Zum Inhalt springen

User Einsperren - DocumentRoot

aLeXL

Von aLeXL
in Linux

 Teilen

Empfohlene Beiträge

aLeXL

aLeXL

Geschrieben
Geschrieben

Hi,

wenn ich einen user adde, dann hat der user allerdings die möglichkeit, durch alle verzeichnisse auf dem System zu gehen und sie sich anzuschauen.

Ich will, dass jeder User nur innerhalb seines Ordners alles anschauen kann.

Vor längerer Zeit hatte ich das mal mit "DocumentRoot ~" gemacht, allerdings weiss ich nichtmehr, in welche datei das rein muss.

Hab schon über ne Stunde gesucht aber hab die Datei nicht gefunden.

Google hilft mir auch nicht.

Hoffe, ihr habt ne Idee =)

edit: Bitte keine Vorschläge wie "chroot" "jails" oder sonstiges, ich will das mit DocumentRoot machen, ich weiss auch dass es geht, habs ja schonmal hinbekommen

cane

cane

Geschrieben
Geschrieben

DocumentRoot? Nie von gehört... kann man sicherlich raus ausbrechen - selbst bei chroots geht das ja teilweise...

Wie loggt sich der user denn ein?

Was soll er tun können - alle Systemtools nutzen oder nur bestimmte?

mfg

cane

cane

cane

Geschrieben
Geschrieben

Ein ftpd könnte es natürlich sein...

@[aLeX]

Gib mal ne klare Beschreibung was Du genau machen (wen einsperren) willst (lokaler user, remote user, ftpd-homes ...) - alles andere ist pures Raten.

mfg

cane

aLeXL

aLeXL

Geschrieben
  • Autor
Geschrieben

hi,

proftpd könnte es gewesen sein, ich schau gleich mal.

Hab user in der Konsole geadded mit adduser

User soll halt in seinem Verzeichnis bleiben.

edit: Datei ist nicht vorhanden in etc, muss ich erst proftpd installiern oder ?

cane

cane

Geschrieben
Geschrieben
']hi,

proftpd könnte es gewesen sein, ich schau gleich mal.

Beantworte bitte mal meine Fragen, dann kann ich dir sofort helfen...

Wie loggt sich der user denn ein?

Was soll er tun können - alle Systemtools nutzen oder nur bestimmte?

mfg

cane

cane

cane

Geschrieben
Geschrieben

Der User loggt sich lokal ein und hat nur die bash? Oder läuft ein X?

Bitte BESCHREIBE das Scenario doch GENAUER, ist ja fürchterlich...

Generell:

Möglichkeit 1: chroot

Möglichkeit 2: Restricted Shell

DocumentRooot hat mit deinem Szenario nichts zu tun. Und warum willst Du nen ftpd installieren wenn der user nen lokalen Login machen soll?

mfg

cane

iscariot

iscariot

Geschrieben
Geschrieben

DocumentRoot ist eine Option fuer den Indianer. Was dein ftpd macht ist wieder eine ganz andere Sache. Bei pure-ftpd ist die Option, die du suchst "-A".

Falls auf deinem Indianer serverseitige Scripte (z.B. php/perl/python) ausgefuehrt werden koennen ist die "Sicherheit" wieder fuer die Katz'. Wenn du dort den User "einsperren" willst, dann solltest du auf mod_fastcgi zurueckgreifen. Das verhindert zwar nicht den Lesezugriff auf andere Teile des Systems wie /usr/bin, sorgt aber dafuer, dass Kunde A keine Dateien von Kunde B sehen/editieren kann.

Komplexe Sache.. Am Besten liest du dich in das Thema ein, mietest einen Professionellen oder ziehst die moeglichen Konsequenzen.

mfg

iscariot

aLeXL

aLeXL

Geschrieben
  • Autor
Geschrieben

denke nicht ^^

ich versteh nicht ganz, was ich euch noch beschreiben soll, ihr könnt mich gern fragen was ihr wissen wollt.

Ich würd aber sagen, ich probier mal das mit dem chroot aus

sayso

sayso

Geschrieben
Geschrieben

Hallo,

ich denke mal er meint weder FTP noch sonst irgendwas...

Er legt einen User an und wenn er sich dann per Kommandozeile einlogt (egal über ssh, telnet oder loakl) dann soll er nur in seinem Home Verzeichniss navigieren dürfen ;)

Richtig? Wenn ich es falsch verstanden habe , dann sorry...

cane

cane

Geschrieben
Geschrieben

SAoll das ein Witz sein, ich habe ne Menge eindeutige Fragen gestellt, ich stelle sie weil Weihnachten war ;) ein allerletztes Mal obwohl Du nur hochscrollen müsstest:

@[aLeX]

Gib mal ne klare Beschreibung was Du genau machen (wen einsperren) willst (lokaler user, remote user, ftpd-homes ...) - alles andere ist pures Raten.

Der User loggt sich lokal ein und hat nur die bash? Oder läuft ein X?

Bitte BESCHREIBE das Scenario doch GENAUER, ist ja fürchterlich...

DocumentRooot hat mit deinem Szenario nichts zu tun. Und warum willst Du nen ftpd installieren wenn der user nen lokalen Login machen soll?

Wie loggt sich der user denn ein?

Was soll er tun können - alle Systemtools nutzen oder nur bestimmte?

