Ограничение учетной записи пользователя SSH только для доступа к своей домашней директории!

Question

Читая некоторые учебники онлайн, я использовал следующие команды:

Создайте локальную группу: net localgroup CopsshUsers /ADD

Запретить доступ к этой группе на верхнем уровне: cacls c:\ /c /e /t /d CopsshUsers

Откройте доступ к каталогу установки copSSH: cacls copssh-inst-dir /c /e /t /r CopsshUsers

Добавьте пользователя Copssh в группу выше: net localgroup CopsshUsers mysshuser /add

Проще говоря, эти команды попытаются создать группу пользователей, у которой нет прав на вашем компьютере, и она имеет доступ только к каталогу установки copSSH.

Это не так, поскольку вы не можете изменить разрешение для своего каталога Windows, третья команда не удалит доступ к папке Windows (в его журнале указано, что доступ запрещен). Каким-то образом я добился этого, приняв на себя владение папкой Windows, а затем выполнил третью команду, чтобы CopsshUsers с этого момента не имел разрешений для папки Windows.

Теперь я попытался SSH к серверу, и он просто не может войти! это довольно забавно, потому что с разрешением на каталог Windows вы можете войти, а без него вы не сможете !! Так что если вы МОЖЕТЕ SSH к серверу каким-то образом, вы знаете, что у вас есть доступ к каталогу Windows! (Это правда?)

Простая задача: ограничение учетной записи пользователя ssh только для доступа к его домашнему каталогу в WINDOWS и ничего больше!

Ребята помогите пожалуйста!

Answer 1

Вторая команда (запретить доступ к c:\) мне кажется очень страшной. Вы отказываете членам этой группы в рекурсивном доступе к c:\. Программы будут запускаться с их учетными данными, и те программы (которые, вероятно, находятся на диске c:\) должны будут загружать библиотеки, расположенные на диске c:\. Если вы запретите им доступ, они не смогут загружать эти библиотеки, а программы не смогут загружаться. Я не могу представить, почему вы захотите это сделать, и я не могу представить, что если бы вы это сделали, что-нибудь сработало бы правильно. Если вы настаиваете на этом, я бы попытался запретить доступ на запись вместо всех; однако для этого должно быть достаточно разрешений по умолчанию - членам группы «Пользователи» запрещен доступ на запись (или, скорее, им предоставляется только доступ на чтение).

Answer 2

В системах Unix это может быть достигнуто с помощью chroot тюрьмы. Ища что-то похожее на Windows, я нашел это:

• http://www.winquota.com/wj/
• https://serverfault.com/questions/161507/is-there-a-windows-equivalent-to-chroot

Я не уверен, что это именно то, что вы ищете, но, возможно, это поможет?