powłoki.. chociaz ftp praktycznie na tych smayh prawach bazuje,
wiec jak uda sie takie cos zrobic na powloce, to na ftp tez bedzie
raczej dzialalo
| Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
| Prawa dostepu do katalogow http://forum.freesco.pl/viewtopic.php?f=22&t=11836 |
Strona 1 z 1 |
| Autor: | Mr Groch [ niedziela, 26 marca 2006, 21:28 ] |
| Tytuł: | Prawa dostepu do katalogow |
Witam Chcialbym aby w systemie zwykli uzytkownicy mogli tylko ogladac swoj katalog domowy - ok, zrobione (wszytskie katalogi "wyzsze" od katalogu domowego maja wylaczone prawo do odczyty przez innych) Chcialbym takze aby istniala pewna grupa uzytkownikow, ktora moglaby ogladac inne katalogi.. I tutaj jest problem... Nie wiem jak zrobic by np grupa expusers mogla miec dostep do katalogow "wyzszych" od swoich katalogow domowych... Wsyztskie katalogi "wyzej" maja wlasciciela root i grupe root. Nie chce dodawac tych userow do grupy root, ani tez raczej nie chce zmienic wlasciciela tych katalogow na expusers (nie wiem jakie to moze wywolac skutki w systemie) Nie mozna jakos w systemach uniksowych ustawic roznych praw dostepu dla roznyh grup dla danego katalogu? Pozdrawiam |
|
| Autor: | Maciek [ niedziela, 26 marca 2006, 21:37 ] |
| Tytuł: | |
A dokładniej? Chodzi ci o użytkowników korzystających z powłoki czy ftp? |
|
| Autor: | Mr Groch [ niedziela, 26 marca 2006, 21:41 ] |
| Tytuł: | |
powłoki.. chociaz ftp praktycznie na tych smayh prawach bazuje, wiec jak uda sie takie cos zrobic na powloce, to na ftp tez bedzie raczej dzialalo
|
|
| Autor: | Mis' [ niedziela, 26 marca 2006, 22:49 ] |
| Tytuł: | |
Mnie w takich przypadkach nasuwa się zawsze pytanie: PO CO? Co złego w tym że sobie user popatrzy do /usr/bin na przykład? Albo nawet do /etc? popatrzy poczyta (a i to nie wszystko) i na tym jego możliwości się kończą... zmieniać wszystko tylko dlatego ze można? bez sensu... <cytat okolicznościowy> - Dlaczego pies liże sobie jajka? - bo może... </cytat okolicznościowy> |
|
| Autor: | Mr Groch [ niedziela, 26 marca 2006, 23:07 ] |
| Tytuł: | |
Czasem wolalbym, aby niekore informacje nie dotarly do pewnych userow... Jak dla mnie ogladanie szczegolow konfiguracji systemu przez usera jest lekkim niesmakiem.. Ale juz mozliwosc obejrzenia np w niektorych skryptach danych dosc poufnych (np hasel, jak to czesto bywa np w plikach php, chcociazby do mysql) to juz sytuacja niedopuszczalna... Mniejsza tym.. Nie chce by byl to topic wywodow filozoficznych na temat wolnej woli... Prosze tylko o doksztalcenie mnie w sprawach praw dostepu
|
|
| Autor: | Mis' [ niedziela, 26 marca 2006, 23:30 ] |
| Tytuł: | |
Mr Groch pisze: Czasem wolalbym, aby niekore informacje nie dotarly do pewnych userow... to się takie informacje trzyma w miejscu niedostępnym dla zwykłego usera - nie ma potrzeby rewolucjonować całego systemu. Jak sam zauważyłeś - niewiadomo jak to wpłynie na działanie systemu. Prawie każdy daemon przyjmuje ścieżkę do konfigu jako parametr uruchomienia. robisz jeden katalog dla konfigów (ale uwaga! nie zawsze to zadziała) i tylko dla niego zmieniasz odpowiednio prawa. Mr Groch pisze: Jak dla mnie ogladanie szczegolow konfiguracji systemu przez usera jest lekkim niesmakiem.. Ale juz mozliwosc obejrzenia np w niektorych skryptach danych dosc poufnych (np hasel, jak to czesto bywa np w plikach php, chcociazby do mysql) to juz sytuacja niedopuszczalna... hasła w scriptach? czym prędzej zmień scripty. Hasłą przechowywuje sie w specjalnie zabezpieczonych plikach. Vide /etc/shadow Nadal nie rozumiem co złego w tym ze user podejrzy jak uruchamiany i skonfigurowany jest np. apache? Jeśli ma trochę pomyślunku to błędy w konfigu i tak wymaca, a jak nie ma to nawet jakby się na pamięć nauczył to i tak mu nie pomoże... Mr Groch pisze: Mniejsza tym.. Nie chce by byl to topic wywodow filozoficznych na temat wolnej woli... Prosze tylko o doksztalcenie mnie w sprawach praw dostepu
Co do twojego pytania - to nie jest takie proste, że zmieniasz prawa do katalogów i cześć. Szczerze przyznam, że nie wiem jak by to ugryźć aby nie rozwalić systemu - inne prawa musiałbyś ustalić dla np /bin, /usr/bin a inne dla /var i jego podkatalogów. A z punktu widzenia usera w /home wszystkie one są "powyżej"... i co więcej, do niektórych user chyba powinien mieć dostep. Moja rada - daj sobie spokój, nie masz zaufania do usera to mu nie dawaj shella. To wbrew pozorom również metoda administarcyjna. |
|
| Autor: | Mr Groch [ poniedziałek, 27 marca 2006, 02:45 ] |
| Tytuł: | |
A szkoda... Juz mialem nadzieje, ze wyszkrobiecie dla mnie jakies specjalne narzedzie do tworzenia zaawansowanych atrybutow plikow Trzeba sie zadowolic standartowym Owner Group Others
A co do dzialania programow/skryptow na zablokowaniu odczytu wsyztskich podkatalogow / - o ile program/skrypt nie wymaga przegladania listy plikow w katalogu, to wsyztsko dziala doskonale z ustawieniem o-r dla tych katalogow, wazne by zostawic opcje o+x... |
|
| Autor: | marask [ wtorek, 28 marca 2006, 21:35 ] |
| Tytuł: | |
wpadłem na inny pomysł. Stwórz grupę privillaged (przykładowo), daj jakiegoś usera testowego, dodaj do tej grupy wszytkich userów systemowych - oprócz zwykłych luserów. No i odpowiednie prawa dla grupy dla katalogów. |
|
| Strona 1 z 1 | Strefa czasowa UTC+2godz. |
| Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |
|