Bir Linux kullanıcısını sahip olduğu dosyalarla sınırlayın

Birden fazla (~ 100) müşterinin tek bir sunucuya kabuk erişimine sahip olduğu paylaşılan bir web barındırma şirketinin sunucu kurulumunu hayal edin.

Çok sayıda web "yazılım" 0777 chmod dosyaları önerir . Müşterilerimize bu eğitimleri dikkatlice takip ederek, dosyalarını diğer müşterilerimize açarak endişeliyim. (Kesinlikle cmod 0777kendimi gereksiz yere kullanmıyorum !) Müşterilerin yalnızca kendi dosyalarına erişebilmelerini ve diğer kullanıcıların dünyaca okunabilir dosyalarına erişmelerini engellemelerini sağlayacak bir yöntem var mı?

AppArmor'a baktım , ancak bu o ortamda başarısız gibi görünen bir sürece çok sıkı bir şekilde bağlı.

Dış dünya ile korunan dosyalar arasında sınırlı ve değişmez bir dizin koyun ; örneğin;

/
 ├─ bin
 ├─ home
 │  └─ joe <===== restricted and immutable
 │     └─ joe <== regular home directory

veya /home/joe/restricted/public_html.

Sadece kullanıcı ve belki web sunucusu okuyabilirsiniz araçları Kısıtlı (örn modları 0700/ 0750veya bazı ACL ).

İmkansızlık chattr +i, mülkiyeti benzer bir şeyle değiştirmek suretiyle veya onunla yapılabilir root:joe.

Ubuntu o hiyerarşi oluşturmak için kolay bir yol düzenlemek olacaktır /etc/adduser.confve seti GROUPHOMESiçin yes.

Düşünmek isteyebileceğiniz bir seçenek var (bunun için ne kadar iş yapmak istediğinize bağlı olarak).

Diğerleri zaten yayınlanmış olduğu gibi, "normalde", kabuk okunabilen birinin dünyaca okunabilir dosyaları okumasını engelleyemezsiniz.

Ancak, onları kendi evlerine koyabilir, temel olarak kabuk erişimini ilk önce yalnızca istediğiniz kök dizine (AKA ana dizini) sınırlandırabilir ve ikincisi, kullanıcıların yürütmelerini istemediğiniz her şeyi yürütmesini önleyebilirsiniz.

Web dosyalarına erişebilecek bir kullanıcı varken benzer bir yaklaşım kullandım, ancak web klasörünün dışındaki diğer dosyaları görmesini istemedim.

Bu, çok fazla ek yüke sahipti, kurulum için bir karışıklıktı ve bir şeyi her güncellediğimde bozuldu.

Ancak bugün için OpenSSH chroot seçeneğiyle kolayca başarabileceğinizi düşünüyorum :

WikiBooks OpenSSH

POSIX Erişim Kontrol Listelerinin, sistem yöneticisi olarak, normal kullanıcı-grubu-diğer dosya sistemi iznini geçersiz kılarak, çok önemli bir şeyi kırma şansı olmadan, kullanıcılarınızı kendi cehaletlerinden en kötü şekilde korumanıza izin verdiğini tespit ettim. .

Örneğin (fi) dünyanın erişilebilir olması için ev dizinlerine ihtiyaç duyuyorsanız özellikle faydalı olabilir, çünkü webcontent'in apache için erişilebilir olması gerekir ~/public_html/. (Her ne kadar ACL'lerle şimdi tersini yapabilirsiniz, herkes için erişimi kaldırın ve apache kullanıcısı için belirli bir etkin ACL kullanın.)

Evet, bilgili bir kullanıcı bunları tekrar kaldırabilir / geçersiz kılabilir, bu durum beklenmeyen durumlardan oldukça nadir görülür ve normalde chmod -R 777 ~/yine de uygun olan kullanıcılar olmayan kullanıcılar , değil mi?

Dosya sistemini aclmount seçeneğiyle birlikte bağlamanız gerekir :

 mount -o remount,acl /home

Birçok dağıtımda, varsayılan kullanıcı grupları oluşturmaktır, her kullanıcının birincil grubu vardır ve tüm kullanıcıları ikincil bir grupta tanımlanamayan adıyla ayarladım users.

ACL'leri kullanmak, diğer kullanıcıların ev dizinlerine erişmesini önlemek için artık önemsizdir:

Önce:

 chmod 0777 /home/user* 

 ls -l /home/user*
 drwxrwxrwx.  2 user1  user1  4096 Jul 11 15:40 user1
 drwxrwxrwx.  2 user2  user2  4096 Jul 11 15:24 user2

Şimdi usersgrubun üyeleri için etkili dizin izinlerini 0okuma, yazma veya erişime izin vermeyecek şekilde ayarlayın :

 setfacl setfacl -m g:users:0 /home/user*

 ls -l 
 drwxrwxrwx+  2 user1  user1  4096 Jul 11 15:40 user1
 drwxrwxrwx+  2 user2  user2  4096 Jul 11 15:24 user2

