да ми гледа какво имам на уиндоуските дялове, когато се логне през ssh? Направила съм на един колега акаунт да ми ъплоадва разни неща, но искам само моя си юзър да може да гледа какво имам на уиндоуса. На него не му трябва. Изобщо как да рестриктна юзъра дето ми се логва през ssh да може да ъплоадва само, без право да пише команди cd, ls и т.н.?

Zdravei otnovo milena. Tova dali shte ti gleda Windowskiqt dql ili ne zavisi toi s kakvi prava e, kogato dadesh ls -all shte go vidish.

Harakterno za Windowskiqt dql e che toi nai veroqtno shte e fat32, i tui kato failovata sistema n e e ext3 ili nqkoi podobna Linuxova, v neq tezi flagove defakto ne sushtestvuvat i ne mogat da se zapisvat v neq samata. S kakvi prava shte budat failovete i direktoriite zavisi kak shte e montirana failovata sistema. Nai veroqtno tazi failova sistema na Windowsa ti se montira avtomatichno ot faila fstab. Sega shte ti kaja kak taka da napravish che da q vijdash samo ti.

Znachi kakto spomenahme vuv faila imash redche koeto montira s poredeleni opciiki, kato default naprimer. Ima nqkolko drugi opciiki koito shte ti svurshat rabota. Kato za nachalo samata failova sistema mojesh taka da q montirash che da prenadleji na opredelen user i grupa, za celta se izpolzvat opciite uid= i gid=
Sled znaka = se pishat chisla, koito mogat da se vidqt kato catnesh faila passwd v /etc. Taka veche vsichki failove v Widnwos dql-a shte sa na tvoqt user. Sega e neobhodimo da vidish samite argumenti na failovete s la-all. Za da ne moje da gi vijda drug user znaesh che poslednite 6 polenca na flagovete trqbva da sa terenca bez bukvichki. Tuk vliza v sila oshte edna opciq za montirane, s koqto mojesh da kajesh s kakvi argumenti da budat montirani failovete, tq e umask.

I takam s tezi trichkite komandi koito ti kazah si reshavash problema samo ot tvoqt userski account da moje da se chetat failovete na Windowsa.

Sega po otnoshenie na tova userite da ne mogat da listvat opredeleni direktorii. Moje bezproblemno da promenish pravata na nqkoi direktorii i potrebitelqt razlichen ot root da ne moje da gleda sudurjanieto v tqh. Na praktika tova nqma da se otrazi na rabotta na sistemata. Pri slack moje da se napishe :

chmod 751 /{bin,boot,dev,etc,lib,lost+found,opt,proc,sbin,usr,var}
chmod 1777 /tmp
chmod 700 /root

Taka, tova sum go kopiral direktno ot http://georgi.unixsol.org/iclub/ :)

Drugiqt variqnt e chastichno na opredeleni instrumenti da promenqsh flagovete i te da moga da se izpulnqvat samo ot root. Flaga za izpulnenie na vseki instrument e x, ako v poslednite 6 terenca nqma x faila nqma da moje da se izpulni ot potrebitel razlichen ot root.

Za drugi kompleksno reshenie po vtorata chast chrez nqakuv tools trqva da kaje nqkoi drug na koito mi se e nalagalo da pravi takova neshto. Veroqtno ima drugi resheniq.

pulni gluposti

http://sublimation.org/scponly


DrFrancky

Koe a pulni gluposti, umask, uid, gid li. Tova e nai dobriqt metod da si ogranichi pravata na Windows dqla. A otnosno vtorata chast ot vuprosa tvoeto reshenie s alternativen shell vmesto da se izpolzva standartniqt bash e sushto dobro :)

Shte te pomolq sledvashtiqt put vmesto da pishesh neshtao t sorta pulni gluposti da pishesh tochno konkretno s koe ne si suglasen i koe ne e pravilno. Shtoto dumata pulni gluposti moje da bude napisana navsqkude i e priznak neznam na kakvo

/*
Изобщо как да рестриктна юзъра дето ми се логва през ssh да може да ъплоадва само, без право да пише команди cd, ls и т.н.?
*/

procheti si pak nestata i sam ste razberes che govoris pulni gluposti


DrFrancky

Dam, prochetah go pak. DOsta podrobno sum opisal po kakuv nachin da montira Windwos dql s opredelen uid i gid kakto i s opredeleni argumenti. Vuv vtorata chast sum i predlojil chastichno metod s koito moje da zabrani na nomalen userski account da izpulnqva opredelena komanda, kaktoi da listva opredelena direktoriq. Ne vijdam kude sa glupostite, kude e gluposta i prostotiqta. Kakto sum spomenal nai otdolu sum pomolil nqkoi da kaje konkretno reshenie s nqkakuv tools. Ti si napravil tova. Ne vijdam kakuv e porblema i za kakvo trqbva da pishesh neshta ot sorta na pulni gluposti i t.n.

.. да забраниш на някой да гледа извън кочинката си е chroot. Накратко, идеята е да не може да вижда нищо над посочена от теб директория.

Всичко това изглежда много сладко, но има малък детайл - нищо, ама наистина нищо над тази директория вече не е достъпно. Така че ако ще изпозваш подобни драстични мерки, трябва да се погрижиш в избраната от теб директория да има поне директория bin с основни неща като ls, rm, mv ... и не можеш да използваш символни връзки към оригиналната /bin; те няма да работят.

А ако някой просто ще прави upload, не му давай изобщо да влиза в машината ти. Можеш да му дадеш ftp достъп или, ако искаш да е с ssh, сложи му /bin/false като shell в /etc/passwd.

Редакция: /bin/false няма да му попречи да гледа монтираните дялове, само няма да може да изпълнява команди на машината ти. Нека някой предложи по-добро решение.

Понякога седя и си мисля, а понякога само си седя ...

Редактирано от Mackлин на 08.07.05 15:50.

Za sujalenie edin chovek (edin ot nai dobrite administratori v BG zanimavashti se s otvoren kod) beshe spomenal v svoqt blog zashto ne pishe v podobni clubove. Kakto toi spomenava, kogato napishesh neshto vinagi shte se nameri nqkoi da te izkara che pishesh gluposti, da se zaqde za nai malkoto i da ti vdigne kruvnoto. Otdelen e vuprosa za nivoto na postingite. Tozi chovek se okaza prav zasujalenie.

Milena, poveche ne vuznamerqvam da cheta i pisha tuk, zashtoto ne iskam da izpadam v bezsmisleni sporove. Kakto ti spomenah maila m e libcho@abv.bg
Ako ti potrqbvam i iskash da chuesh mnenieto mi po daden vupros moje da mi pishesh.


Tolkova ot men tuk, jelaq uspeh na vsichki!

А за какво му е ssh, ако само ще ъплоува?