Bestimmten User bestimmte Rechte geben (Debian)?

Hallo liebe GF-Community, Ich habe ein Debian8 Server und habe mir mit adduser ein Nutzer erstellt, dieser hat nun auch ein eigenen Ordner im Home Verzeichnis. Ich möchte aber gerne das er andere Dateien (außerhalb) von seinem Ordner nicht verändern/starten/angucken darf. Zumbeispiel er hat ein Verzeichnis /home/TEST Ich möchte aber gerne das er zum beispiel auf /home/TEST2 nichts verändern/starten/angucken darf. Wie mach ich das?

5 Antworten

Takiry

11.04.2017, 02:27

https://de.wikipedia.org/wiki/Chmod

schau dir mal die benutzerrechte an.

befehl chmod ABC

A ist der eigentümer der datei

B ist die Gruppe

C ist JEDER

Damit kannst du jemanden wunderbar z.B. durch user oder gruppenrechte aus ordnern ein oder ausschließen.

alex4566001

Fragesteller

11.04.2017, 02:49

Danke, aber was ist mit den Ordnern dadrüber?(bin, amd64, etc, lib, ...)? Der User soll sie ja auch nicht verändern/sehen könn.

Ich hab aber gehört wenn man da die Rechte wegnimmt dann kann sich der User netmal einlogen o.O

Takiry

11.04.2017, 02:57

@alex4566001

Ja da hast du richtig gehört. Bitte nimms mir nicht übel aber es ist schon spät. google mal nach "chroot" bzw,"chroot Jail" das ist genau das was du willst. Ich bin mir sicher es gibt dazu eine anleitung. Ich bin nun müde und gehe mal pennen. gn8

tuxgamer

11.04.2017, 08:31

@Takiry

chroot ist nach wie vor kein Sicherheitsfeature. Würde das nicht machen, da aufwendiger zu konfigurieren und man bekommt nichts, das man nicht auch über gute Rechteverwaltung bekommt.

chroot Jail gibt es auf Linux nicht - das ist BSD.

Ja, es gibt Debian GNU/kFreeBSD - halte es aber für unwahrscheinlich, dass der TO das nutzt ;).

MarkusGenervt

11.04.2017, 02:37

Bei jedem User den persönlichen Ordnerzugriff setzten mit:

chmod 700 "/home/username"

Ggf. auch den Eigentümer anpassen:

chown username "/home/username"

Dann kann man zwar noch den Ordner "/home/username" sehen, aber nicht mehr, was darunter liegt.

alex4566001

Fragesteller

11.04.2017, 02:49

Danke, aber was ist mit den Ordnern dadrüber?(bin, amd64, etc, lib, ...)? Der User soll sie ja auch nicht verändern/sehen könn.

Ich hab aber gehört wenn man da die Rechte wegnimmt dann kann sich der User netmal einlogen o.O

MarkusGenervt

11.04.2017, 02:59

@alex4566001

Richtig.

In diesen Ordnern steht das eigentlich System und ohne diesen Zugang kann der User gar nichts machen.

Doch diese Ordner können nur eingesehen und nicht geändert werden. Somit besteht auch keine Gefahr.

Was Du aber ändern musst, ist der Zugang zu "sudo". Denn damit können System-Manipulationen begangen werden. Dazu musst Du "sudo" (u.ä.) in Deinen bin-Ordnern ebenfalls auf root-Rechte einschränken.

In dem Fall musst Du Dich dann als Admin selbst um die System-Wartung kümmern und User können ihre Programme nur noch im User-Pfad installieren.

guenterhalt

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer, Linux

11.04.2017, 09:55

Rechte an Dateien und Verzeichnissen kann nur dessen Besitzer (root als Superuser hat da eine Sonderstellung) vergeben.

Wenn also User-X möchte, dass alle anderen User diese oder jene Datei sehen oder auch ändern dürfen, dann kann das nicht ein anderer verhindern (außer root natürlich).

Da auch nur root einen neuen User einrichten kann, kann er diesen einer Gruppe zuordnen, zu denen andere User nicht gehören.
Damit können andere User nicht über die "Gruppenrechte" seine Dateien lesen/schreiben/ausführen.
Sollte er aber über "Rest der Welt" (world) nicht verhindert haben, dass das auch world betrifft, dann geht es doch wieder.

Ich möchte aber gerne das er andere Dateien (außerhalb) von seinem Ordner nicht verändern/starten/angucken darf.

