У меня есть FTP-сервер (proftpd на Debian), к которому я собираюсь предоставить доступ нескольким друзьям, и я хочу предусмотреть некоторые меры безопасности, просто на всякий случай.
Вот некоторые из вещей, которые я хотел бы сделать:
- Заблокируйте учетные записи в их домашних каталогах и установите ограничение на объем данных, которые они могут загрузить.
- Разрешите им доступ к общей папке (через символическую ссылку или что-то еще), где у них будет полный доступ (также с ограничением по объему хранилища, но больше)
- Разрешить моей учетной записи полный доступ к системе (полагаю, с использованием групп)
- Не разрешать анонимный доступ или разрешать его в собственной папке, отдельной от общей папки пользователя.
В настоящее время я настроил и запер учетные записи, но, похоже, что символическая ссылка, которую я вставил, не позволяет им посещать общую папку. Я предполагаю, что это связано с тем, что у них нет прав на чтение нигде, кроме их собственных домашних каталогов, или, может быть, это что-то еще, я продолжу разбираться и предоставлю любую запрошенную информацию.
Возможно ли то, что я пытаюсь сделать? Буду признателен за любые советы или ресурсы, которыми вы можете поделиться. Спасибо.
решение1
Возможно ли то, что я пытаюсь сделать?
Имея один логин для каждого друга, вы (вероятно) не сможете сделать и то, и другое
- Поместите учетные записи в их домашние каталоги.
- Разрешите им доступ к общей папке.
Вы можете сделать что-нибудь из этого
- Предоставьте отдельную учетную запись для доступа к общей папке.
- Используйте что-то вроде unison для копирования подпапки между всеми заблокированными аккаунтами.
- Что-то еще, о чем я не подумал :-)
решение2
Изначально я редактировал этот пост, но сегодня я понял, что вы можете ответить на свой собственный вопрос на StackExchange... Упс.
Я не предоставлял никаких обновлений по этому поводу некоторое время, но я собираюсь записать то, что я сделал здесь, для себя и других, чтобы ссылаться. Я не наложил никаких ограничений на разрешенное дисковое пространство в конце, ноэтотможет быть полезно. Для общей папки я использовал опцию bind mount — говорят, что она не работает в старых версиях Linux, но у меня она сработала. Мой конфиг fstab для этой опции выглядит так:
/absolute/path/to/folder /home/user1/Shared ext4 bind 0 0
/absolute/path/to/folder /home/user2/Shared ext4 bind 0 0 ...
Вот и все, если хотите, посмотрите опцию привязки для получения дополнительной информации. Я также сделал папку chown'ом, чтобы только пользователи из определенной группы могли читать или писать в нее, и я держал пользователей в тюрьме их домашних каталогов. Я также никогда не решался предоставить своей учетной записи полный доступ, поскольку теперь понимаю, что это, вероятно, ненужный риск безопасности; я могу просто войти по ssh из дома и делать все, что мне нужно через него. Надеюсь, это в конечном итоге поможет кому-то еще.