Käytäjän näkymän ja oikeuksien rajoittaminen vain tämän omaan hakemistoon

[teele]

Millä tavalla voisi rajata uuden käyttäjän oikeudet niin, että sillä olisi esimerkiksi  oikeudet suorittaa, kirjoittaa ja nähdä vain oman hakemistonsa sisällä olevia tiedostoja.

Jos haluttaisiin esimerkiksi, että käyttäjä voi nanoilla, eli lukea ja kirjoittaa, vain oman hakemistonsa tiedostoja ja oman hakemistonsa alihakemistojen tiedostoja.

Pitäisikö nano kopioida käyttäjän omaan hakemistoon. Olisiko joku tapa muuttaa tiedosto-oikeuksia niin, että tämä onnistuisi, chown, chmod, chgrp??

Tilanteessa voisi olla pelkästään esimerkiksi 2 käyttäjää ja vain toinen olisi rajoitetun käyttöoikeuden käyttäjä. Tällainen järjestely voisi olla pilvikoneella, jota käytetään vain päätteen kautta.

[_Pete_]

Tässä yksi väline mitä haet:

https://firejail.wordpress.com/

Pelkillä tiedoston oikeuksille ei tuota saa ikinä aikaan.

[teele]

Kiitos linkistä, yritin selvittää asiaa, mutta yksi kohta herättää vähän kydymyksiä:

"SUID programs are considered dangerous on multiuser systems. It is not a great idea to install Firejail on such systems. If you have a server full of people logging in over SSH, forget about it!

Firejail was built for single-user desktop systems. We try to address desktop specific threats, such as: . . . ."

Ajatus oli alunperin, että olisi muutama käyttäjä, mutta yllä olevan esittelyn mukaan silloin ei ole hyvä ajatus käyttää firejailia.

Miten tätä pitäisi tulkita ja onko pari tai kolme käyttäjää sellainen monen käyttäjän järjestelmä, johon firejailia ei suositella.

[juyli]

Millä tavalla voisi rajata uuden käyttäjän oikeudet niin, että sillä olisi esimerkiksi  oikeudet suorittaa, kirjoittaa ja nähdä vain oman hakemistonsa sisällä olevia tiedostoja.

Jos haluttaisiin esimerkiksi, että käyttäjä voi nanoilla, eli lukea ja kirjoittaa, vain oman hakemistonsa tiedostoja ja oman hakemistonsa alihakemistojen tiedostoja.

Tämän pitäisi tietenkin olla monenkäyttäjänjärjestelmissä oletus. Järjestelmään kirjautuneella on oikeus lukea, kirjoittaa ja ajaa, vain
oman hakemistonsa (alihakemistoineen) tiedostoja. Aiemmin jopa oli enemmän tai vähemmän estetty käynnistämästä kotihakemistosta järjestelmään kuulumattomia ohjelmia (tietoturva!).
Ubuntukin vain nykyisin tarjoaa esim. /home -hakemistoon kullekin käyttäjälle liiaksi oikeuksia:

Koodia: [Valitse]

ls -la /home drwxr-xr-x (d tarkoittaa hakemistoa)
omistajalle rwx (kuten pitääkin - omistajalla on kaikki oikeudet kuten luku-, kirjoitus ja ajo-oikeus)
ryhmälle rx (ihan ok?) mutta jo
muille x (jolloin järjestelmään kirjautunut käyttäjä voi selata toisen käyttäjän kotihakemiston tiedostoja   Luku tai kirjoitusoikeuksia ei tietenkään ole! )

Hieman tarkempi ja tiukempi määritys kulloisellekin kotihakemistolle olisi drwx------ eli vain omistajalla on oikeudet ko. hakemistoon.

Oikeuksiahan voidaan muuttaa kätevästi komentoriviltä sopivin oikeuksin, mutta löytyyhän tuohonkin työpöydän graafisia ohjelmia.
Varsinaisiin pilvipalvelinvirittelyihin en ota kantaa.

