Fórum Root.cz
Hlavní témata => Server => Téma založeno: oukeys 16. 02. 2012, 12:15:12
-
Dobrý den.
Mám server s distribucí Debian a přes putty jsme přidal uživatele adduser nick.
Jak a kde prosím nastavit to, aby tento uživatel směl pouze do nějaké složky a tam třeba mohl spustit script?
Potřebuji mu povolit jen přístup do složky /bin/servers, kde mám různé scripty, na které by se měl dostat, popřípadě by je měl umět jen spustit, nikoliv upravovat.
S linuxem moc neumím.
Předem děkuji
-
Nejjednodušší bude přidat uživatele do nějaké skupiny a té skupině pak dát práva na adresář a skripty r-x. Tedy číst a spouštět. Do systémových adresářů zapisovat nemůže, takže tím je to vyřešeno. Nebo je ještě další problém?
-
Jak jsem psal, s linuxem bohužel moc neumím.
Maximálně umím tedy vytvořit skupinu a na adresář a scripty pak dát práva, ale jak nastavím to, aby mohl pouze do určené složky?
-
Co znamená „aby mohl pouze do určené složky“? Není možné zakázat uživateli přístup do systémových adresářů. On tam potřebuje, aby si spustil shell, aby mohl nahrávat knihovny a podobně. Existuje možnost zkopírovat část systémových souborů do toho adresáře a pak tam uživatele pomocí chroot zavřít. Ale to není ani triviální ani doopravdy spolehlivé.
Lepší bude, když na to půjdeme jinak: Čeho a proč chcete dosáhnout?
-
Kamarád mi dělá webovou administraci pro herní servery.
Dříve jsem k tomu používal sudo, jenže teď administrace musela být na localhostu, v tuto chvíli máme více serverů a chceme tedy udělat webovou administraci jednu globální. Kamarád psal, že se to může udělat pomocí ssh uživatele a chce abych mu udělal přístup k serveru a jen ke složce /bin/servers kde jsou ovládací scripty. Já osobně mu chci přístup také omezit, aby se nedostal nikam jinam a nemohl s tím nic udělat ""
-
Ty blaho, predstava, ze nekde bezi servery s takovym spravcem a ze dokonce nekdo s takovymi znalostmi pise webovy interface me trochu desi...
-
bude mit do te slozky pristup jen jediny konkretni uzivatel? pokud ano zmenil bych pomoci "chown" vlastnika slozky a pomoci "chmod" mu mu nastavil r-x------
...zatimco jsem psal jsi napsal tvuj post....chapu to tak spravne, ze vlastne pristupujici nesmi mit pravo nikde nic editovat ale ovladaci scripty nejspis potrebuji sudo?
-
Aha, tohle už je jasnější. V tom případě doporučuji k nahlédnutí článek Jak nahradit FTP pomocí SFTP a zamknout uživatele (http://www.root.cz/clanky/jak-nahradit-ftp-pomoci-sftp-a-zamknout-uzivatele/). Zhruba uprostřed je kapitolka „SFTP jako náhrada FTP“ a tam je v prvním příkladu použita direktiva ChrootDirectory, která tohle zamykání umí. Doporučuji ten článek přečíst do konce, je tam omezení zápisu do toho nejvyššího adresáře a je tam vysvětleno proč a jak se s tím vypořádat.
-
Ty blaho, predstava, ze nekde bezi servery s takovym spravcem a ze dokonce nekdo s takovymi znalostmi pise webovy interface me trochu desi...
Mne děsí mnohem více věcí v tomto světě, ...... Jinak webový interace nepíši já, ale nebudu dávat někomu přístup přes root, aby si nastavil co potřebuje a může to být i ten nejlepší kamarád.
Mé znalosti jsou dosti vyhovující na to abych mohl provozovat kvalitní gamehosting a svědčí o tom má klientela a 6 let působení v tomto odvětví. Bohužel jsem se naučil věci jen potřebné k základnímu nastavení serveru. To že neumím omezit práva,atd.. je věc druhá .
-
Aha, tohle už je jasnější. V tom případě doporučuji k nahlédnutí článek Jak nahradit FTP pomocí SFTP a zamknout uživatele (http://www.root.cz/clanky/jak-nahradit-ftp-pomoci-sftp-a-zamknout-uzivatele/). Zhruba uprostřed je kapitolka „SFTP jako náhrada FTP“ a tam je v prvním příkladu použita direktiva ChrootDirectory, která tohle zamykání umí. Doporučuji ten článek přečíst do konce, je tam omezení zápisu do toho nejvyššího adresáře a je tam vysvětleno proč a jak se s tím vypořádat.
Mnohokrát děkuji, tento příspěvek si přečtu. Přeji hezký zbytek dne.
-
Ty blaho, predstava, ze nekde bezi servery s takovym spravcem a ze dokonce nekdo s takovymi znalostmi pise webovy interface me trochu desi...
Mne děsí mnohem více věcí v tomto světě, ...... Jinak webový interace nepíši já, ale nebudu dávat někomu přístup přes root, aby si nastavil co potřebuje a může to být i ten nejlepší kamarád.
Mé znalosti jsou dosti vyhovující na to abych mohl provozovat kvalitní gamehosting a svědčí o tom má klientela a 6 let působení v tomto odvětví. Bohužel jsem se naučil věci jen potřebné k základnímu nastavení serveru. To že neumím omezit práva,atd.. je věc druhá .
Posli odkaz, to se mi nechce verit... Mezi zakladni nastaveni serveru patri prave omezeni prav a prinejmensim zakladni schopnost cist a hledat v dokumentaci. Naopak provoz gamehostingu mezi ne rozhodne nepatri. Neber to jako osobni kritiku, ale jako konstatovani, ze 'dneska je administrator uplne kazdy' a podle toho taky vypadaji treba mailove schranky s hromadami spamu a kvuli tomu mam spoustu prace s abuse :(.