User auf einen Ordner beschränken

  • Themenstarter Themenstarter IceEagle
  • Beginndatum Beginndatum
I

IceEagle

Hallo !

















Ich benutze SuSE Linux 7.0 mit T-DSL.und bin über die Software RCPPPOED mit dem Netz verbunden.

















Ich weiß auch nicht so recht, welches Programm dafür sorgt, aber irgendwie ist bei mir schon ein Server aktiviert, jedoch, der NFS-ServerStatus zeigt off.








Ich vermute es ist der Apache, aber sicher bin ich mir eben nicht...

















Mein eigendliches Problem liegt darin, daß ich nicht weiß, wie man einen in YAST eingetragenen User / Benutzer in seinem Privaten Ordner einsperrt, so daß er ihn auf keinen Fall verlassen kann...

















z.B. User WERNER

















befindet sich nach dem Login in dem Ordner








/home/werner.








Er darf den Ordner Home nicht betreten können, und muss in /home/werner bleiben, damit er auf keine Daten zu greifen kann, er soll nichtmal Dateien sehen könne, die sich nicht in seinem eigenem Verzeichniss befinden.

















Weiß jemand zufällig, wie ich einen User einsperre ?

















PLEASE HELP

















cYa Ice
 
hm

Also der Server ist sicher Apache. Schau mal beim booten nach. Wenn da steht: Starting httpd.... dann ist das der Apache. Wird bei SuSE automatisch gestartet.
Einen User würde ich einsperren, indem ich ihn einer Gruppe zuordne die nur minimale Rechte hat. Das bewerkstellige ich, indem ich ihnen den Zugriff auf alle Ordner verwehre. Das geht ja auch mit Lesezugriff. Aber wie du ihn davon abhalten kann ins /home-verzeichnis zu gelangen weiß ich nicht. Das dürfte nich möglich sein. Wenn er dann aber nicht das Recht hat die Verzeichnisse der anderer User einsehen kann, hast du ihn eh schon isoliert.


Hast du zufällig die Netzwerkkarte von der Telekom? Ich suche einen Treiber für die. Kriege sie mit SuSE 7.1 Professional nicht zum laufen.
 
Re: hm

ja, ich habe die Netzwerk-Card von T-DSL, sie nennt sich RealTeak.
In Yast gibt es nur eine RealTeak und mit dem Driver geht sie bei mir.

Wenn Du noch fragen dazu hast., melde Dich, wenn möglich per eMail

IceEagle@IceEagle.de

Könntest Du mir zu diesem Userrechten mal ein Beispiel geben, wie ich das zum laufen bekomme ?
Das ein User in Home rein kommt, damit kann ich toflls noch leben, aber er darf keine Verzeichnisse SEhEN oder Betreten können, die im Hauptverzeichniss sind:

/etc
/sbin
/root
/dos
/windows

und so weiter, soll man nicht sehen können.

Ich kenne mich mit chown nicht aus, aber es soll von der Grupper her aus gehen und nicht von dem Verzeichniss, sonst müßte ich jedes neue Verzeichnis immer erst wieder ändern, und das kann ich auch nur in Root und funktioniert entweder für alle User oder für keinen...

Entweder hat nur root zugriff, oder alle, so läuft das bei mir, und das kann es einfach nicht sein...

Die Gruppe User soll wie Root alles sehen können, aber nicht schreiben von config-Files
Aber die Sondergruppe, die ich extra dafür erstelle, darf MAXIMAL in /home rein, ansonsten nur /home/PrivatOrdner

Please HELP

cYa Ice
 
das brauchst du nicht

Also mit chown brauchst du dich nicht auszukennen. Mach das doch einfach von X aus. Rechtsklick auf den Ordner, und unter Rechte umstellen. Leider ist mein Linux gestern hängen geblieben, also kann ich das nicht bei mir ausprobieren bevor ichs dir sage. Falschmachen kannst du aber nix, weil du als root alles wieder richten kannst.
Ich hätte da aber eine Idee: Du hast zwei Gruppen, eine für User, die normale Rechte hat, und eine andere die die eingeschränkten Rechte hat. Du gibst jetzt einfach an, dass die fraglichen Ordner der Gruppe User gehören und sie die Mitglieder dieser Gruppe benutzen dürfen. Schreibrechte kannst du ja im Zweifelsfall verweigern. root darf eh alles, also musst du nur angeben, dass andere weder schreiben noch einsehen dürfen. So müsste es gehen. Dass du aber den Benutzer davon abhältst in / zu gehen und nachzusehen, was da für Ordner sind wird schwieriger. Ich weiß nur wie du ihm verwehrst in die Ordner einzusehen, mehr aber nicht. Sollte mir dazu was einfallen sag ich dir Bescheid.

