Ubuntu: limitare l'account utente solo per accedere alla sua home directory

4

Ho appena creato un nuovo account utente, ma il nuovo utente è in grado di accedere a tutte le strutture delle directory (comprese le home directory degli altri). Vorrei limitare l'utente ad accedere SOLO alla sua home directory (e niente "sopra"). Come faccio a fare questo?

linux  ubuntu  privileges  user 
migajek
fonte

Risposte:

3

Impostare le modalità su tutte le home directory su 0700 .

Facoltativamente, impostare umask predefinito su 077. In Ubuntu, modifica la umask 022riga " " /etc/profile. Facoltativamente, aggiorna la configurazione PAM in /etc/pam.d/common-session( pam_umask.so umask=077 usergroups).

Facoltativamente, chmod /etc/skele aggiorna /etc/adduser.conf(riga " DIR_MODE=0755") a 0700.

Non puoi limitare un utente a "home directory e niente \" sopra \ "" senza molto mal di testa, e non ha nemmeno senso (almeno per me):

  • Per eseguire qualsiasi programma, l'utente deve disporre dell'accesso "in lettura" ad esso.
  • Per utilizzare le librerie condivise, un programma deve avere accesso "in lettura" ad esse.
  • Per leggere i file e le risorse di configurazione dell'intero sistema, è necessario anche l'accesso "in lettura".

È un accesso in scrittura di cui dovresti avere paura e le autorizzazioni predefinite impediscono già di scrivere ovunque tranne che in alcune posizioni.

grawity
fonte
ok, quali sono queste "poche località" ?! È abbastanza importante per me.
migajek,
@vic: find / -xdev -type d -a \( -path "$HOME" -prune \) -o \( -writable -a -executable \) -ls 2>/dev/null# questo elencherà le directory a cui hai accesso in scrittura.
gravità
1
Le poche posizioni sono file in cui le password sono memorizzate in testo chiaro o altri dati sensibili. Ad esempio, se si utilizza vpn e il pacchetto pptp-linux. La password sarà memorizzata in / etc / ppp / pap-secrets o / etc / ppp / chap-secrets o in una cartella sopra. Quali sono i posti dipendono davvero dalla tua configurazione e dal tuo software. Ma in generale i diritti predefiniti per tutti i file sono impostati appropriati.
Darokthar,
come ho detto: "Ma in generale i diritti predefiniti per tutti i file sono impostati appropriati".
Darokthar,
1

Questo thread è un po 'vecchio ma puoi comunque limitare gli utenti (molto restrittivi) alla home directory cambiando la shell bash in rbash se lo vuoi davvero. In questo modo l'utente non può essere in grado di usare il comando cd. Oppure modifica il proprietario della directory home come indicato sopra. Ma ricorda che l'utente può eseguire bash quindi esegui impostazioni restrittive ...

Kashif
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.