FreeBSD - Benutzer in Homeverzeichnis einsperren und Funktionen einschränken
Posted: 2018-06-30 11:12
Hallo zusammen,
super Forum habt ihr hier.
Gibt es unter FreeBSD einen einfachen Weg, Benutzer in ihrem Home-Verzeichnis einzusperren und die Funktionen auf ein Minimum einzuschränken?
Die Accounts werden nur für die Dateiablage via ssh/sftp genutzt, dort sollen keine anderen Anwendungen ausgeführt werden.
Die Homeverzeichnisse sind via ZFS so abgesichert (setuid,exec,devices auf "off" gesetzt) , dass dort keine Binaries o.ä. ausgeführt werden können, sondern nur Dateien hochgeladen/heruntergeladen/verwaltet werden können.
Heißt im Umkehrspruch, dass ich den Benutzern ein gewisses "Portfolio" an Binaries bereitstellen möchte, die benutzt werden dürfen.
An sich benötigen die Benutzer nur "md5, quota, scp, mv, cp, rm, rmdir, cd, touch, etc.".
Ich würde ungern pro Benutzer eine Jail erstellen und sein ZFS-Filesystem dort einhängen, da das bei hunderten von Benutzern ggf. auch auf die Performance gehen könnte.
Ich könnte auch die Shell auf "rbash" setzen, sprich restrictive, müsste dann aber alle anderen Shells deaktivieren, was ich auch nicht möchte. Zudem ist
Hat jemand Erfahrung damit und kann mir einen Schubser geben?
Danke und Gruß,
Verch
super Forum habt ihr hier.
Gibt es unter FreeBSD einen einfachen Weg, Benutzer in ihrem Home-Verzeichnis einzusperren und die Funktionen auf ein Minimum einzuschränken?
Die Accounts werden nur für die Dateiablage via ssh/sftp genutzt, dort sollen keine anderen Anwendungen ausgeführt werden.
Die Homeverzeichnisse sind via ZFS so abgesichert (setuid,exec,devices auf "off" gesetzt) , dass dort keine Binaries o.ä. ausgeführt werden können, sondern nur Dateien hochgeladen/heruntergeladen/verwaltet werden können.
Heißt im Umkehrspruch, dass ich den Benutzern ein gewisses "Portfolio" an Binaries bereitstellen möchte, die benutzt werden dürfen.
An sich benötigen die Benutzer nur "md5, quota, scp, mv, cp, rm, rmdir, cd, touch, etc.".
Code: Select all
ssh user@example.com md5 backups/file1
ssh user@example.com rm -rf backups/file1
ssh user@example.com quota
Ich könnte auch die Shell auf "rbash" setzen, sprich restrictive, müsste dann aber alle anderen Shells deaktivieren, was ich auch nicht möchte. Zudem ist
Hat jemand Erfahrung damit und kann mir einen Schubser geben?
Danke und Gruß,
Verch