Wenn ich SuSE installiere zeigt er mir an, dass ich eine RealTek Semiconductor-Netzwerkkarte habe. Aber beim starten von DHCP-Client (was auch immer das ist) meldet er einen Fehler und ich habe es auch noch nicht geschafft mich einzuwählen. Werde mich jetzt mal richtig dahinterklemmen.
 
Re: das brauchst du nicht

Ja, das währe natürlich eine Lösung, hast recht, und so mache ich das jetzt auch, HOFFENTLICH KLAPPTS.
Das ist mir zwar auch schon so eingefallen, aber ich wollte wie gesagt nicht jeden neuen Ordner erst immer mit Rechten einschränken, weil ich sowas auch mal vergessen könnte...

Naja, zu Deinem Problem:
DHCP bedeutet, automatische IP-Adressenvergabe...

Das ist total falsch:
Deine Netzwerkcard braucht in Deinem Netzwerk eine FESTE IP, eine dynamische bekommst Du so oder so noch von T-Offline beim einwählen eingeteilt.

Das darfst Du bei T-DSL auf keinen Fall verwenden, hatte ich auch, damit bin ich nie rein gekommen, bringt nix...

Also, mache folgendes:

Bring erstmal Dein Linux zum laufen, dann installiere nötigenfalls noch die NETZWERK-Pakete, ich weiß nicht, welche gebraucht werden, habe das ganze Register markiert.
Weiß aber nicht, ob es nötig ist *gg*

ICH GEHE DAVON AUS, DASS DU MINDESTENS LINUX 7.0 SuSE hast, und auch YAST2 ?!?!?

KLicke als USER ROOT in KDE unten in der TASK-Leiste auf dieses kleine Werkzeugsymbol für YAST2.

Also, nach den DESKTOP-Symbolen (eins,zwei,drei,viel oder 1,2,3,4 das ZWEITE bunte symbol danach, sowas organgenes... Naja, eben YAST2)

Dann kommt ein Menü hoch, wähle dort:
LAN - lokales Netzwerk - Modem / ISDN

Dann wird nach jahre langen Wartezeiten endlich ein grause Fenster erscheinen, in dem HOFFENTLICH in der Mitte Deine Netzwerkcard angezeigt wird "Realtek", drücke au Weiter.

Dann kommt ein bereich, in dem Du was auswählen kannst, dort wähst Du das untere aus:
Statische Adresse
Konfiguration der statischen Adresse:

Die Darfst Du dir aussuchen:

z.B.

IP-Adresse:
192.168.0.30

Subnetzmaske:
255.255.255.0

Standardgateway: LEER LASSEN (außer, Du hast noch andere Späße damit vor, das überschreitet aber mein Wissen)

Klicke auf Weiter


Konfiguration des Namensservers, müßte nun kommen:

Rechnername, ein Wort ohne Punkt

z.B.

Rechnername: erde
Domainname : local.all

Dies sind alles Beispiele...


Liste der Namensserver und Domain-Suchliste lasse einfach leer, jeder der mir bisjetzt gesagt hat, ich solle dort:

194.25.2.129 t-online.de eingeben, hatte föllig unrecht, ich kam schon immer so rein, die probleme lagen niemals dort, sondern wo anders, auch wenn KINTERNET sagt, Namensserver falsch...

Bei einem PC ist es nunmal so üblich das er sagt, die Datei existiert nicht, obwohl sie nur schreibgeschützt ist, Fehlermeldungen sind alles eine sache der Defination....
Defaultroute fehlerhaft, bla bla bla, das liegt alles nur an der IP, die nicht FEST ist, wirst Du ja gleich sehen ;-))

Klicke auf beenden und die Config wird abgeschlossen...

Dann klicke nochmal auf YAST2 in der TASK-Leiste und konfiguriere Deinen T-DSL zugang:

Gebe Deine T-Offline-Zugangsnummern dort ein, und Dein Passwort....

Ich als alter WindowsUser sage jetzt einfach mal, starte den Rechner neu, aber ob Du das machst, ist Deine sache...

