Права доступа

[sergant1]

Добрый день не подскажите как можно реализовать следующее:
пользователь заходит на фтп сервер (сервак на дебиане) как сделать так чтобы он видел только к примеру свою папку, а все остальное (системные папки(root,usr,tmp,var.....),базы и тд и тп) не было видно,возможно ли это??? в самбе реализовать можно но начальство сказало без нее!

[Mage-Warrior]

Добрый день не подскажите как можно реализовать следующее:
пользователь заходит на фтп сервер (сервак на дебиане) как сделать так чтобы он видел только к примеру свою папку, а все остальное (системные папки(root,usr,tmp,var.....),базы и тд и тп) не было видно,возможно ли это??? в самбе реализовать можно но начальство сказало без нее!

"К примеру" или все-таки наличие отдельной папки для каждого пользователя обязательно? Если да, то нужна будет авторизация каждого отдельного пользователя. Если нет, то практически у любого ftp-сервера есть возможность chroot-а.
Вот, например, pureftpd с его документацией. Там есть различные методы аутентификации, в том числе, и анонимный вход.

[butch]

самба работает по смб.
фтп - из вариантов vsftpd - чрут каждого юзера в его хоум дир.
юзеры могут быть и виртаульными.

[sergant1]

а если обойтись без фтп, создать пользователя с домашним каталогом, то можно как то скрыть от него все системные файлы??вообще такое возможно???если есть ссылка киньте пожалуйста!заранее благодарен!

[pelmen]

Добрый день не подскажите как можно реализовать следующее:
пользователь заходит на фтп сервер

а если обойтись без фтп

И все таки, что нужно?

[danger08]

в самбе реализовать можно но начальство сказало без нее!

...

а если обойтись без фтп, создать пользователя с домашним каталогом, то можно как то скрыть от него все системные файлы??

Вы определитесь сначала, через SMB или FTP хотите сделать (или еще через что).
Вот тогда и дадут Вам решение.

[sergant1]

нужно одному покемону дать некое пространство на серваке но начальника сказал чтобы системные файло он не видел то есть сидел в своей папке и все!!!!

[pelmen]

Ну так дай ему это пространство. В чем проблема-то?

[sergant1]

Ну так дай ему это пространство. В чем проблема-то?

вопрос в том как это реализовать я просто не сталкивался с этим а если дам пространство то системные папки видно, как сделать чтобы их не было видно???

[Ленивая Бестолочь]

вам нужно, чтобы он там файлы складировал? по ftp/samba/nfs/... или работал по ssh/telnet/xdmcp/,,,,?
если файлы складировал - тогда вам уже ответили, используйте ftp с chroot-ом.
для примера:

Код: Выделить всё

aptitude install proftpd
nano  /etc/proftpd/proftpd.conf

раскоментируете строку

Код: Выделить всё

# DefaultRoot               ~

заводите вашего юзера (adduser/useradd) и вауля.

[sim1]

Добрый день не подскажите как можно реализовать следующее:
пользователь заходит на фтп сервер (сервак на дебиане) как сделать так чтобы он видел только к примеру свою папку, а все остальное (системные папки(root,usr,tmp,var.....),базы и тд и тп) не было видно,возможно ли это???

вопрос в том как это реализовать я просто не сталкивался с этим а если дам пространство то системные папки видно, как сделать чтобы их не было видно???

Это можно сделать стандартными средствами путем выставления прав на чтение и выполнения для определенных каталогов
man chown
man chmod

[Ленивая Бестолочь]

Это можно сделать стандартными средствами путем выставления прав на чтение и выполнения для определенных каталогов

не расскажите, как командами chown и chmod сделать так, чтобы пользователь не мог зайти в каталог /bin, например?
не говоря уже о том, чтобы его "не было видно'.

[sim1]

не расскажите, как командами chown и chmod сделать так, чтобы пользователь не мог зайти в каталог /bin, например?
не говоря уже о том, чтобы его "не было видно'.

Права доступа для каталога:
r - если установлено право на чтение из каталога, то можно увидеть его содержимое командой ls.
w - если установлено право записи в каталог, то может создавать и удалять файлы из данного каталога.
x - если установлено право исполнения на каталог, то имеем право перейти в такой каталог командами cd.

Ответ на ваш вопрос:

su root
chown -v root:rootgroup /bin
chmod 700 /bin

su someuser
cd /bin
cd: can't cd to /bin

ls /bin
ls: bin: Permission denied

[Ленивая Бестолочь]

Ответ на ваш вопрос:

так то оно так, но смысл моего вопроса был в том, чтобы обратить внимание - после произведённых действий юзер someuser в систему уже не войдет. т.к. /bin/login, /bin/bash и т.п. будут ему недоступны.
(su не считается, т.к. вы просто меняете юид, не перелогиниваясь при этом)
после "chmod 700 /bin" ваша система становится пригодной только для работы под рутом, что есть сомнительное удовольствие.

