Zugriff nur aufs Home-Verzeichnis erlauben

[julia]

hallo

Ich habe mit 'adduser --HOME /home/ USERNAME' unter Debian einige User angelegt. Das Problem ist jetzt, dass sie (schreibenden) Zugriff aufs gesamte System haben. Ich möchte aber das normale User nur in ihrem Home-Verzeichnis lesen und schreiben können?! Wie kann ich das denn zum Standard machen?

danke

[freddy36]

Das Problem ist jetzt, dass sie (schreibenden) Zugriff aufs gesamte System haben. Ich möchte aber das normale User nur in ihrem Home-Verzeichnis lesen und schreiben können?! Wie kann ich das denn zum Standard machen?

Das sollte der Standard sein, du musst bei dir irgendwas mächtig vermurkst haben.
Poste doch mal die Ausgabe von "id" (ausführen von dem neuen user) sowie die Ausgabe von "stat /Pfad/zu/Ordner/auf/den/kein/schreibender/Zugriff/erlaubt/sein/soll"

[daemotron]

Wie Freddy36 schon geschrieben hat, sollten korrekt angelegte User nur in ihrem Home, in /tmp und ggf. /var/tmp schreiben dürfen. Wenn Du aber damit meinst, dass User nur ihr Home-Verzeichnis sehen sollen, dann bleibt nur der Griff zu chroot - entweder mit einer entsprechenden Shell wie rssh oder mit einer entsprechenden OpenSSH-Konfiguration (was bei Debian aber einen selbst gebauten sshd voraussetzt, da die Version in den Debian Repositories schon ziemlich alt ist).

Nachtrag:
Wenn Du die User tatsächlich alle mit

Code: Select all

adduser --home /home

angelegt hast, dann haben jetzt natürlich alle diese User /home als Heimatverzeichnis, und nicht /home/$user wie eigentlich üblich => das kann die Rechtevergabe zumindest für /home schon durcheinander gebracht haben, da normalerweise der jeweilige User auch Owner seines Home-Verzeichnisses ist.

[julia]

ok sorry, ich muss ein stück zurückrudern... :) der user hat keine schreibrechte ausserhalb von HOME. (ich hatte mit 'vi /etc/apache/apache.conf' gestetet ob er das config-file öffnen und bearbeiten kann. hab dann aber nicht getestet ob er es wirklich speichern kann.)

jetzt besteht noch das problem das er lesen kann. das ist zwar nicht so schlimm wie schreiben, aber immerhin gibt es ja einige configfiles die passwörter enthalten (z.b. das configfile für das externe ftp-backup.) am liebsten wäre mir ein account, der sich nicht per ssh einloggen kann sondern nur per ftp und dort nur in seinem HOME verzeichnis lese und schreiben kann. wie schwer ist sowas umzusetzen?

[wgot]

Hallo,

am liebsten wäre mir ein account, der sich nicht per ssh einloggen kann

gib ihm als Shell /bin/false.

sondern nur per ftp und dort nur in seinem HOME verzeichnis lese und schreiben kann.

Stellt man in der Konfiguration des FTPservers ein - welchen hast Du?

Gruß, Wolfgang

[julia]

gib ihm als Shell /bin/false.

danke - werd ich tun.

stellt man in der Konfiguration des FTPservers ein - welchen hast Du?

vsftpd

[julia]

ok auf die zweite frage hab ich bereits eine antwort gefunden:

http://archiv.debianhowto.de/de/vsftpd/ ... ation.html

danke :)

[julia]

ok, nächstes problem:

wenn ich die shell des users auf /bin/false setze dann ist auch der login per ftp nichtmehr möglich?!

[wgot]

Hallo,

in /etc/shells /bin/false dazuschreiben.

Gruß, Wolfgang

[julia]

super!

vielen dank für eure hilfe :)