[Tomin]

Millä tavalla voisi rajata uuden käyttäjän oikeudet niin, että sillä olisi esimerkiksi  oikeudet suorittaa, kirjoittaa ja nähdä vain oman hakemistonsa sisällä olevia tiedostoja.

Jos haluttaisiin esimerkiksi, että käyttäjä voi nanoilla, eli lukea ja kirjoittaa, vain oman hakemistonsa tiedostoja ja oman hakemistonsa alihakemistojen tiedostoja.

muille x (jolloin järjestelmään kirjautunut käyttäjä voi selata toisen käyttäjän kotihakemiston tiedostoja   Luku tai kirjoitusoikeuksia ei tietenkään ole! )

Ei voi selata. Hakemistolla oikeus x tarkoittaa ettei tiedostoja voi listata (koska ei ole r), mutta jos johonkin tiedostoon on pääsy, niin sitä ei estetä. Jos tuota oikeutta ei olisi, niin mihinkään hakemiston (tai alihakemistojen) alla olevaan tiedostoon ei ole oikeutta, vaikka oikeudet olisivat säädetty miten tahansa.

Luulen kuitenkin, että kysyjää kiinnosti nyt tässä estää käyttäjää näkemästä, mitä muuta järjestelmässä on kuin hänen kotihakemistonsa. Niiden lukemista on aika vaikea estää täysin pelkästään tiedostojen oikeuksia muuttamalla, koska käyttäjän pitää voida lukea sieltä ohjelmia ja niiden asetustiedostoja.

[Tomin]

Tässä yksi väline mitä haet:
https://firejail.wordpress.com/

En ole ihan varma, että tuo sopii kysyjän käyttötarkoitukseen. Näyttää enemmän siltä, että tuolla on tarkoitus estää ohjelmia sekaantumasta toisiinsa saman käyttäjän käytössä. Eli vähän samaa kuin mitä Flatpak ja Snap tavoittelevat omilla hiekkalaatikoillaan.

Kiitos linkistä, yritin selvittää asiaa, mutta yksi kohta herättää vähän kydymyksiä:

"SUID programs are considered dangerous on multiuser systems. It is not a great idea to install Firejail on such systems. If you have a server full of people logging in over SSH, forget about it!

Firejail was built for single-user desktop systems. We try to address desktop specific threats, such as: . . . ."

Ajatus oli alunperin, että olisi muutama käyttäjä, mutta yllä olevan esittelyn mukaan silloin ei ole hyvä ajatus käyttää firejailia.

Miten tätä pitäisi tulkita ja onko pari tai kolme käyttäjää sellainen monen käyttäjän järjestelmä, johon firejailia ei suositella.

Tuo kuulostaa kyllä vähän erikoiselta. Onhan tavallisestikin Linux-järjestelmässä suid-ohjelmia (listaus omalta koneeltani):

Koodia: [Valitse]

