
Я настраиваю пользователей GNU/Linux в качестве пользователей FTP-сервера vsftpd, и у меня есть следующие ограничения безопасности:
- Пользовательфуможет читать и писать в своем домашнем каталоге.
- Пользовательбарможет читать и писать в своем домашнем каталоге и вфу'с.
- Пользовательбазможет читать и писать на своем ифу's и читать вбардомашний каталог.
- Все пользователи не должны читать никакие другие каталоги (пользователи находятся вchroot-тюрьмапосредством
vsftp.conf
).
Как мне добиться чего-то подобного?
решение1
Я бы предложил использовать ACL (списки контроля доступа) в этом случае. Это позволяет гораздо более тонкий контроль, чем просто разрешения пользователей/групп.
Видетьhttps://linuxconfig.org/how-to-manage-acls-on-linuxдля ознакомления.
решение2
Вообще говоря, либо вы открываете права определенных папок, например 660
Либо каждый из них принадлежит к определенной группе, которая может получить доступ к определенным папкам. Например, если folder2 принадлежит Apache, вы можете выполнить команду usermod -a -G apache bar, чтобы разрешить ему доступ к этой папке, но в этот момент вам нужно дважды проверить, не слишком ли это разрешает.
Возможно, вы можете создать промежуточные группы для доступа к некоторым папкам, но я не уверен, что это хорошая идея — манипулировать правами того, что находится в /home/. По моему мнению, лучше использовать точку монтирования сетевого ресурса или общую папку где-то еще в файловой системе.