Benutzerrechte zuweisen

  • Guten Abend,
    besteht die Möglichkeit einen Nutzer anzulegen der nur Zugriff auf einen Ordner hat? Darin soll er machen können was er möchte (Programme installieren etc..), aber außerhalb davon soll er keinerlei Rechte (wie zb. einen neuen Ordner erstellen) haben.
    Wenn ja, wie?
    Vielen Dank schon mal!
    Mfg Dextinator

  • Die Frage ist erst einmal wie bekommt er Zugriff und was sind das für Programme?
    Hat er ssh Zugriff?
    libpam-chroot benutzen. Dazu in der /etc/pam.d/ssh aktivieren.

    Code
    1. session required pam_chroot.so


    Chroot Umgebung für den User einrichten.
    Skripte unter /usr/share/doc/libpam-chroot/examples/, alternativ makejail oder minimale Debian-Umgebung mit debootstrap wenn es z.B. ein Raspbian ist.


    User in /etc/security/chroot.conf eintragen damit er in die Chroot Umgebung eingesperrt wird.
    In der /etc/ssh/sshd_config

    Code
    1. UsePrivilegeSeparation no


    Falls UsePrivilegeSeparation no nicht gesetzt ist musst Du in der Chroot Umgebung eine /etc/passwd mit dem User haben, also anlegen.
    Das Dateisystem /proc muss in der Chroot-Umgebung des Benutzers gemountet sein. Das kannst Du einfach mit mount und als bind in die Chroot mounten.
    Die notwendigen Geräte unter /dev/pts/ müssen vorhanden sein. Das macht der Kernel eigentlich von selbst da sie im Kernel vorhanden sind. Es reicht also in der Chroot /dev anzulegen.
    Das Home-Verzeichnis des Benutzers muss in der Chroot-Umgebung existieren. sollte klar dein :)
    Automatisch zusammengefügt:[hr]

    Zitat von "xRay33" pid='292712' dateline='1501094559'


    Hey damit müsste es funktionieren:

    Code
    1. sudo adduser NAME --home /PFAD/ZUM/ORDNER


    Damit legt er einfach nur einen User an. Wenn der sich dann mit ssh verbinden kann er aber ganz normal ausserhalb von /PFAD/ZUM/ORDNER Dinge machen. Der User wird zwar nicht überall schreiben können. /tmp auf jedenfall. Wenn auf Dateien in anderen Homedirs oder /usr/local/bin z.B. falsche Berechtigungen auch Befehle und Scripte anderer ändern die schlimmeres anrichten oder dafür sorgen das der User nach dem Ausführen dieser Scripte weitere Rechte hat als gewünscht.

  • Hallo Dextinator!


    Defaultmässig bekommt ein neu angelegter User nur eine eigene UserID und GroupID, solange in /etc/default/useradd keine Änderung vorgenommen wurde.


    Damit hat er nur im eigenen HomeDir normalerweise Schreibrechte.


    Er kann aber weltweit Dateien lesen, schreiben und ausführen, wenn die Dateirechte vom Eigentüber so gesetzt wurden und weltweit jedermann das Auflisten der Dateien in einem Verzeichnis gestattet wird.


    Lesen berechtigt aber auch zum Kopieren, wobei im Kopierziel die Datei aber die Rechte des Kopierenden erhält.



    Servus

    Wer nichts weiß, muss alles glauben.

    Einmal editiert, zuletzt von RTFM ()

  • Hallo,


    nur der Vollständigkeit wegen ... ;)


    Zitat von "RTFM" pid='292719' dateline='1501095652'

    ... wobei im Kopierziel die Datei aber die Rechte des Kopierenden erhält.


    Was allerdings (leider) nur für "linuxaffine" Dateisysteme gilt. Z.B. bei einem externen Speicher, der mit NTFS formatiert ist verhält es sich anders.

    "Alles, was wir sind, ist Sand im Wind, Hoschi."

    Einmal editiert, zuletzt von hyle ()

  • Zitat von "hyle" pid='292725' dateline='1501096724'

    Was allerdings (leider) nur für "linuxaffine" Dateisysteme gilt. Z.B. bei einem externen Speicher, der mit NTFS formatiert ist verhält es sich anders.


    NTFS würde das schon auch mit Posix ACLs schaffen. Habe aber noch keine "Anleitung" gefunden, die auf die Access-Controll-List unter NTFS eingeht, weil es "funktioniert" ja ohne auch, v.A. unter Windows.



    Servus !

    Wer nichts weiß, muss alles glauben.

  • Dextinator : Sorry, dass das etwas ins OT abdriftet (wobei nicht wirklich, da es um Rechteverwaltung geht). Zum Verständnis noch ein Link: https://wiki.ubuntuusers.de/Rechte


    RTFM : In geschlossenen Linuxsystemen würde das evtl. funktionieren, aber deshalb das Beispiel mit externem Speicher (USB-Stick usw.) == Turnschuhnetzwerk zum Windowsrechner == Dateirechte im Ar... :stumm: Nebenbei gilt übrigens auch das gleiche für Dateien (auch von einer linuxformatierten Partition), die per (Win)SCP auf einen Windowskübel gezogen werden, da sind auch die Rechte im Argen. Das aber eher als Info für den TO. ;)

    "Alles, was wir sind, ist Sand im Wind, Hoschi."

    Einmal editiert, zuletzt von hyle ()