzeichnisse ausserhalb ihres
> Homeverzeichnisses angucken oder modifizieren können. Auch keine
> Dateien die CHMOD 777 haben.
>
> Bei FTP (proftpd) geht das ja mit DefaultRoot ~
> Gibt es aber sowas auch für SSH?
>
> Ausserdem möchte ich bestimmte Befehle dem User NICHT zur Verfügung
> stellen, bzw. besser wäre eine Liste mit Befehlen die er ausführen
> darf. Ist das irgendwie möglich?

cd /usr/ports/shells/bash2 && make install
ln -s /usr/local/bin/bash /usr/local/bin/rbash

Die rbash trägst du dann als Shell ein und schon kann der User
nur noch Befehle aufrufen, die im Pfad sind.
Bei Bedarf kannst du dem User extra Pfade erstellen und die erlaubten
Befehle reinlinken.
Die Pfade definierst du per login.conf
Der cd Befehl ist natürlich auch gesperrt...
Das ganze ist allerdings mit Vorsicht zu geniessen, da einige Programme
durchaus den Aufruf beliebiger Programme ermöglichen.

Das ist was anderes als ein chroot, bei dem die Verzeichnisse
unterhalb vom ~ überhaupt nicht mehr sichtbar sind.
Allerding mußt du dann im homedir auch die Programme und Libs, sowie
einen Teil von /dev ablegen, da der User nichts außerhalb ereichen kann.
Bei einem ftpd ist das einfacher weil man in der Regel keine weiteren
Programme starten muß.

-- 
B.Walter                   BWCT                http://www.bwct.de
ticso(at)bwct.de                                  info(at)bwct.de
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Thu 01 May 2003 - 23:36:14 CEST

search this site