+İşareti var ACL ayarlarında varlığını gösterir. Ve getfaclbunu doğrulayabilir:

getfacl /home/user1
getfacl: Removing leading '/' from absolute path names
# file: home/user1
# owner: user1
# group: user1
user::rwx
group::rwx
group:users:---
mask::rwx
other::rwx

group:users:---Grup etkin olarak diğer varlık için düzenli izinleri rağmen erişim hakkına sahip olduğunu göstermekother::rwx

Ve user1 olarak test:

[user1@access ~]$ ls -la /home/user2
ls: cannot open directory /home/user2: Permission denied

Paylaşılan sistemlerdeki ikinci bir ortak çözüm, talep üzerine talep üzerine otomatik sayıcının ana dizinleri ve kabuk erişimine adanmış bir sunucuya sahip olmasıdır. Bu, aptalca bir kanıt olmaktan uzak, ancak tipik olarak yalnızca bir avuç kullanıcı oturum açacak ve aynı zamanda yalnızca bu kullanıcıların giriş dizinleri görünür ve erişilebilir durumda olacak.

Linux Containers (LXC) , chroot ve ayrı sistemlerin en iyi kombinasyonu olabilir.

1. Sanallaştırma değil, gelişmiş bir chroot gibidirler, ancak farklı işletim sistemlerini tek bir sunucuda birleştirebilirsiniz.

2. Bir kullanıcıya tam bir işletim sistemi verebilir ve onu orada chroot edebilirsiniz, böylece kullanıcı oturum açtığında kabına gider. Ayrıca işlemci ve bellek kullanımını burada sınırlayabilirsiniz.

LXC'nin yazarı olan Stéphane Graber, başlamanıza yardımcı olacak güzel bir eğiticiye sahip.

Örneğin, kullanıcının yalnızca kendi homedizinine erişmesini istiyorsanız, yapmanız gerekenler:

cd /home
sudo chmod 700 *

Şimdi /home/usernameyalnızca sahibine görünür. Bu, tüm yeni kullanıcılar, düzenleme için varsayılan yapmak için /etc/adduser.confve seti DIR_MODEiçin 0700yerine 0755varsayılan.

Elbette, varsayılan DIR_MODE'yi değiştirmek istiyorsanız, dağıtımınıza bağlı olarak, gönderdiğim çalışma çalışır Ubuntu.

Düzenle

As @Dani_l doğru sözü, bu yanıt DEĞİL Dünya okunabilir bunları yaparken doğrudur.

Sadece bilgili olmak için - Hayır, yok.
@Marek doğru bir cevap verdi , ancak sorunuz yanlış - kimsenin "dünyaca okunabilir" dosyalara erişmesini engelleyemezsiniz.
Ya dünyaca okunabilirler ya da değiller. @ Marek cevabı, dünyayı okunaksız hale getirme konusunda doğrudur.

Şimdiye kadar verilen cevaplarda 'sınırlı kabuğundan' bahsetmiyorum.

ln / bin / bash / bin / rbash

Bunu giriş kabuğu olarak ayarlayın.

Web sunucusu, barındırılan her etki alanı için aynı kullanıcı ve grupla çalışıyorsa, kurulumu güvenli hale getirmek zordur (mümkün değilse).

Belirli dosyaların kullanıcılara ve web sunucusuna erişebilmesini ancak diğer kullanıcılara erişememesini istiyorsunuz. Ancak, web sunucusu erişebildiği anda, başka bir kullanıcı, kendi web sitesi içindeki dosyaya bir link ekleyerek bunları okuyabilir.

Her web sitesinin ayrı bir kullanıcı olarak çalışmasını sağlayabiliyorsanız, oldukça basit bir hale gelir. Artık her müşterinin biri web sunucusu diğeri kabuk erişimi için iki kullanıcı olacak.

Bu iki kullanıcıyı içeren bir grup oluşturun. Şimdi bu grup ve kullanıcı kökü ile bir dizin oluşturun. Bu dizinin izinleri olması gerekir 750; bu, root'un tam erişime sahip olduğu ve grubun erişimi okuma ve yürütme anlamına gelir. Bu dizinde, iki kullanıcının her biri için giriş dizinleri oluşturabilirsiniz. Bu, kullanıcının giriş dizininin artık forma sahip olmayacağı /home/username, en az bir tane daha dizin bileşenine sahip bir şey olduğu anlamına gelir . Bu bir sorun değil, hiçbir şey bu rehbere göre ev dizinlerinin adlandırılmasını gerektirmiyor.

Ad tabanlı vhost'lar kullanıyorsanız, farklı kullanıcılar ve gruplarla çalışan web sitelerini almak zor olabilir. Ayrımı yalnızca IP tabanlı vhost'larla çalıştırabildiğiniz ve her site için yeterli IP’ye sahip olmadığınız ortaya çıkarsa, her web sitesini bir IPv6 adresinde barındırabilir ve bunlar için ters bir proxy koyabilirsiniz. IPv4 adresi.