Un utente che può guardare SOLO la propria cartella home

GuN_jAcK

Ragazzi è possibile fare in modo tale che un utente possa avere accesso solo alla propria home negandogli la directory radice?
_________________
Rispondi in maniera intelligente anche a chi ti tratta stupidamente.

codadilupo · Advocate Joined: 05 Aug 2003 Posts: 3135

uhmm.. mettendo rw- sulla sua home ? la x per le directory indica l'attraversamento: non so se valga anche verso la dir superiore. Uhmm.. no in generale direi che ho detto una sciocchezza... si accettano suggerimenti ;-)

Coda

GuN_jAcK · Posted: Thu Feb 14, 2008 3:22 pm Post subject:

non funziona..

ho fatto

chmod go-x /home/test

e non funziona :\

se faccio:

chmod u-x /home/test

l'user non entra proprio nella dir

_________________
Rispondi in maniera intelligente anche a chi ti tratta stupidamente.

djinnZ

GuN_jAcK · Posted: Thu Feb 14, 2008 4:38 pm Post subject:

in ambito server credo che non dia fastidio no?

vorrei evitare che la gente mi guardi i file di conf una volta che gli faccio l'account :\

che ne pensate?
_________________
Rispondi in maniera intelligente anche a chi ti tratta stupidamente.

Kernel78 · Moderator Joined: 24 Jun 2005 Posts: 3654

cloc3

GuN_jAcK · Posted: Thu Feb 14, 2008 5:14 pm Post subject:

beh ma se il servizio che offro è proprio una shell in affitto sono diciamo costretto a creargli l'utente..

quale soluzione adotto?
_________________
Rispondi in maniera intelligente anche a chi ti tratta stupidamente.

djinnZ · Posted: Thu Feb 14, 2008 5:28 pm Post subject:

in realtà i vecchi unix prevedevano che root (ed ovviamente tutte le dir degli eseguibili) fosse rwxr-x--x per star tranquilli.
Non ti serve poter leggere il contenuto di una directory per chiamare un file in essa (per quello c'è l'attributo di esecuzione).
Poi sono arrivati i file manager grafici e la sicurezza se ne è andata nello scarico del gabinetto IMHO.

Se è solo una shell puoi permetterti di togliere il diritto di lettura quasi a tutte le directory oppure potresti pensare ad un chroot.
_________________
scita et risus abundant in ore stultorum sed etiam semper severi insani sunt :wink:

mala tempora currunt...mater stultorum semper pregna est :evil:

Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist :wink:

lavish · Bodhisattva Joined: 13 Sep 2004 Posts: 4296

se devi dare shell in affitto ad utenti non fidati e che andranno ad usare solo determinati servizi, prendi in seria considerazione un framework di sicurezza come grsec con gestione di ruoli.
_________________
minimalblue.com | secgroup.github.io/

djinnZ · Posted: Fri Feb 15, 2008 6:04 pm Post subject:

semiquoto, se proprio devi andare sul sicuro e devi comunque lasciare alcuni servizi attivi (per esempio interfaccia verso alcune porte tcp/ip a scopo didattico) andrei più su rsbac che grsec.
_________________
scita et risus abundant in ore stultorum sed etiam semper severi insani sunt :wink:

mala tempora currunt...mater stultorum semper pregna est :evil:

Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist :wink:

GuN_jAcK · Posted: Sat Feb 16, 2008 3:03 am Post subject:

grazie a tutti ora darò un'occhiata a questi software

_________________
Rispondi in maniera intelligente anche a chi ti tratta stupidamente.

lavish · Bodhisattva Joined: 13 Sep 2004 Posts: 4296

CarloJekko · Posted: Sat Feb 16, 2008 5:30 pm Post subject:

rbac... ?
c'è chroot apposta...

federico · Posted: Sun Feb 17, 2008 11:56 pm Post subject:

Tenendo conto che dovresti per fare una cosa funzionante mettere tutti i programmi che intendi lasciare eseguibili nelle home degli utenti, e chrootarle (o virtualizzarle, non so cosa vada piu' di moda al giorno d'oggi) ricorda che il tuo utente sara' incazzato per via delle limitazioni poste, e provera' a farti exploit a qualsiasi cosa. Poi, non pago, il tuo utente mettera' la password uguale al proprio nome, o utilizzera' password da babbazzo e quando loggera' il proprio psybnc tutti gli scriptkiddies dei varii canali fregheranno dapprima l'account a lui, e poi tenteranno di exploitare te. Di solito e' la regola

_________________
Sideralis www.sideralis.org
Pic http://blackman.amicofigo.com/gallery
Arduino http://www.arduino.cc
Chi aveva potuto aveva spaccato
2000 pezzi buttati là
Molti saluti,qualche domanda
Semplice come musica punk

CarloJekko · Posted: Mon Feb 18, 2008 5:29 pm Post subject:

federico · Posted: Mon Feb 18, 2008 6:18 pm Post subject:

Ma no

E' che secondo la mia esperienza con lo stesso genere di problema, i casini erano sempre i soliti

Comunque non ci avevo pensato, chissa' se alla mia biblioteca usano linux?

Fede
_________________
Sideralis www.sideralis.org
Pic http://blackman.amicofigo.com/gallery
Arduino http://www.arduino.cc
Chi aveva potuto aveva spaccato
2000 pezzi buttati là
Molti saluti,qualche domanda
Semplice come musica punk

djinnZ · Posted: Tue Feb 19, 2008 3:36 pm Post subject:

A parte il fatto che il chroot è decentemente sicuro solo con grsec ed rsbac nel kernel il problema che ponevo era ben diverso. Se devi dare una shell per poter pasticciare con i file del web server e testare qualche script ad un altro admin (ed in numero limitato) è una cosa, a questo punto puoi pensare anche ad una banale rsh e gli puoi restringere quanto ti pare la visuale. Se devi dare l'accesso a non si sa quanti studenti che devono provare anche a scrivere programmi che accedono ai socket etc. grsec o rsbac servono allo scopo. Se devi usare dei browser grafici di sicuro richiedo la piena visibilità delle directory a partire da root.
Chroot è solo un grosso spreco di risorse IMHO.
_________________
scita et risus abundant in ore stultorum sed etiam semper severi insani sunt :wink:

mala tempora currunt...mater stultorum semper pregna est :evil:

Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist :wink:

cloc3 · Posted: Sun Feb 24, 2008 1:10 pm Post subject:

da oggi potrebbe diventare tutto più facile.
_________________
vu vu vu
gentù
mi piaci tu