Я только что создал новую учетную запись пользователя, но новый пользователь может получить доступ ко всей структуре каталогов (включая домашние каталоги других). Я хотел бы ограничить доступ пользователя ТОЛЬКО к его домашнему каталогу (и ничего "выше"). Как мне это сделать?
2 ответа
3
Установите режимы для всех домашних каталогов на 0700.
При желании установите значение по умолчанию umask 077 . В Ubuntu отредактируйте строку « umask 022 » в /etc/profile . При необходимости обновите конфигурацию PAM в /etc/pam.d/common-session (pam_umask.so umask=077 usergroups).
При желании, chmod /etc/skel и обновите /etc/adduser.conf (строка " DIR_MODE=0755 ") до 0700.
Вы не можете ограничить пользователя "домашним каталогом и ничем \" выше \"" без большой головной боли, и это также не имеет смысла (по крайней мере для меня):
- Чтобы выполнить любую программу, пользователь должен иметь к ней доступ для чтения.
- Чтобы использовать разделяемые библиотеки, программа должна иметь доступ к ним для чтения.
- Для чтения общесистемных файлов конфигурации и ресурсов также необходим доступ для чтения.
Вы должны бояться доступа к записи , а разрешения по умолчанию уже запрещают запись в любом месте, кроме нескольких мест.
1
Этот поток немного староват, но в любом случае вы можете ограничить пользователей (очень строгие) домашним каталогом, изменив оболочку bash на rbash, если вы действительно этого хотите. Таким образом, пользователь не может использовать команду cd. Или измените владельца домашнего каталога, как указано выше. Но помните, что пользователь может выполнять bash, поэтому выполняйте ограничительные настройки ...