So eine Forderung ist durch den User, den das betreffen soll, nicht realisierbar.

Jeder User muss sich also selbst vor (aus seiner Sicht) unberechtigten Zugriffen schützen.
Root hat für Verzeichnisse wie /etc/ , /bin/ ... bereits Vorsorge getroffen und lässt dort keinerlei Manipulationen zu.
Nicht aus solche Verzeichnisse lesen oder Dateien ausführen zu dürfen würde bedeuten, dass nur root Programme ausführen darf. Will man das wirklich?
Wenn ja, dann braucht man auch keine User im System.

Woher ich das weiß:Berufserfahrung – openSuSE seit 1995

Linuxhase

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer, Linux, Debian

11.04.2017, 06:08

Hallo

Ich habe ein Debian8 Server und habe mir mit adduser ein Nutzer
erstellt, dieser hat nun auch ein eigenen Ordner im Home Verzeichnis.

Das ist auch gut und richtig so, aber wer so eine Frage stellt:

Bestimmten User bestimmte Rechte geben (Debian)?

der sollte lieber keinen öffentlich erreichbaren Server betreiben.

Das dient nicht nur dem eigenen Schutz sondern auch dem gegenüber allen anderen die durch einen kompromittierten Server beeinträchtigt oder gar geschädigt werden können.

Ich möchte aber gerne das er andere Dateien (außerhalb) von seinem Ordner nicht verändern/starten/angucken darf.

Ein User kann auch nichts außerhalb des eigenen /home/$USER Verzeichnisses nichts verändern und vom ansehen ist noch nichts zu schaden gekommen.

Solltest Du aber dennoch (bei Deiner Unwissenheit) sowas einrichten wollen, dann such mal nach ssh-Jail.

Zumbeispiel er hat ein Verzeichnis /home/TEST Ich möchte aber gerne das er zum beispiel auf /home/TEST2 nichts verändern/starten/angucken darf.

Das wäre allerdings ein andres Benutzerverzeichnis eines Benutzers mit dem Namen TEST und da kann sowieso niemand anderes als der User selber und root hineinsehen. Weil unterhalb von /home eben nur die Userverzeichnisse sein sollen (technisch aber möglich das anders zu handhaben, aber Quatsch.

Linuxhase

Woher ich das weiß:eigene Erfahrung – Ich benutze seit 2007 Linux und habe LPIC101 und LPIC102

MrLongknife

11.04.2017, 02:30

Moin,

ist zwar schon beantwortet, aber Jan hatte dazu mal einen guten Artikel veröffentlicht:

https://jankarres.de/2015/04/debian-linux-zugriffsrechte-system-erklaert/

Viel Spaß mit Debian

so long(knife)

alex4566001

Fragesteller

11.04.2017, 02:49

Danke, aber was ist mit den Ordnern dadrüber?(bin, amd64, etc, lib, ...)? Der User soll sie ja auch nicht verändern/sehen könn.

Ich hab aber gehört wenn man da die Rechte wegnimmt dann kann sich der User netmal einlogen o.O

Guten Morgen :)

Ist es möglich einen User bei Debian sozusagen in ein Verzeichnis einzusperren?

Hintergrund ist folgender:

Ich besitze einen vServer auf dem eine Debian-Distribution läuft und auf diesem ein Apache-Server.

Nun möchte ich einem Bekannten einen Ordner geben, in welchem er sich eine kleine Website zusammen bauen kann und ein bisschen HTML und CSS lernt.

Ich habe schon recherchiert und stoße immer wieder auf den Begriff "chroot". Wenn ich die Vorgehensweise jedoch richtig verstehe, bekommt so der jeweilige User eine komplett eigene Umgebung mit einer kompletten Linux-Verzeichnisstruktur.

Das wäre jedoch nicht nötig, da er wirklich nur einen Ordner braucht beispielsweise ("/var/www/GEFAENGNIS") in den er direkt bei SSH-Login rein kommt, aber nicht raus darf (Auch das root-Verzeichnis sollte er nach Möglichkeit nicht betreten dürfen - also von seinem Hauptverzeichnis aus weder "cd .." noch "cd /"). In diesem darf und soll er natürlich Verzeichnisse und Dateien erstellen können.

Ein schönes Restwochenende und liebe Grüße wünscht

nick2097

...zur Frage

Debian Benutzer mit beschränkten Zugriff erstellen?

