URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 68779
[ Назад ]

Исходное сообщение
"ls -l /home"
Отправлено Krivenok Dmitry , 07-Сен-06 22:23

Привет всем!
Нужно, чтобы пользователь, делая ls -l /home видел только свою
домашнюю директорию и не видел других.
Это касается не только ls, но и всех остальных программ (например mc).
Как сделать это?

Содержание

ls -l /home,seller, 23:40 , 07-Сен-06
ls -l /home,vlad11, 01:55 , 08-Сен-06
- ls -l /home,fvl, 09:21 , 08-Сен-06
ls -l /home,lavr, 10:57 , 08-Сен-06

Сообщения в этом обсуждении

"ls -l /home"
Отправлено seller , 07-Сен-06 23:40

>Привет всем!
>
>Нужно, чтобы пользователь, делая ls -l /home видел только свою
>домашнюю директорию и не видел других.
>Это касается не только ls, но и всех остальных программ (например mc).
>
>
>Как сделать это?
Может alias тебе поможет...
К сожалению, man alias вряд ли вам даст много полезной инфы, так что смотрите в инете, либо здесь далее конкретно скажут.
На свою память не полагаюсь, т.к. знаю, что не помню одну фишку:)
Была (и есть, наверное) такая хакерская фишка. Запихивался какой-нить бинарник в какой-нить /usr/bin и прописывались алиасы, вроде таких: ls заменялся на ls | grep (все кроме <конкретного имя файла>). Таким образом (если админ не заметит алиас), где бы вы ни сделали ls, то даже если в каталоге есть <конкретное имя файла>, оно grep-ом отсеится и в вывод ls не попадет.
Блин, где-то ж была заметка об этой фишке... аа, черт...
Ладно, если найду и никто больше не подскажет, отпишусь...

"ls -l /home"
Отправлено vlad11 , 08-Сен-06 01:55

>Привет всем!
>
>Нужно, чтобы пользователь, делая ls -l /home видел только свою
>домашнюю директорию и не видел других.
>Это касается не только ls, но и всех остальных программ (например mc).
>
>
>Как сделать это?
Запихнуть в Chroot и правильно разрулить пермишены - кто и что имеет право запускать.
+ использовать sudo (ессно отрубить привелегии суперюзера).

"ls -l /home"
Отправлено fvl , 08-Сен-06 09:21

man ugidfw

"ls -l /home"
Отправлено lavr , 08-Сен-06 10:57

>Привет всем!
>
>Нужно, чтобы пользователь, делая ls -l /home видел только свою
>домашнюю директорию и не видел других.
>Это касается не только ls, но и всех остальных программ (например mc).
>
>
>Как сделать это?
вероятно заиспользовать один из вариантов ACL для Linux (setacl), их есть
несколько реализаций.
Поиск по форуму здесь и на sysadmins.ru - даст понять что сие неудачная идея
как таковая. Использование chroot и/или restricted-shell - неудачная идея, еще
куда ни шло jail...
Ответ прост, хотите обезопасить сервер от пользователя - НЕ давайте ИНТЕРАКТИВНЫЙ
account. В ином случае вы САМИ создаете ПРОТИВОРЕЧИЕ:
- дать интерактивный account для работы
- запретить нах практически УСЕ
Надеюсь верхнее просто, понятно и прозрачно изложено?! Какой такой СОКРОВЕННЫЙ смысл
в подобном подходе?!
PS. Попробуем взглянуть со стороны пользователя - мне дали интерактивный account на
классном Unix-сервере, О СЧАСТИЕ!, опс - практически ниче нельзя сделать!!! :-E :(
Нах мне этот account, лучше уж свой desktop пользовать.