SSH: Begränsa åtkomst till katalog och dess underkataloger

[ollu]

Hej,

Jag har surfat runt och kollat lite på nätet efter ngt som skulle kunna lösa mitt problem. Precis som man gör när man sätter upp ett ftp-konto som begränsas till en katalog och dess underkataloger skulle jag vilja begränsa en användare som logger in via SSH. Så när den användaren loggar in så hamnar den i bestämd katalog och kan sedan inte förflytta sig upp i katalogstrukturen.

Är detta möjligt?

välnliga hälsningar, Ola

[ubot]

Då får du skapa ett chroot jail: https://help.ubuntu.com/community/BasicChroot
Det gäller ju att göra det på rätt sätt så att användaren inte har möjlighet att ta sig ur jail:et och komma åt kataloger/filer i övriga systemet. Det är väl där haken med chroot är om jag har förstått saken rätt.

Det går såklart att hindra en användare från att stega upp i filträdet genom att ändra rättigheterna på kataloger/filer också men det är knappast säkert. Du skulle t.ex. kunna skapa en ny användare som du sedan tar bort ur gruppen som har rätt att bläddra i katalogerna och sedan sätta rättigheterna:

Kod: Markera allt

sudo chmod 750 -R /path/to/forbidden

och sedan ha

Kod: Markera allt

sudo chmod 700 -R /path/to/forbidden/allowed/

så att användaren user har rätt till allt under allowed-katalogen. Det är då viktigt att användaren user inte är med i gruppen som har rätt till /path/to/forbidden och att användare äger katalogen /path/to/forbidden/allowed och alla underkataloger, d.v.s. du får sätta user som ägare till /path/to/forbidden/allowed:

Kod: Markera allt

sudo chown user:user -R /path/to/forbidden/allowed/

Det här är knappast säkert för fem öre och en erfaren användare tar sig nog enkelt ut ur "jailet" med ett simpelt knep.