tomi@tomin-xps ~> ls -l /usr/bin/ | grep -E '^[^ ]*s[^ ]*'
yhteensä 979120
-rws--x--x 1 root root   382992  8.10. 22:19 cdda2wav
-rws--x--x 1 root root   574416  8.10. 22:19 cdrecord
-rwsr-xr-x 1 root root    71728 15.12. 22:06 chage
-rwsr-xr-x 1 root root    34776 23.11. 02:33 chfn
-rwsr-xr-x 1 root root    26584 23.11. 02:33 chsh
-rwsr-xr-x 1 root root    26768 15.12. 22:06 expiry
-rwsr-xr-x 1 root root    34648 19. 9. 02:36 fusermount
-rwsr-xr-x 1 root root    34648 14.12. 19:29 fusermount3
-rwsr-xr-x 1 root root    34648  1.11. 15:25 fusermount-glusterfs
-rwsr-xr-x 1 root root    79912 15.12. 22:06 gpasswd
-rwsr-xr-x 1 root root    55048 13.11. 20:07 ksu
-rwsr-xr-x 1 root root    51168 23.11. 02:33 mount
-rwsr-sr-x 1 root root    43680  4. 1. 11:48 mount.cifs
-rwsr-xr-x 1 root root    14296 23.11. 02:33 newgrp
-rwsr-xr-x 1 root root    63624 15.12. 22:06 passwd
-rwsr-xr-x 1 root root    26376  4.10. 03:13 pkexec
-rws--x--x 1 root root   345168  8.10. 22:19 readcd
-rws--x--x 1 root root   139032  8.10. 22:19 rscsi
-rwsr-xr-x 1 root root   469776  3.10. 00:06 screen-4.7.0
-rwsr-xr-x 1 root root    44352 15.12. 22:06 sg
-rwsr-xr-x 1 root root    18184 19. 6.  2019 spice-client-glib-usb-acl-helper
-rwsr-xr-x 1 root root    63456 23.11. 02:33 su
-rwsr-xr-x 1 root root   145176  1. 1. 14:17 sudo
-rwsr-xr-x 1 root root    18256 14. 8. 01:44 suexec
-rwsr-xr-x 1 root root    34776 23.11. 02:33 umount
-rwsr-sr-x 1 root root    38664 13.11. 19:49 unix_chkpwd
-rwxr-sr-x 1 root tty     34784 23.11. 02:33 wall
-rwxr-sr-x 1 root tty     22488 23.11. 02:33 write

Toki tuo voi liittyä siihen, että chrootissa ei kannata pitää suid-ohjelmia. Niillä kun voi murtautua sieltä ulos.

Joskus käytin Jailkitiä tehdäkseni chrootin ssh:a käyttäville käyttäjille. Sinne laitoin vain ne ohjelmat ja kirjastot, joita tarvitsin. Se on tosin mielestäni aika kökkö käyttää, ja se kopioi kirjastot ja ohjelmat järjestelmästä, jolloin niiden päivittämisestä on huolehdittava itse. Vähän helpommalla saattaa päästä, jos pystyttää chrootin vaikka debootstrapillä ja sitten käyttää jailkitin shelliä kirjautumisshellinä niille käyttäjille, joita on rajoitettava. Kannattaa laittaa se liitospisteeseen, jossa on nosuid-bitti, niin sieltä ei pääse murtautumaan ulos. Ei toimi työpöydällä, mutta ssh:n yli onnistuu.

[teele]

Taas on tullut netissä roikuttua ja sieltä löytyi tällainen

https://www.ostechnix.com/how-to-limit-users-access-to-the-linux-system/

Ohjeen mukaan pitäisi olla mahdollista rajoittaa käyttäjän saataville vain tetty hakmisto ja tietyt ohjelmat, jos käyttäjän bashia rajoittaa -r -valitsimella.

Jos ymmärsin selitystä oikein, ratkaisu voisi olla aika sopiva, mutta onnistuisiko myös nanoilu käyttäjän omassa hakemistossa, jos homman saisi ohjeiden mukaan toimimaan. Tietysti nano pitäisi lisätä sallituksi ohjelmaksi, mutta nanonhan voi pyytää tallentamaan tiedostonsa minne vain. Tai voisiko vaihtoehtoisesti käyttäjän näkemää nanoa rajoittaa niin, että se käsittelee vain käyttäjän hakemiston tiedostoja esimekiksi tekemällä komentorivitiedoston oma_nano, joka käynnistäisi tämän rajoitetun nanon.

Toiveena olisi oikeuksien rajoittaminen samaan tapaan, kuin linkissä kuvataan, mutta niin, että käyttäjän hakemistossa oleva tiedostoja voisi käsitellä vapaasti.

[matsukan]

tuon r-vivun muuttaminen vaikuttaa vain kaikkiin tavallisiille käyttäjille.Jos haluaa ettei edes root käyttäjä pysty näkemään niin silloin täytyy hakemistot/tiedostot salata ohjelmistolla.