Uprawnienia VPS

Fake | 2018-06-21 13:32:51 UTC | #1

Witam, mam problem z uprawnianiami na VPS.

Chcę zrobić nową grupę na serwerze i zabrać jej wszystkie uprawnienia.
Do tej grupy chcę dodać użytkownika np. Tester
I dla użytkownika Tester chcę ustawić katalog domowy np. /var/www/stronainternetowa
I chcę by ten użytkownik nie mógł z tego katalogu wychodzić, ale w nim robić wszystko.

Próbowałem już to robić ale wywaliłem wszystkie uprawnienia z VPS i musiałem przeinstalowywać cały serwer, bo nawet root nie miał uprawnień.

Wersja systemu to: Ubuntu 18.04 LTS (GNU/Linux 4.15.0-23-generic x86_64)


SystemZ | 2018-06-21 14:44:34 UTC | #2

Nie jestem pewien po co chcesz odbierać wszystkie uprawnienia. Wystarczy nie dodawać nowych po utworzeniu konta. Do większości zastosowań starczy.

Jeśli chcesz trzymać usera siłą w katalogu to możesz użyć chroot ale to dziś dość przestarzały mechanizm.
Sugeruję użycie maszyn wirtualnych KVM, kontenerów LXC czy LXD, ewentualnie Dockera w zależności od potrzeb i zastosowań.


Fake | 2018-06-21 15:05:50 UTC | #3

A po polsku?

// jak zablokować mu wyjście z tego konkretnego folderu


SystemZ | 2018-06-21 15:11:16 UTC | #4

Jeśli zarządzasz serwerem to sądzę że powinieneś rozumieć o czym piszę, jeśli nie to opisz co dokładnie chcesz zrealizować.

Wydajesz się pomijać konkretny cel który chcesz osiągnąć.
Odbieranie uprawnień czy ich poszczególne wydzielanie to tylko narzędzia.
Opisz dokładnie co chciałbyś zrobić, może są lepsze i prostsze narzędzia aby to osiągnąć :slight_smile:


Fake | 2018-06-21 17:26:37 UTC | #5

Dopiero zaczynam przygodę z serwerami.

Chcę zrobić nowego użytkownika który będzie miał swój katalog domowy i nie będzie miał możliwości wyjścia z niego.


Timo | 2018-06-21 17:36:54 UTC | #6

https://forum.lvlup.pro/t/konto-sftp-uzytkownika-z-dostepem-jedynie-do-katalogu-domowego/5978


Fake | 2018-06-21 18:03:21 UTC | #7

A jak to zrobić w innym katalogu, nie w /home ?

Mój cel jest taki, że chcę dać koledze dostęp do jego folderu gdzie będzie mógł trzymać swoje strony internetowe, ale nie chcę by “łaził mi” po serwerze, dlatego chcę go zatrzymać w przykładowo: /var/www/html/test Chcę, by w tym folderze mógł robić wszystko, ale nie mógł z niego wyjść, by nie móc ingerować w inne pliki serwera.


Timo | 2018-06-21 18:07:41 UTC | #8

Wtedy utwórz użytkownika w innym miejscu (z tego co pamiętam jest to parametr –home przy tworzeniu, ale upewnij się wpisując –help). Wtedy nadając mu chroota w odpowiedni sposób nie będzie mógł wyjść wyżej niż katalog uznany za domowy.


SystemZ | 2018-06-21 23:00:06 UTC | #9

[quote=”Fake, post:7, topic:7127”]
Mój cel jest taki, że chcę dać koledze dostęp do jego folderu gdzie będzie mógł trzymać swoje strony internetowe, ale nie chcę by “łaził mi” po serwerze
[/quote]

No i od tego właśnie powinieneś zacząć w pierwszym poście :slight_smile:

Jeśli uprawnienia do twoich plików np. w katalogu domowym są poprawne (czyli unikasz np. słynnego chmod 777) to nie ma problemu aby dać mu dostęp do standardowego konta gdyż i tak user nie ma jak Ci rozwalić systemu plików bo nie ma do tego uprawnień.

Jedyne co będziesz musiał zrobić później to wczytywać strony z jego katalogu domowego do którego ma pełny dostęp. Jest to oczywiście jedno z wielu rozwiązań, ale sądzę że najprostsze.

Unikałbym chroota bo to może dać Ci złudne poczucie bezpieczeństwa.


system | 2018-07-23 23:00:09 UTC | #10

Ten temat został automatycznie zamknięty 32 dni po ostatnim wpisie. Tworzenie nowych odpowiedzi nie jest już możliwe.