[drBatty]

chmod 700 /bin

тогда уж 750, и всех в группу, кроме этого юзера
для /bin надо 751, а то работать не будет.
хотя я не очень понимаю, зачем это? ну зайдёт, ну посмотрит на список, дальше что? в книжках тоже список есть. читать файлы всё равно не сможет...
а если сможет - значит неправильно настроены права.

[sergant1]

chmod 700 /bin

тогда уж 750, и всех в группу, кроме этого юзера
для /bin надо 751, а то работать не будет.
хотя я не очень понимаю, зачем это? ну зайдёт, ну посмотрит на список, дальше что? в книжках тоже список есть. читать файлы всё равно не сможет...
а если сможет - значит неправильно настроены права.

не моя прихоть!!по мне так я предлагал отдельный фтп сервак состряпать,начальство хочет так!!! я вообще последнее время заметил начальство любит создавать себе проблемы,ппц.

[drBatty]

по мне так я предлагал отдельный фтп сервак состряпать,начальство хочет так!!!

как? по smbfs? дык объясните начальству, что smbfs - суть зло маздайное
или по ssh?
скорее всего начальство смутно понимает разницу, и закладка в FireFox(или в дельфине/проводнике) на FTP сервер будет вполне убедительным аргументом - It's Work!.


ЗЫЖ если всё-таки надо - дык... ну запретите просто просмотр корня, типа chmod 750 / /home
тогда при попытке выхода по cd .. или cd / будет - отказано в доступе, тем не менее /bin/rm будет прекрасно работать. вроде так...
Вот ещё - поменяйте права каталогов с 755 на 711, тогда файлы из этих каталогов можно будет писать, читать, исполнять, но нельзя будет просмотреть их список

Код: Выделить всё

$ chmod 711 tst
$ ls -dl ~/tst
drwx--x--x 2 user1 user1 1024 2009-05-12 23:36 /home/user1/tst/
#другой юзер
$ cd ~
$ ../user1/tst/script
я скриптик
$ ls -l ../user1/tst
ls: невозможно открыть каталог ../user1/tst: Отказано в доступе
$ sed '' ../doc/user1/script
#!/bin/sh

echo "я скриптик"

exit

[sergant1]

не расскажите, как командами chown и chmod сделать так, чтобы пользователь не мог зайти в каталог /bin, например?
не говоря уже о том, чтобы его "не было видно'.

Права доступа для каталога:
r - если установлено право на чтение из каталога, то можно увидеть его содержимое командой ls.
w - если установлено право записи в каталог, то может создавать и удалять файлы из данного каталога.
x - если установлено право исполнения на каталог, то имеем право перейти в такой каталог командами cd.

Ответ на ваш вопрос:

su root
chown -v root:rootgroup /bin
chmod 700 /bin

su someuser
cd /bin
cd: can't cd to /bin

ls /bin
ls: bin: Permission denied

Уважаемый sim1 примного Вам благодарен и говорю спасибо это то что нужно!!!

[Zlodey]

Добрый вечер, уважаемые форумчане!
Подскажите плз, в чем может быть проблема: организовал общий доступ к папке в сети. Все компы могут просматривать содержимое, но чтение и запись файлов в этой папке не разрешено, кроме одного компьютера, который имеет полный доступ. Как разрешить всем остальным компьютерам запись и чтение файлов в данной папке? Заранее спасибо.
П.С. Не ругайте сильно, только начал изучать Линукс, но возникла необходимость срочно создать фтп-сервер. Используется Мандрива 2009

[strah]

to Zlodey: Каким способом хоть расшаривал то? SMB, NFS, или вообще FTP?

[drBatty]

Как разрешить всем остальным компьютерам запись и чтение файлов в данной папке? Заранее спасибо.
П.С. Не ругайте сильно, только начал изучать Линукс, но возникла необходимость срочно создать фтп-сервер. Используется Мандрива 2009

proftpd ?
# chmod 777 нужная_папка
в конфиге сервера

Код: Выделить всё

<Directory нужная папка>
    <Limit ALL>
        AllowAll
    </Limit>
</Directory>

Начните изучать гугл... Это совет...
Там набираете "настройка proftpd", и читаете. Умение читать по английски не обязательно, однако значительно ускорит поиск...


ЗЫЖ с
<Limit ALL>
AllowAll
</Limit>
я погорячился... Лучше вместо этих ALL поставить то что можно юзерам(это тоже совет... "можно всё" - это опасно).

[leviafan]

я вот тоже столкнулся с данной проблемой.
поставил FTP (pure)
там есть конечно опция для ограничивания пользователя в хоумке (ChrootEveryone yes), но мне еще надо расшарить для этого юзверя папку.
Без ChrootEveryone конечно все прокатывает и если проставить chmod 700 / то вообще кул. Но список директорий конечно раздражает очень сильно.
Возможно решить данную проблему? Или скрыть папки от пользователя или же как то добавить еще каталог для юзверя?