Guten Tag,

ich möchte gerne einen neuen Linux Benutzer erstellen, der nur Zugriff auf einen bestimmten Ordner hat. Dieser Benutzer soll also nur in diesem bestimmten Ordner Datein erstellen, bearbeiten und löschen sollen.

...zur Frage

bash script: prüfen ob man in richtigem verzeichnis ist?

will das quasi so haben aber wie prüfe ich da links die ausgabe von pwd ? :

if [AUSGABE VON pwd == "/home/user3/ordner"]; then

...zur Frage

Welche gründe haben "SPeicherzugriffsfehler" in linux?

moin moin

ich habe auf meiner linux maschiene debian jessie, Cuckoo Sandbox installiert

jetzt bekommt ich beim auswerten der gesammelten daten einen "speicherzugriffsfehler"

2018-05-04 12:15:08,456 [cuckoo.core.plugins] DEBUG: Executed processing module "AnalysisInfo" for task #19
2018-05-04 12:15:08,709 [cuckoo.core.plugins] DEBUG: Executed processing module "BehaviorAnalysis" for task #19
Speicherzugriffsfehler
root@nameishidden:/home/kavc#

wo könnte das problem denn sein ? mit den rechten in ordnern etc sollte alles stimmen - führe cuckoo u deren dienste als root aus

wenn dir noch infos fehlen einfach fragen =)

vielen dank für deine zeit schon mal im vorraus =)

lg kavc

...zur Frage

Eingeschränkte WinSCP zugänge für Mitarbeiter?

Hallo,

ich habe einen Debian 10 Server worüber ich Game Add-ons entwickele.

Zum Dateiaustausch zwischen dem Webserver und meinem PC nutze ich WinSCP.

Nun habe ich aber einige Mitarbeiter, welche ich mit am Server arbeiten lassen möchte. Da sie aber nicht auf den ganzen Server, sondern nur auf einen bestimmten Ordner sowie dessen Unterordner zugreifen und außerdem die Konsole tabu bleiben soll, möchte ich meine Root-Anmeldedaten nicht herausgeben.

Jetzt stellt sich mir die Frage:

Wie funktioniert sowas?

...zur Frage

Linux Debian 10 Minecraft Server restart?

Hallo,

ich habe einen Debian 10 Server mit einem Minecraft Server drauf. Der funktioniert auch. Mein Problem ist, dass wenn ich den restart Command in Minecraft eingebe, stoppt der Server nur. Wie ist es möglich, dass er dann wieder starten? Und ist es möglich ein autorestart script zu erstellen, also dass der Server nach einer bestimmten Zeit restartet, wenn weniger als eine bestimmte Anzahl von Spielern drauf sind? Dann noch eine Frage, kann der Server irgendwie vonalleine starten bzw. stoppen, wenn der Server neustartet?

Ich habe bis jetzt nur eine start.sh, in dieser steht das drin:

screen -S mc java -Xmx8192M -Xms4096M -jar spigot-1.15.2.jar nogui

Vielen Dank für Hilfe!

...zur Frage

FTP-User nur Rechte auf sein Home-Verzeichnis?

Hallo,

ich habe einen FTP-Server und möchte nun jemandem Zugriff auf einen Ordner geben, er soll aber unter keinen Umständen Zugriff auf die anderen Dateien haben. Dieser User soll auch keinen Zugriff auf reboot und co. haben.(Jemand über Fiverr soll mir dort einen Minecraft-Server einrichten).

...zur Frage

FTP-User nur Zugriff auf eigens Homeverzeichnis geben?

Servus,
Zuerst einmal - Ich verwende Linux/Debian 10

Zu meiner Frage;
Ich würde gerne einem FTP-User nur die Rechte geben, sein eigenes Home-Verzeichnis zu öffnen und auch nur in diesem Dateien modifizieren zu können.
Der User ist bereits erstellt, ein Passwort wurde gesetzt und der FTP-Login klapt auch, allerdings habe ich Zugriff auf jedes Verzeichnis und kann hier auch alle Dateien bearbeiten, löschen & verwalten.
(Ebenfalls wurde das Home-Verzeichnis und der gesamte folgende Pfad bereits dem User als Besitzer angefügt, via chown USER:GROUP /Home/UserPfad)
Habt ihr noch Ideen und/oder Lösungsansetze um mir da weiterzuhelfen?
Grüße.

...zur Frage

ntfs Platte unter Debian ist nur lesbar?

Es ist eine interne platte, die leider auch ntfs bleiben muss, da das ganze in einem Dualboot mit Windows läuft. Ich kann zwar lesen, darf aber nicht schreiben (alles natürlich auch als root probiert).

