Ubuntu: ограничение учетной записи только для доступа к своей домашней директории

4

Я только что создал новую учетную запись пользователя, но новый пользователь может получить доступ ко всей структуре каталогов (включая домашние каталоги других). Я хотел бы ограничить доступ пользователя ТОЛЬКО к его домашнему каталогу (и ничего «выше»). Как мне это сделать?

migajek
источник

Ответы:

3

Установите режимы для всех домашних каталогов на 0700 .

При желании, установите значение umask по умолчанию 077. В Ubuntu отредактируйте umask 022строку " " в /etc/profile. При необходимости обновите конфигурацию PAM в /etc/pam.d/common-session( pam_umask.so umask=077 usergroups).

При желании, chmod /etc/skelи обновить /etc/adduser.conf(строка " DIR_MODE=0755") до 0700.


Вы не можете ограничить пользователя "домашним каталогом и ничем \" выше \ "" без большой головной боли, и это также не имеет смысла (по крайней мере для меня):

  • Чтобы выполнить любую программу, пользователь должен иметь к ней доступ для чтения.
  • Чтобы использовать разделяемые библиотеки, программа должна иметь доступ к ним для чтения.
  • Для чтения общесистемных файлов конфигурации и ресурсов также необходим доступ для чтения.

Это пишет доступ , вы должны бояться, и разрешение по умолчанию уже предотвратить писать в любом месте , за исключением несколько мест.

grawity
источник
хорошо, что это за "несколько мест" ?! Это очень важно для меня.
migajek
@vic: find / -xdev -type d -a \( -path "$HOME" -prune \) -o \( -writable -a -executable \) -ls 2>/dev/null# здесь будут перечислены каталоги, к которым у вас есть права на запись.
Гравитация
1
Несколько мест - это файлы, в которых пароли хранятся в виде открытого текста или других важных данных. Например, если вы используете vpn и пакет pptp-linux. Пароль будет храниться в / etc / ppp / pap-secrets или / etc / ppp / chap-secrets или в папке выше. От чего это зависит, зависит от вашей установки и вашего программного обеспечения. Но в целом права по умолчанию для всех файлов установлены соответствующим образом.
Дароктар
как я сказал: «Но в целом права по умолчанию для всех файлов установлены соответствующим образом».
Дароктар
1

Этот поток немного староват, но в любом случае вы можете ограничить пользователей (очень строгие) домашним каталогом, изменив оболочку bash на rbash, если вы действительно этого хотите. Таким образом, пользователь не может использовать команду cd. Или измените владельца домашнего каталога, как указано выше. Но помните, что пользователь может выполнить bash, поэтому выполните ограничительные настройки ...

Kashif
источник