Entschuldige aber das ist wirklich unfreundlich von dir - ich und die anderen wollen Dir doch weiterhelfen aber Du ignorierst unsere Fragen. Muss doch wirklich nicht sein, okay?

mfg

cane

aLeXL

aLeXL

Geschrieben
  • Autor
Geschrieben

sayso, du hast es genau refasst :uli =)

@Cane: Ich habe mich schon mehrmals wiederholt und gesagt, dass ich einen user in der Konsole mit adduser Adde.

Ob ein Grafische Oberfläche läuft spielt keine Rolle. Welche Programme er starten darf spielt keine Rolle. Wenn ich einen user mit adduser adde, ist er ein lokaler user.

Du stellst Fragen, die total unnötig sind.

Geh davon aus du hast ein Linux ohne alles und addest einen user mit adduser.

Dieser User soll nicht aus seinem home verzeichniss /home/user2 rauskönnen.

Das habe ich schon mehrmals wiederholt und mehr kann man dazu nicht sagen.

Schlaubi

Schlaubi

Geschrieben
Geschrieben
']edit: Bitte keine Vorschläge wie "chroot" "jails" oder sonstiges' date=' ich will das mit DocumentRoot machen, ich weiss auch dass es geht, habs ja schonmal hinbekommen[/quote']

Dann ist hier die richtige Antwort - es geht nicht mit DocumentRoot.

cane

cane

Geschrieben
Geschrieben
']

Ob ein Grafische Oberfläche läuft spielt keine Rolle. Welche Programme er starten darf spielt keine Rolle. Wenn ich einen user mit adduser adde, ist er ein lokaler user.

Sorry aber Du hast null Ahnung von Linux und Sicherheit allgemein. Es spielt eine sehr große Rolle ob ein X läuft oder nicht und welche Programme gestartet werden sollen spielt eine noch viel größere Rolle. Was meinst Du warum es Restricted shells gibt, hmm? Bestimmt nicht weil in nem chroot alles machbar ist! Deswegen ist es wichtig zu wissen welche Systemkommandos ausführbar sein sollen.

Wenn ein X läuft, sich der user also warscheinlich auch unter laufendem X anmelden soll ist ein chroot so erstmal garnicht möglich. Hast Du dich überhaupt mal mit nem loginvorgang unter Linux auseinandergesetzt?

Wenn man höchstens Halbwissen in einem Bereich hat sollte man etwas vorsichtiger sein mit Aussagen wie

Du stellst Fragen, die total unnötig sind.

Wenn Du das alles nur halbherzig hinfummeln willst, so das jeder mit etwas Ahnung von Linux aus dem Verzeichnis ausbrechen kann - Bitteschön!

Warscheinlich wußtest Du nichtmal das man auch aus einem chroot ausbrechen kann aber Hauptsache mal ne Welle machen.

Unverschämt - da will man helfen und stellt Nachfragen und plötzlich mutiert der fragende zum Experten und die Nachfragen werden als "unsinnig" hingestellt...

mfg

cane

cane

cane

Geschrieben
Geschrieben
']

@cane: Wie oft soll ich dir noch sagen, dass kein X läuft und keine Programme installiert sind?

Okay - Du besitzt also das weltweit einzige Linux auf dem "keine Programme" installiert sind (Der User meldet sich also warscheinlich lokal an um die Raute der Bash zu betrachten?) und ein User der per useradd angelegt wird ist dann eben auch generell lokal.

Wenn Du wenigstens mal sagen würdest was der User denn machen soll wäre man schon einen Schritt weiter und könnte eine Empfehlung geben ob ein chroot oder eine RestrictedShell sinnvoll ist, ich kann wiegesagt nicht nachvolziehen was ein User ohne Programme wie machen soll.

mfg

cane

cane

cane

Geschrieben
Geschrieben

Im ersten Link ist auch schön beschrieben warum es nicht "eben so" möglich ist was meine Worte belegt. Einen User mit lokalem Login einzusperren ist eine sehr komplexe Angelegenheit.

mfg

cane

aLeXL

aLeXL

Geschrieben
  • Autor
Geschrieben

Ja, ich will ja da keinen Hochsicherheitstrakt aufbauen.

Ich will nur mal bissl rumtesten wie man einen user neinsperren kann mit welchen Möglichkeiten und wie die so sind.

Sicherheit ist da egal, da das nur zum rumspielen ist.

cane: gehen wir mal davon aus, dass er nur "vi" benutzt um textdateien zu schreiben =)

cane

cane

Geschrieben
Geschrieben

Das es nur um ein Testsystem geht hättest Du vielleicht vorher erwähnen sollen ;)

']cane: gehen wir mal davon aus' date=' dass er nur "vi" benutzt um textdateien zu schreiben =)[/quote']

"Nur vi" ist gut - vi ist einer der mächtigsten Editoren, scriptfähig etc.

Ich würde in dem Fall vi statisch kompilieren, dann mußt Du nicht alle benötigten Libraries in das chroot kopieren wenn Du denn eins benutzen möchtest.

Es wäre wesentlich einfacher dem User sein home übers Netz zugänglich zu machen, dann kann er lokal an seinen daten machen was er will und beeinträchtigt die Sicherheit des servers nicht. Wäre das eine Alternative?

Ansonsten schau mal hier: http://linuxforen.de/forums/showthread.php?t=190483

mfg

cane

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
 Teilen
Zur Themenübersicht

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Links

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...