Linux用户无法在其主目录外读取或编辑 -- linux 领域 和 users 领域 和 user-permissions 领域 服务器管理 相关 的问题

Linux user cannot read or edit outside their home directory


简体版||繁體版
0
vote

问题

中文

我想知道如何在Linux上设置用户帐户,其中用户无法在其主目录外读取或编辑。

谢谢, 本

英文原文

I was wondering how to setup user accounts on linux where the user cannot read or edit outside their home directory.

Thanks, Ben

        
 
 

回答列表

6
 
vote

一般来说,你想把它们加入他们的主目录。如果您在"Linux Chroot主目录" 这样的内容上进行谷歌搜索,您将在主题上提高数百个HOWTO。

它并不像运行单个命令一样简单。

 

Generally you want to chroot them into their home directory. If you do a google search on something like "linux chroot home directory" You will pull up hundreds of howto's on the subject.

It's just not as easy as running a single command.

 
 
1
 
vote

有效问题,+1删除负面投票。迈克是实现你所寻求的"正确的方式" 。

直接答案(以及拟人的做法)是搞砸系统的权限。您可能会认为大规模的Chmod -R 750 *会这样做,但是,您的用户将无法运行程序或读取/ etc中的重要初始化文件。

仍然可以授予人们访问重要信息,是Chmod目录到751或711,它是 drwx--x--x 。这允许人们"执行" 文件夹,这让他们进入它,但无法获得目录列表。因此,如果Chmod 751(或711)/ etc,则某人仍然可以读取644的普通文件,如果他们知道这些文件就在那里。所以你可以<代码> cat /etc/hosts 或其他重要的设置文件,以便正常运行。

这不是我可能称之为真正的方式(或正确答案),但这是我作为用户在仍然保留一些隐私的同时与其他用户共享服务。


现在我现在考虑了这一点,这个问题的实际方案可能是授权对用户临时SSH访问的温和偏执的虚拟主机。我会尝试像 find /etc/ -R -type d -perm 755 -print0 | xargs -0 chmod 711 这样的东西,这可能实际上让人们远离太多。如果有人真的很好,显然,他们会猜测文件名...

另一个真正的奇怪案例 711 目录权限是在文件服务器上设置Samba共享,仍然给个人用户自己的家庭目录。设置为SO:

drwx--S--T. 38 chris samba 12K 2012-06-14 17:16 chris

 

Valid question, +1 to remove negative vote. Mike's is the "proper way" to achieve what you seek.

The direct answer (and a PITA way of doing things) is to screw up your system's permissions. You might think that a massive chmod -R 750 * would do it, however then your users will not be able to run programs or read important initialization files in /etc.

What I would do to still grant people access to important info is chmod directories to 751 or 711, which is drwx--x--x. This allows people to "execute" a folder, which lets them go into it but they cannot get a directory listing. So if you chmod 751 (or 711) /etc, someone can still read normal files that are 644 if they know these files are there. So you could cat /etc/hosts or other important setup files in order to operate as normal.

It's not what I might call the true way (or correct answer), but this is what I would do as a user to share services with other users while still keeping some privacy.


Now that I've thought more about this, an actual scenario for this question might be the mildly paranoid virtual host granting occasional ssh access to users. I would try something like find /etc/ -R -type d -perm 755 -print0 | xargs -0 chmod 711 This might actually keep people from snooping around too much. If someone were real good, obviously, they'll guess file names...

Another real case for weird 711 directory permissions is setting up a samba share on a fileserver and still give individual users their own home directories on the share. That gets set as so:

drwx--S--T. 38 chris samba 12K 2012-06-14 17:16 chris

 
 

相关问题

4  域控制器上的计划任务的权限  ( Permissions for scheduled tasks on a domain controller ) 
我正在尝试在2008 R2域控制器上运行预定的任务,直到我将其设置为生产环境。我正在运行任务作为在"登录为批处理作业" 设置中定义的域用户。对于Giggles,我还将帐户添加到前者失败后"允许本地登录" 。 当我在设置任务后提示输入密码时,我收到错误:"任务发生错误########。错误消息:报告以下错误:登录失败:...

2  WebDAV用户权限对每个文件的基础  ( Webdav user permissions on a per file basis ) 
我的团队和我正在使用Apache 2.2构建WebDAV服务器。 我们遇到了用户权限的问题。我们目前已设置,以便用户权限为服务器上的文件夹工作,但其中一个团队成员感觉不够。 他所设想的系统允许用户访问任何文件夹,但它们只能看到该文件夹​​的所有者给出它们权限查看的文件。 我在线看到的所有webdav权限素材只有提交文...

0  Apache etc / www /目录作为用户主目录  ( Apache etc www directory as user home directory ) 
我正在运行一个Ubuntu 12.04.3服务器,我正在尝试配置一些虚拟主机。 我在这里跟随了本指南 但不是使用 var / www 文件夹中的目录我使用了一个新的用户我创建的home文件夹,所以我可以为每个网站拥有一个简单的ftp登录,他们是彼此的方式; IE。 home / newuser / live...

1  如何让用户更改无管理权限的网络设置,托管网络模式更改,RunAs  ( How to let a user change network settings without admin rights hostednetwork mo ) 
我期待着使普通用户有可能而没有管理权限,因此他们可以将本地无线卡切换到主机(Windows Softap模式)。 此处的netsh命令清除 netsh wlan set hostednetwork mode=allow ssid=$WLANSSID key=$WLANKEY 因为我不希望用户能够安装软件,...

2  Windows服务作为Ad-Users的系统运行  ( Windows service run as system for ad users ) 
我创建了一个在后台启动程序的Windows服务,并确保WebApplication不需要进一步安装。 当我在管理员帐户中启动此服务时,后台程序会在用户名下在用户名下启动并运行 http://i.imgur.com/okql9ym.png 一切工作完美,我可以在没有额外信息等的情况下访问该网站。 当我注销时,...

0  如何在IIS .NET Framework中授予特定页面访问权限  ( How to grant specific page access in iis net framework ) 
我正在尝试向IIS中的特定页面授予任何人。我在这个文件夹中有关.NET Framework网站的主文件夹。在此文件夹中,我拥有具有的Web.config文件 <authentication mode="Windows"> </authentication> </system.web> <authoriz...

19  锁定开发人员的机器比其价值更努力吗? [关闭]  ( Is locking down a developers machine more effort than its worth ) 
关闭。这个问题是基于意见的。它目前不接受答案。 关闭 6年前。 锁定。这个问题及其答案是锁定,因为问题是off-top,但具有历史意义。它目前没有接受新的答案或互动。 ...

0  Linux用户无法在其主目录外读取或编辑  ( Linux user cannot read or edit outside their home directory ) 
我想知道如何在Linux上设置用户帐户,其中用户无法在其主目录外读取或编辑。 谢谢, 本 ...

-1  用户可以制作系统范围的变化是什么? [关闭]  ( What system wide changes can a user make ) 
关闭。这个问题需要更多聚焦。它目前不接受答案。 想要改进这个问题?更新问题,因此它仅拍摄了一个问题,只有编辑此帖。 关闭 6年前。 ...

0  www-data的意图  ( Intention of www data ) 
所以我一直在想知道www-data用户/组的真正目的。我应该将其他程序员包含在此组中,该组将在网站root中编辑文件吗?是否应该由www-data拥有的所有文件? ...




© 2022 it.wenda123.org All Rights Reserved. 问答之家 版权所有