Auf jedenfall kannst Du, nach dem neustart in der Konsole als ROOT mal folgenden Befehl eingeben:

rcpppoed start

Wenn dann ein "DONE" kommt, schreibst Du

ifconfig

nun müßten 3drei3 große Datenblöcke aufgelistet werden, in einem Eth0 steht eine FESTE IP, die Du oben konfiguriert hast...
Und irgendwo in dem Gewusle steht eine dynamische IP, nicht 127.0.0.1 oder die FESTE, sondern noch eine, ich schätze mal, sie beginnt entwder mit 217, oder mit 192, oder mit 168 etc...... meistens in T-Online so...

Also, ich habe jetdenfalls DREI Blöcke, falls es bei Dir anders ist, nur zwei ?!?, dann liegt es daran, das Du kein Loopback hast, oder wie das ding heißt...

Das oberste steht jedenfalls für T-DSL, das in der Mitte für Ethernet und das unterste für Loopback, bei mir jedenfalls...

Wenn das bei Dir so aussieht, bist Du bereits im Internet, und falls Du keine IDLE-Time definiert hast, müßte Dir die Verbindung auch erhalten bleiben, wenn Du mal längere Zeit nichts im Internet machst, aber sicher bin ich mir nicht...
Die Idel habe ich in irgendeiner RC.config oder sonst was eingestellt, dort wo auch die T-Online-Zugangsdaten drinne stehen,name vergessen *gg*, sorry

Sollte das ganze bei Dir nicht so klappen, meld dich wieder...

Falls Dir noch was zu meiner geschichte einfällt, sage mir bitte bescheit, denn am liebsten würde ich eine Grupe STUBENARREST geben, so daß sie nicht aus dem Haus kommt...

/home nicht verlassen ;-))

Also, viel glück

cYa Ice













Ursprünglich verfasst von Moartel
Also mit chown brauchst du dich nicht auszukennen. Mach das doch einfach von X aus. Rechtsklick auf den Ordner, und unter Rechte umstellen. Leider ist mein Linux gestern hängen geblieben, also kann ich das nicht bei mir ausprobieren bevor ichs dir sage. Falschmachen kannst du aber nix, weil du als root alles wieder richten kannst.
Ich hätte da aber eine Idee: Du hast zwei Gruppen, eine für User, die normale Rechte hat, und eine andere die die eingeschränkten Rechte hat. Du gibst jetzt einfach an, dass die fraglichen Ordner der Gruppe User gehören und sie die Mitglieder dieser Gruppe benutzen dürfen. Schreibrechte kannst du ja im Zweifelsfall verweigern. root darf eh alles, also musst du nur angeben, dass andere weder schreiben noch einsehen dürfen. So müsste es gehen. Dass du aber den Benutzer davon abhältst in / zu gehen und nachzusehen, was da für Ordner sind wird schwieriger. Ich weiß nur wie du ihm verwehrst in die Ordner einzusehen, mehr aber nicht. Sollte mir dazu was einfallen sag ich dir Bescheid.

Wenn ich SuSE installiere zeigt er mir an, dass ich eine RealTek Semiconductor-Netzwerkkarte habe. Aber beim starten von DHCP-Client (was auch immer das ist) meldet er einen Fehler und ich habe es auch noch nicht geschafft mich einzuwählen. Werde mich jetzt mal richtig dahinterklemmen.
 
Re: das brauchst du nicht

also, ich habe jetzt sämtliche Userrechte so gestellt, das ein EXTERN-User in kein Verzeichnis außer HOME rein kommt, aber er kommt nun von außen überhaupt nicht mehr rein.

Sämtliche Verzeichniss-Rechte außer /home wurden für ANDERE entzogen. Aber warum kann man nun von außen nicht mehr in HOME rein ?

Ich weiß echt nicht mehr weiter
 
Grins Grins

Ja ja, das kenn ich vom Schulsystem (NT4.0) da haben sich auch mal ein paar schlaue Schüler ausgesperrt, in dem sie an der Rechtevergabe für ihren Ordner rumgespielt haben. Die Sache ist ganz einfach (hoffe ich): Die Ordner auf die du nicht zugreifen kannst gehören root. Die Mitglieder der Gruppe User fallen für diese Ordner also unter die Bezeichnung "andere". Du musst also die Ordner, in denen sie weiterhin arbeiten können sollen auf die Gruppe User übertragen und ihnen wenn nötig eben die Schreibrechte entziehen. Vielleicht ein wenig aufwendig, aber sicher.

