Я только что добавил нового пользователя в Debian, но мне просто интересно, как я могу ограничить их доступ к другим папкам, на самом деле я просто хочу, чтобы они оставались в своем собственном каталоге /home /username
5 ответов
Если вы не добавите кого-то в другие группы, единственное место, где они смогут создавать файлы, - это /home /username / и / tmp /.
Любой пользователь, который хочет конфиденциальности, может изменить свой домашний каталог на 750 или 700 вместо 755 по умолчанию, но это должен решать каждый пользователь.
IIRC достаточно полномочий корневого домашнего каталога, чтобы рекурсивно хранить все в этом каталоге в секрете.
Есть много способов сделать это, но если вы действительно хотите ограничить их собственным домашним каталогом, то вам, вероятно, нужно ограниченное решение оболочки .
Это поведение по умолчанию для систем Linux. Вы можете оставить все как есть, но вы можете проверить и проверить, действительно ли существуют ограничения, войдя в систему как новый пользователь и попытавшись изменить файлы за пределами домашнего каталога.
Я также хотел бы сказать, что они смогут читать файлы конфигурации в каталоге /etc, а также другие системные файлы, но не смогут просматривать / изменять содержимое домашнего каталога других людей. Обратите внимание, что конфиденциальные системные файлы (такие как закрытые ключи для SSH) доступны для чтения только пользователю root.
Отредактируйте /etc /passwd и укажите, что они используют ограниченную оболочку, например, rbash. Затем они могут выполнять команды только из своего PATH (которым вы можете управлять), не могут изменять содержимое PATH и не могут изменять каталог.
Chroot - это возможное, но радикальное решение, поскольку вы также теряете доступ ко всем /bin и другим каталогам. У нас была настроена система для учеников, в каждом из которых имелся подкаталог ~ /bin с необходимыми программами и логином с chroot to ~ ученика. Это работало хорошо, но требовало некоторой подготовки. Попробуйте, если вы хотите, чтобы у человека был ОЧЕНЬ мало доступа с или без ограниченной оболочки.