Nastavení práv pro uživatele

[oukeys]

Dobrý den.
Mám server s distribucí Debian a přes putty jsme přidal uživatele adduser nick.
Jak a kde prosím nastavit to, aby tento uživatel směl pouze do nějaké složky a tam třeba mohl spustit script?

Potřebuji mu povolit jen přístup do složky /bin/servers, kde mám různé scripty, na které by se měl dostat, popřípadě by je měl umět jen spustit, nikoliv upravovat.

S linuxem moc neumím.
Předem děkuji

[Reklama]

[Petr Krčmář]

Nejjednodušší bude přidat uživatele do nějaké skupiny a té skupině pak dát práva na adresář a skripty r-x. Tedy číst a spouštět. Do systémových adresářů zapisovat nemůže, takže tím je to vyřešeno. Nebo je ještě další problém?

[oukeys]

Jak jsem psal, s linuxem bohužel moc neumím.
Maximálně umím tedy vytvořit skupinu a na adresář a scripty pak dát práva, ale jak nastavím to, aby mohl pouze do určené složky?

[Petr Krčmář]

Co znamená „aby mohl pouze do určené složky“? Není možné zakázat uživateli přístup do systémových adresářů. On tam potřebuje, aby si spustil shell, aby mohl nahrávat knihovny a podobně. Existuje možnost zkopírovat část systémových souborů do toho adresáře a pak tam uživatele pomocí chroot zavřít. Ale to není ani triviální ani doopravdy spolehlivé.

Lepší bude, když na to půjdeme jinak: Čeho a proč chcete dosáhnout?

[oukeys]

Kamarád mi dělá webovou administraci pro herní servery.
Dříve jsem k tomu používal sudo, jenže teď administrace musela být na localhostu, v tuto chvíli máme více serverů a chceme tedy udělat webovou administraci jednu globální. Kamarád psal, že se to může udělat pomocí ssh uživatele a chce abych mu udělal přístup k serveru a jen ke složce /bin/servers kde jsou ovládací scripty. Já osobně mu chci přístup také omezit, aby se nedostal nikam jinam a nemohl s tím nic udělat ""

[Reklama]

[none]

Ty blaho, predstava, ze nekde bezi servery s takovym spravcem a ze dokonce nekdo s takovymi znalostmi pise webovy interface me trochu desi...

[Tom_R]

bude mit do te slozky pristup jen jediny konkretni uzivatel?  pokud ano zmenil bych pomoci "chown" vlastnika slozky a pomoci "chmod" mu mu nastavil r-x------

...zatimco jsem psal jsi napsal tvuj post....chapu to tak spravne, ze vlastne pristupujici nesmi mit pravo nikde nic editovat ale ovladaci scripty nejspis potrebuji sudo?

[Petr Krčmář]

Aha, tohle už je jasnější. V tom případě doporučuji k nahlédnutí článek Jak nahradit FTP pomocí SFTP a zamknout uživatele. Zhruba uprostřed je kapitolka „SFTP jako náhrada FTP“ a tam je v prvním příkladu použita direktiva ChrootDirectory, která tohle zamykání umí. Doporučuji ten článek přečíst do konce, je tam omezení zápisu do toho nejvyššího adresáře a je tam vysvětleno proč a jak se s tím vypořádat.

[oukeys]

Ty blaho, predstava, ze nekde bezi servery s takovym spravcem a ze dokonce nekdo s takovymi znalostmi pise webovy interface me trochu desi...

Mne děsí mnohem více věcí v tomto světě, ...... Jinak webový interace nepíši já, ale nebudu dávat někomu přístup přes root, aby si nastavil co potřebuje a může to být i ten nejlepší kamarád.
Mé znalosti jsou dosti vyhovující na to abych mohl provozovat kvalitní gamehosting a svědčí o tom má klientela a 6 let působení v tomto odvětví. Bohužel jsem se naučil věci jen potřebné k základnímu nastavení serveru. To že neumím omezit práva,atd.. je věc druhá .

[oukeys]

Aha, tohle už je jasnější. V tom případě doporučuji k nahlédnutí článek Jak nahradit FTP pomocí SFTP a zamknout uživatele. Zhruba uprostřed je kapitolka „SFTP jako náhrada FTP“ a tam je v prvním příkladu použita direktiva ChrootDirectory, která tohle zamykání umí. Doporučuji ten článek přečíst do konce, je tam omezení zápisu do toho nejvyššího adresáře a je tam vysvětleno proč a jak se s tím vypořádat.

Mnohokrát děkuji, tento příspěvek si přečtu. Přeji hezký zbytek dne.

[none]

Ty blaho, predstava, ze nekde bezi servery s takovym spravcem a ze dokonce nekdo s takovymi znalostmi pise webovy interface me trochu desi...

Mne děsí mnohem více věcí v tomto světě, ...... Jinak webový interace nepíši já, ale nebudu dávat někomu přístup přes root, aby si nastavil co potřebuje a může to být i ten nejlepší kamarád.
Mé znalosti jsou dosti vyhovující na to abych mohl provozovat kvalitní gamehosting a svědčí o tom má klientela a 6 let působení v tomto odvětví. Bohužel jsem se naučil věci jen potřebné k základnímu nastavení serveru. To že neumím omezit práva,atd.. je věc druhá .

Posli odkaz, to se mi nechce verit... Mezi zakladni nastaveni serveru patri prave omezeni prav a prinejmensim zakladni schopnost cist a hledat v dokumentaci. Naopak provoz gamehostingu mezi ne rozhodne nepatri. Neber to jako osobni kritiku, ale jako konstatovani, ze 'dneska je administrator uplne kazdy' a podle toho taky vypadaji treba mailove schranky s hromadami spamu a kvuli tomu mam spoustu prace s abuse .