
Ich konfiguriere GNU/Linux-Benutzer als Benutzer für einen vsftpd-FTP-Server und habe die folgenden Sicherheitseinschränkungen:
- Benutzerfookann in seinem Home-Verzeichnis lesen und schreiben.
- BenutzerBarkann in seinem Home-Verzeichnis lesen und schreiben und infoo'S.
- Benutzerbazkann in seiner undfoo's und lesen Sie inBar's Home-Verzeichnis.
- Alle Benutzer dürfen kein anderes Verzeichnis lesen (Benutzer befinden sich in einemChroot-Gefängnisbis zum
vsftp.conf
).
Wie würde ich so etwas erreichen?
Antwort1
Ich würde in diesem Fall die Verwendung von ACLs (Access Control Lists) vorschlagen. Sie ermöglichen eine viel feinere Kontrolle als nur Benutzer-/Gruppenberechtigungen.
Sehenhttps://linuxconfig.org/wie-man-acls-unter-linux-verwaltetfür eine Einführung.
Antwort2
Im Allgemeinen öffnen Sie entweder die Rechte für bestimmte Ordner wie 660
Entweder gehört jeder von ihnen zu einer bestimmten Gruppe, die auf bestimmte Ordner zugreifen kann. Beispiel: Wenn Ordner2 Apache gehört, können Sie ein usermod -a -G apache bar ausführen, um ihm den Zugriff auf diesen Ordner zu ermöglichen. In diesem Moment müssen Sie jedoch noch einmal überprüfen, ob dies nicht zu freizügig ist.
Vielleicht können Sie Zwischengruppen erstellen, um auf einige Ordner zuzugreifen, aber ich bin nicht sicher, ob es eine gute Idee ist, die Rechte an dem, was sich in /home/ befindet, zu manipulieren. Meiner Meinung nach ist es besser, einen Netzwerkfreigabe-Einhängepunkt oder einen freigegebenen Ordner irgendwo anders im Dateisystem zu verwenden