Debian Benutzer mit beschränkten Zugriff erstellen?
Guten Tag,
ich möchte gerne einen neuen Linux Benutzer erstellen, der nur Zugriff auf einen bestimmten Ordner hat. Dieser Benutzer soll also nur in diesem bestimmten Ordner Datein erstellen, bearbeiten und löschen sollen.
3 Antworten
das geht eigentlich nicht, denn der könnte dann ja auch kein Linux-Programm laufen lassen. Kein Zugriff auf /dev/ und schon ist praktisch alle Hardware abgeschaltet.
Du kannst nur allen anderen Benutzern raten, ihre Dateien und Directories nicht für World frei zu geben, sowie diesen Benutzer auch über die Gruppe keine Rechte zu erteilen.
Prinzipiell ist das in seinem Home-Verzeichnis schon der Fall. Es gibt mit z.B. /tmp ein Directory, das jedem das Schreiben und Lesen erlaubt, erlauben muss. Wenn du das auch noch änderst, bekommen andere User auch Probleme.
Ehrlich: Das sind Spinnereien.
Ein normaler Nutzer, der nicht in der sudo-Gruppe steht, hat eh nur Schreibrechte auf /home/$USER. Da ist also nichts weiter zu machen.
Wenn es auch um Lese-Rechte geht, dann wird das schon schwieriger, weil auch Programme ja "gelesen" werden müssen, damit man sie ausführen kann.
Ein "normaler" User hat keine Schreibrechte auf Systemdateien, oder Dateien anderer User, es sei denn, solche Rechte wurden ihm gewährt.
Allerdings, abhängig von den voreingestellten Rechten, kann es sein, dass er Dateien anderer betrachten kann. Ja nach Distribution sind manche in den Voreinstellungen offener oder auch restriktiver.
In deiner Frage nennst du zwar "nur erstellen, bearbeiten und löschen", aber davor auch "nur Zugriff auf einen bestimmten Ordner" - damit ist nicht deutlich, was der User nun dürfen soll und was nicht. Ist "Betrachten" jetzt "Zugriff", oder nicht, da es Erstellen, Bearbeiten, Löschen ausschließt?
Ausführbare Programme müssen für den User jedenfalls zugänglich bleiben, sonst wären die nämlich auch nicht ausführbar. Wobei "zugänglich" nicht "veränderbar" bedeutet.
Willst du aber auch Zugang zu ausführbaren Programmen verwehren wollen, würdest du ihm eine eigene Maschine geben, eventuell eine VM, aber eigene physikalische Maschine ist sicherer, und ihm Zugang zu auschließlich dem Verzeichnis, wofür er berechtigt ist, über das Netz geben. Soll er auf seiner eigenen Maschine zugreifen können worauf er mag, inklusive auf ausführbare Programme, solange du Zugang zu der restriktieren Maschine nur eingeschränkt hast.
das muss ich ergänzen.
umask, also die Rechtevergabe, bezieht sich nicht nur auf ein Home-Verzeichnis, sondern auf alle neu erstellten Dateien und Verzeichnisse aller neu eingeloggten User.
Jeder User kann hinterher aber auch alle Rechte seiner Dateien und Verzeichnisse mit chmod <Rechte> <Datei> beliebig verändern und somit den "ausgesperrten User" wieder rein lassen.
umask erleichtert nur die Arbeit, man muss nicht alles nach einem Create ändern.
Wenn ich richtig annehme, dass du generell neuen Usern nicht das Wechseln nach oder Betrachten von Dateien in Home-Verzeichnissen anderer User erlauben möchtest (Schreiben geht bereits nicht), dann ändere UMASK in /etc/login.defs, und nimm da nicht nur die Schreibrechte für Rest der Welt raus (wofür die 022 steht), sondern maskiere auch Wechsel- und Leserechte (das wäre 027). Dies hat aber nur Effekt auf Home-Verzeichnisse neuer User, für die bereits besteheden würdest du die Rechte der bereits existieren Home-Verzeichniss nachträglich anpassen müssen.
Die User, die dann doch gegenseitig ihre Verzeichnisse einsehen dürfen, steckst du dann in eine Gruppe - Gruppenrechte wurden in UMASK nicht verändert. Sorg dann lediglich dafür, dass restriktierte User nicht in dieser Gruppe sind.