Best practise med brugere på en linux server

"Hardcore" sysadmin's laver en eller anden form for Restricted shell. (som oftest ender med at være ubrugelig IMHO

"dygtige" sysadmin's spørger sig selv om det virkeligt er nødvendigt med en shell adgang?

"Mindre dygtige" roder med retigheder. Og risikerer at miste overblikket.

FTP delen klares i FTP serverens config fil.

Og os der ikke er ret dygtige, vi ser hos www.nsa.gov om ikke der skulle være nogle anbefalinger om emnet (alternativt hos www.cert.org eller www.sans.org)

jaja.. Jeg mener jo bare, at hvor ofte er det egentligt nødvendigt med en shell?

Men i alle tilfælde kan man ikke gøre noget ved at folk "browser" rundt - kun af de ikke kan læse indholdet af filer m.m. (Så vidt jeg ved)

- men jeg kan da have overset noget....

jeg har selv puslet med tanken om at installere vmware på maskinen og så installere linux den vej rundt .. så kører de hver især for sig selv ... men jeg har ikke prøvet det i praksis :-)

Alternativet er vel at bruge Userland linux ... men er vel en variation over samme team.

Lidt løse ideer .. du må meget gerne skrive hvis du benytter dem med held ;-)

Mfalck <<< ?

ok, meget godt. Vil det sige at jeg bliver nødt til at acceptere, at his jeg giver folk adgang med fx. WinSCP så kan de bare browse rundt på må og få ?

Eller giver ssh serveren mulighed for begrænsning lige som ftp serveren ?

mvh. Daniel

ja medmindre du selv laver en restricted shell. Men den vil have 0 kommandoer som standard. dvs. ingen 'ls', 'cat' o.s.v... Hvis du giver adgang til f.eks. ls kommandoen så kan folk "browse" rundt.

Jeg lukker da jeg ikke fik nogle brugbare opskrifter :)
Ellers tak for hjælpen.

Hvad snakker du om?

Det er da klart du ikke fik nogen brugbare opskrifter på noget du ikke kan.

1: Du spørger hvad dygtige sysadmins gør: Svaret er: De gør de ikke
2: Du spørger hvad den generelle praksis er.. også her er svaret at man giver ikke shell accounts medmindre det ikke kan undgåes.

Og hvis du aligevel vil gøre det så er opskriften

1: Benyt bash -r
2: Opret symlink til de kommandoer som dine brugere skal kunne udnytte
3: Google videre derfra hvis ikke du altså også gerne lige vil have vi skal skrive en bog til det

> /dev/null

hmm, du tager sku da tingene lidt tungt va :)

Dank jeg fik da fine kommentarer, og blev klogere. Det var ikke meningen at disse jer, men hvis jeg ikke får et svar skal jeg vel heller ikke betale for det vel. Men jeg giver da gerne 30 pts. hvis du stadigvæk vil have dem.
Håber ikke du har sådan en dårlig dag hver dag :)

God jul hilsen Daniel.

de 30 point er jeg ligeglad med. jeg har mere end rigeligt.

Du spørger efter en løsning på at forhindre folk i at browse udenfor deres home. Svaret er klart:

Det kan man ikke, medmindre man giver dem en restricted shell uden kommandoen 'LS' og 'CD' o.s.v.

Og så vil de heller ikke kunne browse rundt i deres egen mapper.

prøv at skrive "bash -r" i din shell.. og arbejd videre derfra.

Jeg læser problemet som at man som admin gerne vil give brugeren eksklusiv adgang til sit eget personlige bibliotek mappet til et drev (f.eks. H:-drev) à la MS-servere, men ikke adgang til andres personlige biblioteker.

Hvis man ikke kan søge for dette kan jeg ikke rigtig se værdien af Linux. På en MS-server kan jeg da ganske nemt via rettigheder styre adgang til shares på serveren. Men OK, jeg er totalt uerfaren ud i Linux, så jeg ser frem til at blive klogere...

nu blander du lidt tingene sammen; det som er emnet for diskussion er ikke om man kan oprette noget privat plads på en netværksserver, det er ret simplet på linux også.

Det som er problemet ville svare til at brugere på et windows system skulle køre hver deres version af windows på samme maskine, på samme tid uafhængigt af hinanden