Domanda sui permessi

[ombra]

CIao a tutti,

Ho creato un gruppo chiamato, miogruppo

e poi tramite questo comando:

codice:

useradd -g miogruppo -d /home/miogruppo/mioutente -s /sbin/nologin mioutente

Bene, quindi ho miogruppo e poi un utente all'interno chiamato mioutente all'interno di questo gruppo.

Una volta fatto questo c'è un modo per importare i permessi dell'utente affinche non possa vedere al di fuori di /home/miogruppo/mioutente ?

La mia domanda è più che altro. Se io do questo utente a qualcuno, non è che poi mi gira e incomincia a cancellarmi/modificarmi dei file?

io vorrei che potesse fare tutto SOLO su /home/miogruppo/mioutente, fuori invece nulla...

grazie per le info

[keanu]

Se devi dare account di sistema a qualcuno e fare in modo che lavori solo là dentro dovresti creargli una gabbia chroot

Dovresti fare ricerche in questo senso cercando chroot o programmi tipo jail...

sono argomenti un pò lunghetti da spiegare qui...
dovresti documentarti ed esercitarti un pò

[sacarde]

tipo?

http://openskill.info/infobox.php?ID=1351

[alexmaz]

Non ti serve un chroot. In teoria un utente normale non può modificare file di sistema. Se ti interessa che non li possa nemmeno leggere cambi i permessi di lettura dei file che non vuoi vengano letti.

[ombra]

VI spiego ho questo problema.... ho un software, in questo caso il server web lighttpd che gira con un suo utente e un suo gruppo, che con molta fantasia ho chiamato lighttpd (user) lighttpd (group) quindi uguali.

Ora che succede.....creo dei VHOSTS per fare girare più siti, questi siti avranno a loro volta un utente diverso che però avrà come gruppo lighttpd questo perché altrimenti neanche il server web riuscirebbe a leggere i file di questi siti web.

Però in questo caso che succede, io ho:

lighttpd:lighttpd (server web)

poi ho i siti web (virtual hosts)


site1:lighttpd
site2:lighttpd
site3:lighttpd


etc etc

Tutto funziona bene, l'unico problema che se un utente mi crea uno script PHP che gira ad esempio sul primo sito...
Riesce a leggermi anche i file di un altro sito. Quindi se do l'accesso ad un altro utente magari mi crea qualche casino.

O meglio.... imposto solo i permessi di LETTURA, quindi magari casino non lo crea perché non può modificare i dati, PERO' può leggere i sorgenti, eventuali password memorizzate nei files, ecc ecc. Quindi non mi sento tanto sicuro.

Come posso bloccare questi "guardoni" ? :-D

Perché se per ogni sito creo un utente e un gruppo diverso poi alla fine manco lighttpd riesce a leggerli quindi sistemato un problema se ne crea un altro.

Grazie mille x le info!

[keanu]

Scusa ma visto che il tuo è un problema di hosting perchè non ti orienti verso l'installazione di un pannello di gestione di un servizio di hosting che ti permette di gestire in maniera coordinata web,ftp,mail, ssh etc. evitando di farti impazzire....

Penso ad ispconfig per esempio del sito howtoforge.com
in pratica ti indicano cosa installare, programmi famosi come apache,proftp,postfix etc. e poi ti installi il loro pannello,che consiste in un sito in php per la gestione...

poi dipende se stai facendo queste cose per studio tuo o vuoi un servizio completo che sia pure + gestibile...

Te lo dico perchè anch'io sono partito dall'installazione di singoli servizi e alla fine sono approdato ad una soluzione integrata..

oltre a ispconfig ci sono sicuro varie alternative .. anzi se trovi qualcosa di interessante in questo senso posta qualche soluzione che ti piace (eccetto cose a pagamento tipo Plesk di Parallels)

Ciao

[ombra]

giustissima osservazione keanu.

Ma il problema come ho detto prima non è tanto creare i vhosts ftp o altro (anche perché mi sono fatto uno script che me li crea al volo)

Vorrei solo capire come andrebbero gestite queste cose, perché a parte lighttpd, poteva essere anche un altro software quindi alla fine il problema si sarebbe ripresentato.

PIù che altro mi interessa capire la logica che c'è sotto... non vorrei lasciare nulla al caso, non sto realizzando nulla di particolare, ma far leggere i contenuti di un sito da un altro mi sembra veramente poco sicuro...che poi ripeto, si possono solo LEGGERE. Ma alla fine molti script come ad esempio phpmyadmin e altri usano file con all'interno le password quindi risulterebbe poco sicuro.

Che poi tutti i siti sono i miei è un conto, ma come ho appena detto, mi interessa sapere la logica che gira intorno ai permessi per gestioni di questo tipo.

Voglio imparare a gestire un server, configurarlo da zero con tutti i servizi...ho comprato anche dei libri per studiare meglio.

Che poi ci sono dei software che fanno già tutto ok, però vorrei sapere cosa realmente accade nel sistema...

Il discorso è che su linux manca una cosa che secondo me è essenziale (chiedo umilmente scusa se la cosa esiste....utilizzo linux da poco quindi magari sparo una fesseria), i permessi si riferiscono al prorpietario - gruppo - altri utenti

secondo me generalizzare con "altri utenti" è sbagliato, perché magari TUTTI gli utenti non devono fare una cosa TRANNE uno.

Se ci fosse una cosa del genere...potrei bloccare tutti e permettere al solo utente del server web la lettura.

Esiste qualcosa del genere?

Grazie dell'aiuto ragazzi...fatemi sapere

[keanu]

Ma gli utenti in che modo entrano nel sistema ?

se devono solo modificare il loro spazio basta una soluzione ftp con utenti virtuali tipo proftp+mysql che includa già il chroot e così possono leggere e scrivere solo nella loro directory...

io per esempio nei sistemi l'accesso "da terminale" agli utenti non lo do mai, per fare i siti possono usare ftp e in rete locale se hanno bisogno di accedere ad altre aree glielo permetto con samba...poi basta

se vuoi farli entrare in ssh ti rimando alle risposte di prima dei vari chroot kit...come quello suggerito dall'altro utente...

Spero di esserti stato utile...

buon lavoro!

[sacarde]

per rendere piu dettagliato i permessi c'e':

ACL

http://tolab.fisica.unimi.it/a2/a2114.html

[ombra]

Ciao!
Entrano tramite ftp.Ogni utente ha la sua home e con l'ftp li faccio accedere li. Funziona perfettamente...cioe tramite ftp riesco a bloccarli li dentro,non vedono nulla al di fuori.
Il discorso cambia per il web server...se da uno script php so il percorso di un altro sito mi vedo tutto il sorgente.

Chroot alla fine serve?nel senso posso far leggere i contenuti da un utente(web server) e invece bloccare l'utente(vhost) in modo da non fargli vedere nulla al di fuori?

Grazie