Eintrag in der fstab:

/dev/sdb1 /media/leonard/ntfs ntfs rw,users,auto,permissions,acl 0 0

Feedback des Versuches einen Ordner anzulegen:

mkdir: das Verzeichnis „./neuerordner“ kann nicht angelegt werden: Das Dateisystem ist nur lesbar

Danke für eure Hilfe!

...zur Frage

Debian 9 Server Autostart Minecraft Server?

Hallo, ich will, das bei meinem Debian Server PC mein Minecraft Server automatisch startet,

wenn der PC angeschaltet wird... (Mit 2GB ram in einem Screen)

Verzeichnis: /home/ressax/connector1
.jar - File: /home/ressax/connector1/dytanicspigot.jar
Screenname: connector1

So, soll das script später funzen...

Danke

...zur Frage

Debian Script - Minecraft Server automatisch wieder starten

Hallo,

ich möchte ein Minecraft Servernetzwerk machen und starte die einzelnen Server (SurvivalGames 1 etc) mit Screen auf meinem Linux (Debian) Server. Ich möchte gerne, dass sich der SG1 Server z.B. von alleine (neu) startet, wenn er ingame heruntergefahren wird. Wenn man also der Plugin oder /stop den Server herunterfährt, dann soll er, wenn er denn fertig heruntergefahren ist, von alleine wieder hochfahren. Das möchte ich gerne, weil ich nur eine Variante der Weltresetfunktion gefunden habe, nämlich http://dev.bukkit.org/bukkit-plugins/worldreset und dieses Plugin resettet die Welt nur beim hochfahren des Servers.

Ich möchte die SurvivalGames Map nach jedem Spiel wieder resetten. Wie bekomme ich so ein Script hin oder gibt es noch eine andere Möglichkeit wie man vielleicht direkt ingame eine Welt resetten kann? Beim WorldReset Plugin wird ja beim hochfahren die Welt gelöscht und durch eine Backupversion im Plugins Ordner von WorldReset ersetzt bzw. diese Backupversion wird reinkopiert, soweit ich das verstanden habe.

Ich würde mich wirklich sehr über Antworten freuen. Danke im Voraus und Gruß, Bennet

...zur Frage

Wie kann ich auf einem Debian 11 Server einen neuen User mit Zugriffsrechten auf einen Ordner und dessen Unterordner geben?

Guten Tag.

Ich suche die richtige Lösung, um in Debian 11 einen neuen User zu erstellen, welcher nur Zugriff auf einen bestimmten Ordner und dessen Unterordner hat. Sowie auch Ordner / Dateien im Ordner erstellen kann.

Mit freundlichen Grüßen

...zur Frage

Linux FTP User Homeverzeichnis und maximale Ordnergröße für FTP User

Hallo,

ich habe etwas vor und zwar möchte ich auf meinem Linux vServer (Debian) gerne Webspaces für verschiedene Leute erstellen mit verschiedenen FTP Konten. Ich möchte, dass jeder Webspace, je nach Wahl, 1, 2 oder 5 GB hat. Also, dass ich einen FTP User mit einem Heimverzeichnis im / var / www / kundenname erstelle und dieser "Kunde" dann nur auf das Verzeichnis zugreifen kann (also dass das dann das höchste Verzeichnis ist, das Stammverzeichnis des Kunden FTP Users).

Dann möchte ich den Ordner / var / www / kundenname natürlich noch auf die 1, 2 oder 5 GB begrenzen. Wie kann ich das alles machen?

Ich würde mich wirklich seeehr über Hilfe freuen... Danke im Voraus und Gruß, - Bennet

...zur Frage

Wie kann ich einen Minecraft Server und Debian Autostarten?

Hallo Community,

Ich versuche seit Tagen alles, damit der Minecraft Server automatisch startet, wenn der PC Hochfährt. Der MC-Server läuft auf Debian und das wiederum auf Proxmox. Der Benutzer wird automatisch angemeldet und benötigt kein Passwort. Ich muss von Hand quasi nur noch in das Verzeichnis wechseln und die start Datei ausführen.

Ich hätte aber gerne, dass wenn der PC über Proxmox gestartet wird, automatisch der MC-Server hochfährt und wenn ich in die Konsole gehe, direkt den screen sehe.

Vielleicht habt ihr ja eine Idee, wie das funktioniert...

...zur Frage

Was möchtest Du wissen?

Deine Frage stellen