Я просто читал при установке полномочий пользователя для различных видов пользователей. Я хотел бы создать сценарий, где пользователь может ssh в систему, но может создать (пишут) файлы только в/tmp. Доступ для записи не должен быть позволен больше нигде. Кроме того, он не должен мочь просмотреть другого, пользовательские файлы в/tmp, уже не говоря об удаляют их.
Я полагаю, что могу выполнить вторую половину задачи путем удаления чтения и выполнить разрешение/tmp и установки липкого бита.
Однако, как я пошел бы об удалении пользовательского доступа для записи от остальной части системы?
Я хотел бы создать сценарий, где пользователь может ssh в систему, но может создать (пишут) файлы только в/tmp. Доступ для записи не должен быть позволен больше нигде.
В стандартной установке Linux пользователи могут только для записи к /tmp
и их корневые каталоги. Таким образом, можно достигнуть этого путем создания пользователя $HOME
только для чтения и принадлежавший корню.
Кроме того, он не должен мочь просмотреть другого, пользовательские файлы в/tmp, уже не говоря об удаляют их.
Дайте всем пользователям строгий umask (такой как 077
) через pam_umask
, и набор липкий бит на /tmp
.
Кроме того, играйте с pam_namespace
- можно дать каждому пользователю его собственное /tmp
.
Я полагаю, что могу выполнить вторую половину задачи путем удаления чтения и выполнить разрешение/tmp и установки липкого бита.
Неправильный. Без выполняют полномочия на /tmp
, пользователь не сможет получить доступ или создать что-либо в том каталоге. Без липкого бита, любой, кто может записать в /tmp
будет позволен удалить чьи-либо файлы.
Однако, как я пошел бы об удалении пользовательского доступа для записи от остальной части системы?
У них нет доступа для записи по умолчанию. Посмотрите верхнюю часть этого ответа.