установка верных полномочий
Я просто читал при установке полномочий пользователя для различных видов пользователей. Я хотел бы создать сценарий, где пользователь может ssh в систему, но может создать (пишут) файлы только в/tmp. Доступ для записи не должен быть позволен больше нигде. Кроме того, он не должен мочь просмотреть другого, пользовательские файлы в/tmp, уже не говоря об удаляют их.
Я полагаю, что могу выполнить вторую половину задачи путем удаления чтения и выполнить разрешение/tmp и установки липкого бита.
Однако, как я пошел бы об удалении пользовательского доступа для записи от остальной части системы?
1 ответ
Я хотел бы создать сценарий, где пользователь может ssh в систему, но может создать (пишут) файлы только в/tmp. Доступ для записи не должен быть позволен больше нигде.
В стандартной установке Linux пользователи могут только для записи к /tmp и их корневые каталоги. Таким образом, можно достигнуть этого путем создания пользователя $HOME только для чтения и принадлежавший корню.
Кроме того, он не должен мочь просмотреть другого, пользовательские файлы в/tmp, уже не говоря об удаляют их.
Дайте всем пользователям строгий umask (такой как 077) через pam_umask, и набор липкий бит на /tmp.
Кроме того, играйте с pam_namespace - можно дать каждому пользователю его собственное /tmp.
Я полагаю, что могу выполнить вторую половину задачи путем удаления чтения и выполнить разрешение/tmp и установки липкого бита.
Неправильный. Без выполняют полномочия на /tmp, пользователь не сможет получить доступ или создать что-либо в том каталоге. Без липкого бита, любой, кто может записать в /tmp будет позволен удалить чьи-либо файлы.
Однако, как я пошел бы об удалении пользовательского доступа для записи от остальной части системы?
У них нет доступа для записи по умолчанию. Посмотрите верхнюю часть этого ответа.