Also das mit dem DHCP ist mir nun klar. Muss ich auch eine feste IP eingeben, wenn ich kein lokales Netzwerk zuhause habe? Ich werde das jetzt mal ausprobieren, und melde mich gegebenenfalls wieder. Vielen Dank für den Tip.
Das mit dem Linux zum laufen bringen wird aber noch ein hartes Stück Arbeit, da ich gestern mit fsck ein paar Inodes leer gemacht habe. Mein Dateisystem hatte ein paar (eher ein paar mehr) Fehler. Jetzt fehlt eben die eine oder andere Systemdatei. Aber das bin ich von Windows ja gewöhnt *g*.
 
Super, funktioniert

Vielen Dank für deine Hilfe. ICh schreibe diesen Beitrag schon unter Linux. Solltest du mal Hilfe mit was brauchen findest du meine Email ja jederzeit im Profil. Feel free to use it!
 
Re: Grins Grins

Hi nochmals !!!

Sorry, in Deinem Profil steht Deine eMail-Adresse nicht, sondern dann kommt so eine BOX, worüber ich Dir eine Mail schreiben kann.

Könntest Du mir mal bitte eine richtige eMail an IceEagle@WEB.de senden, die verständigung ist für mich etwas einfacher, als über tutorials...

Naja, freut mich, daß es mit Deinem T-DSL geklappt hat, wehnigstens ist das Problem gelöst...

Aber was meines betrifft stehe ich noch total auf dem Schlauch, keiner kann oder will mir dabei helfen und SuSE-Support meint, das dies den Ramen des kostenlosen Supports sprengt, weil es nicht zur notwendigstens Konfiguration gehört.

Ich habe nun folgendes gemacht:

Sämtliche unterverzeichnisse von meinem Hauptverzeichnis "/" habe ich für "ANDERE" gesperrt.

Es kommt nur noch der user "ROOT" und jedes Mitglied der Gruppe "root" in irgendein Verzeichnis

AUSSER /home, darauf hat noch immer jeder User Zugriff.

Dadurch ist aber folgendes passiert, es kann sich nichtmal mehr ein User LOKAL auf meinem PC einloggen, weil er keine Rechte auf /usr , oder /etc und so weiter hat, bekommt er auch keinen Zugriff auf /bin und somit auch nicht auf die SHELL.

Das ist mir ja eigendlich föllig egal, ob sich ein User LOKAL einloggen kann, weil hier außer mirt keiner drann kommt, aber /home kann auch keiner von außen Betreten, daß einzige, was ein User sehen kann, sind leere FTP-Seiten...

Ich will doch nur einen WEB-Server haben, auf den sich meine Freunde einloggen können, und dann in /home/privat rein kommen, aber sie sollen halt nichts anderes sehen können. mit der Umstellung, das alle anderen Ordner nur noch von User und Gruppe Root betreten werden kann, kann aber keiner mehr weder von außen noch von innen in das HOME verzeichniss, bzw. bekommt nix aufgelistet, und das ist total falsch.

Sicher, ich kann die rechte wieder auf User umstellen, aber dann kann auch wieder von außen jemand in meine anderen Verzeichnisse wie /bin, /etc und so weiter...
So weit ich weiß, stehen in /etc meine T-Online zugangsdaten, und das darf nunmal kein User lesen , wie kann ich denn diese Verzeichnisse für eine EINZELNE Gruppe verbieten, so das sie aber trotzdem noch nach HOME kommen ?!?

Bitte hilf mir

Danke im Vorraus

cYa Ice
 
chroot

Ich glaube, die Lösung für dein Problem ist die sogenannte chroot-Umgebung. Damit kannst du für den User ein neues root-Verzeichnis "definieren", über welches er dann einfach nicht mehr hinauskommt.

Wenn ich mich bei meinem ISP per SSH einlogge, kann ich nur in meinem eigenen Verzeichnis rumstochern, nichtmal ein top, ps oder uptime funktioniert, weil /proc/ nicht gemountet ist...

Sieh dir mal die manpage von chroot an, es sollte an sich nicht schwer zu konfigurieren sein. Du musst nur aufpassen, dass du für jeden User die nötigen Libraries per Symlink in sein Homedir legst, da er auch die ausserhalb seiner chroot-Umgebung nicht mehr lesen kann.

Weitere Infos dazu findest du hier: http://www.linuxdoc.org/HOWTO/Chroot-BIND-HOWTO-2.html.
Ist zwar in Verbindung mit BIND beschrieben, sollte sich aber auf deine Bedürftnisse übertragen lassen.

Gruss
Alki
 

Neue Beiträge

Zurück