© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Andy Tschiersch <andy(at)tschiersch.com> wrote:
> ich möchte gerne das bestimmte User, die sich auch über SSH einloggen
> können, nicht Dateien und Verzeichnisse ausserhalb ihres
> Homeverzeichnisses angucken oder modifizieren können. Auch keine
> Dateien die CHMOD 777 haben.
Wenn Du das verläßlich realisieren willst, führt kein Weg
um ein Jail herum. Siehe die jail(8) manpage. Der Benutzer
sieht dann nur die Dinge und kann nur die Befehle verwenden,
die sich in seinem Jail befinden. Jails für Benutzer aufzu-
setzen ist nicht weiter schwer; ich habe das schon häufig
gemacht. Wenn es nicht nur für ein oder zwei User ist, em-
pfiehlt es sich, das ganze mit Templates und Skripten ein
wenig zu automatisieren.
Es gibt auch die Möglichkeit, eine restricted-Shell zu ver-
wenden (rzsh, rbash), aber dabei ist es erheblich aufwendi-
ger (vielleicht sogar unmöglich), eine Umgebung zu erstel-
len, die sowohl sicher als auch noch in zumutbarer Weise
benutzbar ist. In der Praxis ist die Gefahr sehr groß, daß
man irgendeine Kleinigkeit übersieht. Um nur ein Beispiel
zu nennen: /usr/bin/dc kann beliebige Kommandos ausführen.
Gruß
Olli
--
Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
"In jedem Stück Kohle wartet ein Diamant auf seine Geburt."
-- Terry Pratchett
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Fri 02 May 2003 - 00:06:59 CEST