# Linux-Homerverzeichnis - "fixieren"?...



## real_consul (6. März 2007)

moin,

als Ergänzung zu diesem Thread:
http://www.tutorials.de/forum/linux-unix/266320-suse-linux-10-1-homerverzeichnis.html

möchte ich folgendes fragen:
---------------------------------------------
besteht die Möglichkeit den Zugriff für den Benutzer nur auf dem Homeverzeichnis zu begrenzen?

Z.B. allen (neuen) Benutzern (die in der gleiche Gruppe sind) als Homeverzeichnis /home/public zu deklarieren und nur dort auf die Daten (und Unterverzeichnisse) zugreifen zu dürfen?

"cd /etc" - wird dann z.B. nicht erlaubt...
idealerweise sollte dann "cd /" ins /home/public führen...

Danke!

Grüße,
Alexander


----------



## Dennis Wronka (7. März 2007)

Diese "Fixierung" wird durch chroot durchgefuehrt.
Jedoch musst Du dazu jedem User eine vollstaendig lauffaehige Umgebung aufbauen sodass der User auch arbeiten kann.
Je nachdem welche Moeglichkeiten der User haben soll wird dies mehr oder weniger umfangreich und speicherplatzaufwaendig.

Wenn jeder User aber nur einen FTP-Zugang hat ist dies einfach. ProFTPd zum Beispiel bietet Dir gleich die Funktion einen User in seinem Home-Verzeichnis einzusperren, und ich denk mal, dass auch andere FTP-Server diese Funktion mitbringen.


----------



## real_consul (7. März 2007)

moin,

wir nutzen pureftp - und damit funktioniert alles mit dem Homeverzeichnis für den FTP-Nutzer.
Die Zielsetzung ist allerdings, dass das gleichzeitig auch für einen Telnet-Nutzer gilt.


----------



## Dennis Wronka (7. März 2007)

Also erstmal wuerde ich zu SSH anstelle von Telnet raten, denn Telnet ist nicht verschluesselt und absolut nicht sicher.

Was genau sollen User denn koennen wenn sie sich remote einloggen?


----------



## deepthroat (7. März 2007)

Hi.

Dazu kann man eine restricted Shell verwenden. Mit dieser ist es nicht möglich das Verzeichnis zu wechseln.

Um Bash als restricted Shell zu starten, muß man lediglich die Option -r verwenden oder alternativ einen Link namens "rbash" zu "bash" anlegen. Das muß man dann nur für die Benutzer als Login-Shell festlegen.

Gruß


----------



## real_consul (7. März 2007)

Für SSH haben wir leider keine CPU-Ressourcen, darum wird ein externen Router mit VPN (IPsec) verwenden.
Der (die) Nutzer muss(en) in der Lage sein sich über Telnet anzumelden und sich nur im Homeverzeichnis zu bewegen - analog wie über FTP...
Es darf auf keine andere Daten zugegriefen werden, auch Verzeichnisstruktur des Systems muss verborgen bleiben.


----------



## Dennis Wronka (7. März 2007)

Dann spricht eigentlich nichts grosses gegen chroot, jedoch sollte dort eben darauf geachtet werden, dass eben jeder User seine Umgebung braucht in der er arbeiten kann. Diese enthaelt eben die wichtigsten Programme wie z.B. eine Shell und auch alle von diesen Programmen benoetigten Libraries.


----------

