هل chmod o=- -R / حل ممكن لتقييد المستخدم؟
https://stackoverflow.com/questions/1411622
-
05-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
نحن نفعل:
useradd -s/bin/rbash -d/home/dir/user1 -m user_1: user_1
RBASH ليس حتى حلًا لأنه يمكنك تصفح جميع الملفات مع قائد منتصف الليل.
ثم نقوم بإنشاء user_1.domain.com ونقوم بتعيين vhost user_1:user_1 هدفنا الأساسي هو تعطيل دخول هذا المستخدم إلى أدلة الخادم الأخرى.
كيف لنا أن نفعل ذلك؟
هل chmod o=- -R / حل ممكن لتقييد المستخدم؟
هذا لا يجيب على مشكلتي.كيفية تقييد مستخدمي SSH بمجموعة محددة مسبقًا من الأوامر بعد تسجيل الدخول؟
المحلول
أولاً، يعد الوصول للقراءة إلى "الدلائل الأخرى" الخاصة بالخادم أمرًا مطلوبًا بشكل عام.هذا هو المكان الذي تعيش فيه الثنائيات وملفات البيانات الخاصة بالبرنامج المثبت، بعد كل شيء.
إذا كنت تريد عدم السماح بالوصول إلى أدلة المستخدمين الآخرين، فيمكنك دائمًا تعيين أقنعة افتراضية بحيث يكون للمالكين فقط حق الوصول للقراءة والسماح للمستخدمين بتحديد ما سيتم تمكينه لسهولة القراءة على مستوى العالم.أو بالمثل ، ضع كل مستخدم في مجموعته الخاصة ، وهو الافتراضي على معظم توزيعات Linux.
إذا كنت تريد عدم السماح بالوصول دائمًا، دون إمكانية تشغيله، فيمكنك ممارسة الحيل باستخدام أدوات MAC مثل AppArmor (البسيط) أو SELinux (المعقد) للقيام بذلك.على الرغم من أن هذا له تكاليف إدارية كبيرة تحتاج إلى التفكير فيها.
كان من المعتاد أن يكون chroot حلاً شائعًا لهذا النوع من المشكلات، لكن هذا لم يعد مفضلاً في السنوات الأخيرة لأنه لا يعزل الأشياء تمامًا كما تتوقع.
أخيرًا، يُعتقد بشكل عام أن الحل "المناسب" لعزل المستخدم هو المحاكاة الافتراضية، إما عناصر النظام الكامل عبر vmware، أو kvm، أو xen، وما إلى ذلك ...أو حلول النواة الواحدة مثل سجون BSD أو مناطق Solaris.
