Andy Tschiersch <andy(at)tschiersch.com> wrote:
> ich möchte gerne das bestimmte User, die sich auch über SSH einloggen
> können, nicht Dateien und Verzeichnisse ausserhalb ihres
> Homeverzeichnisses angucken oder modifizieren können. Auch keine
> Dateien die CHMOD 777 haben.
Wenn Du das verläßlich realisieren willst, führt kein Weg
um ein Jail herum. Siehe die jail(8) manpage. Der Benutzer
sieht dann nur die Dinge und kann nur die Befehle verwenden,
die sich in seinem Jail befinden. Jails für Benutzer aufzu-
setzen ist nicht weiter schwer; ich habe das schon häufig
gemacht. Wenn es nicht nur für ein oder zwei User ist, em-
pfiehlt es sich, das ganze mit Templates und Skripten ein
wenig zu automatisieren.
Es gibt auch die Möglichkeit, eine restricted-Shell zu ver-
wenden (rzsh, rbash), aber dabei ist es erheblich aufwendi-
ger (vielleicht sogar unmöglich), eine Umgebung zu erstel-
len, die sowohl sicher als auch noch in zumutbarer Weise
benutzbar ist. In der Praxis ist die Gefahr sehr groß, daß
man irgendeine Kleinigkeit übersieht. Um nur ein Beispiel
zu nennen: /usr/bin/dc kann beliebige Kommandos ausführen.
Gruß
Olli
-- Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München Any opinions expressed in this message may be personal to the author and may not necessarily reflect the opinions of secnetix in any way. "In jedem Stück Kohle wartet ein Diamant auf seine Geburt." -- Terry Pratchett To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Fri 02 May 2003 - 00:06:59 CEST