URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 43628
[ Назад ]
Исходное сообщение
"Ограничить юзеров домашним каталогом"
Отправлено xOr , 05-Май-04 19:37 
Подскажите, пожалуйста, как в системе FreeBSD 4.9 сделать невидимым для рядовых пользователей (во всяком случае входдящих через SSH и через FTP) всё что выше их домашнего каталога. То есть например, чтобы /home/user стал для пользователя корнем.

Дело в том, что в системе приходится держать учётные записи для людей, которым нужна почта и доступ по FTP к своему сайту, а больше никакого доступа они получать не должны.

Содержание
Сообщения в этом обсуждении
"Ограничить юзеров домашним каталогом"
Отправлено Xeon , 06-Май-04 04:39 
В vsftpd chroot_local_user=YES и всё ок.
Что касается SSH, то где-то были патчи.
"Ограничить юзеров домашним каталогом"
Отправлено mikeask , 06-Май-04 05:54 
Можно создать файл /etc/ftpchroot и там писать юзеров которые не могут подниматься выше своего домашнего католога, а для ssh я cделал чтоб он был только для группы wheel

"Ограничить юзеров домашним каталогом"
Отправлено Chris , 06-Май-04 10:33 
chrootjail :-) его вместо шела, и ограничивайте сколько хотите :-)
"Ограничить юзеров домашним каталогом"
Отправлено xOr , 06-Май-04 11:57 
Спасибо за советы!

С vsftpd заморачиваться не хочется. Придётся ещё разбираться, как его настроить.

chrootjail команды нет вообще, есть chroot и jail.  Но с ними неудобно, надо копировать в домашний каталог служебыне программы, так как они уже будут недоступны.

ftpchroot работает, правда добавлять туда всех пользователей не очень удобно. А нет ли файла, в который можно добавить тех, для кого не недо изменять корень :).

И ещё очень хочется узнать, как разрешить SSH только для группы wheel. Действительно, кроме меня доступ вообще никому не нужен.

"Ограничить юзеров домашним каталогом"
Отправлено mikeask , 06-Май-04 12:05 
файл /etc/ssh/sshd_config строка AllowGroups sshuser wheel

"Ограничить юзеров домашним каталогом"
Отправлено lavr , 06-Май-04 12:20 
>Подскажите, пожалуйста, как в системе FreeBSD 4.9 сделать невидимым для рядовых пользователей
>(во всяком случае входдящих через SSH и через FTP) всё что
>выше их домашнего каталога. То есть например, чтобы /home/user стал для
>пользователя корнем.
>
>Дело в том, что в системе приходится держать учётные записи для людей,
>которым нужна почта и доступ по FTP к своему сайту, а
>больше никакого доступа они получать не должны.

если кроме почты и ftp другой доступ не нужен - заменить всем пользователям SHELL на nologin (внести в /etc/shells) - закрыли
интерактивный on-line доступ, затем настроить ftpd:

# man ftpd
# man ftpchroot

там все понятно и доступно расписано, заводишь пользователей в конкретную
группу и настраиваешь ftpchroot один раз и все, больше никаких телодвижений. Но лучше vsftpd - ну очень он прост в установке и настройке.

"Ограничить юзеров домашним каталогом"
Отправлено EvilX , 06-Май-04 13:01 
ЧТо бы совсем круто, то посмотри UML-User Mode Linux :)
Правда это под Линукс, но через compat думаю можно попробовать извратиться...

"Ограничить юзеров домашним каталогом"
Отправлено xOr , 06-Май-04 17:09 
Всем спасибо!

Получилось. AllowGroups после простого killall -HUP sshd не заработал (видимо надо перезагрузить), а вот через nologin всё получилось.


"Ограничить юзеров домашним каталогом"
Отправлено lavr , 06-Май-04 17:26 
>Всем спасибо!
>
>Получилось. AllowGroups после простого killall -HUP sshd не заработал (видимо надо перезагрузить),
>а вот через nologin всё получилось.

# ps -axuww | grep sshd - находишь начальный процесс и именно ему
выдаешь kill -HUP номер, или

# kill -HUP `cat /var/run/sshd.pid`