Frage von RaceShafter, 37

Kann man das bei einem Linux Nutzer bestimmen?

Er soll nur über seinen Home Ordner verfügen, was er ja tut. Aber er soll nicht in die anderen Ordner gucken dürfen, und das geht ja. Er soll nur sein Verzeichnis sehen dürfen. LG

System: Debian 8 Linux

Antwort
von dan030, 18

Man kann sowas rein theoretisch machen, aber es ist sehr kompliziert.

Es gibt die Möglichkeit, für einen Prozess (und seine Tochterprozesse) mittels chroot() die virtuelle Filesystem-Basis zu verändern. D. h. der Benutzer sieht dann (zumindest ab oder unterhalb dieses Prozesses) wirklich nur noch einen Teil des Filesystems.

Die Konsequenz ist allerdings, dass man diesem Benutzer dann eine minimalisierte individuelle Ablaufumgebung auf der Platte bereitstellen muss. Also sozusagen ein komplettes "Sandkasten-Linux" inklusive aller Binaries, Libraries und Configdateien, die er im Laufe seiner weiteren Benutzersitzung brauchen wird.

Man kann sowas bauen, klar. Aber es ist viel Arbeit. Und gute, aktuelle und taugliche Lösungen "mal eben zum Download" sind mir nicht bekannt.

Expertenantwort
von guenterhalt, Community-Experte für Linux, 19

nein. das geht nicht.
Vor fremden Zugriffen kann sich nur der "andere" Benutzer schützen.
Prinzipiell ist das bereits so. Da als Standard aber normalerweise alle User z.b. der Gruppe users angehören, haben andere auch darüber Zugriffsrechte.
Der betreffenden User darf dann nicht auch in dieser Gruppe sein.

Root kann das ändern.

Nur von eigenen Verzeichnissen lesen, bedeutet auch, keine (oder nur wenige ) Programme nutzen zu können.

 

Kommentar von flaglich ,

Hi Günther,

das mit den Programmen bekäme man ja noch hin, weil zu others gehört er ja nach wie vor. Und in seinem HomefileSet könnte ja auch ein ordner bin sein, der Links zu den gewünschte Binaries hat. Und drin Pfad sieht dann evt. etwas anders aus. Wie Du schon sagst, root kann das.

Kommentar von guenterhalt ,

weil zu others gehört er ja nach wie vor.

others als Gruppe gibt es wahrscheinlich auch wieder nur bei Ubuntu, Linux braucht so eine Gruppe aber nicht.

Richtig, man könnte bestimmte (oder auch alle Binaries unter sein HOME packen. Was aber ist mit den Dateien unter /etc ? , was mit den Gerätedateien unter /dev ? Die Binaries müssten dann doch wieder Zugriff auf diese haben.

In solchen Fällen ist es wohl besser, diesem User einen eigenen PC zu spendieren und nur einen User zuzulassen. Das kann aber auch nur root sein.

Antwort
von Linuxhase, 16

Hallo

Er soll nur sein Verzeichnis sehen dürfen

Dann entziehe ihm die Zugehörigkeit zu jeder Gruppe in der er gerade ist und versetzte diesen Benutzer danach einfach in eine eigene Gruppe die es nur für Ihn gibt.

Das hat aber zur Folge das er zum Beispiel kein cd mehr machen kann. Genau genommen kann er dann schlichtweg gar nichts mehr ausführen was nicht in seinem /home Verzeichnis liegt.

Linuxhase

Antwort
von Yodafone, 20

Wenn du dein Home-Verzeichnis bei der Installation verschlüsselt hast,kann der Gast nicht auf deine Dateien zugreifen.....

Antwort
von iwolmis, 9

Du machst das so wie bei Aufsetzen vom FTP-User.

Z.B. so:

http://www.ibm.com/support/knowledgecenter/ssw_aix_71/com.ibm.aix.howtos/HT_secu...

Frage: how to create Restricting Users in Unix?

Antwort: http://unix.stackexchange.com/questions/208960/how-to-restrict-a-user-to-one-fol...

Antwort
von LeonardM, 24

Klar. Chmod machts möglich

Kommentar von RaceShafter ,

Wie geht das? Was muss ich wo einstellen?

Kommentar von LeonardM ,

les dir am besten den artikel von ubuntuusers durch über chmod. kannst du generell fast 1:1 übernehmen von ubuntuusers

Kommentar von guenterhalt ,

da irrt LeonardM aber gewaltig.

Kommentar von LeonardM ,

laut dem artikel ist es möglich sie berechtigung so zu ändern das nur bestimmte benutzer oder gruppen zugriff auf dateien haben. ich nehme an das gilt auch für ordner. warum auch nicht ^^ sollte der artikel tatsächlich fehler enthalten oder ich habe ihn missverstanden freue ich mich gerne wenn du mich korrigieren würdest. dann weiss ichs für die zukunft

Keine passende Antwort gefunden?

Fragen Sie die Community