User der nur auf einem bestimmten Verzeichnis Lesen kann

[londi]

Hallo Zusammen,
Ich habe ein Verzeichnis (/public) , dass ich für den User "Reader" per SSH freigeben möchte. Der Reader-User kann wie der Name schon sagt, nur lesen, und auch nur auf diesem Verzeichnis. Die anderen Verzeichnisse bzw. Dateien sollen für ihn nicht sichtbar sein.

Wie mache ich das genau?

 

[marce]

chroot + chown / chmod.

 

[tgruene]

@marce: Wuerdest Du das genauer spezifizieren? Ich hatte mal das gleiche Problem, wuesste aber nicht, wie man das mit 'chroot + chown / chmod' konfiguriert. Ein Problem waere doch z.B., dass nach 'chroot /public' die ganzen Befehle wie 'ls, cd, ...' nicht mehr zugaenglich sind.

 

[marce]

Hm, "spontan" finde ich ca. 1Mio Tutorials für eine saubere, richtige chroot-Einrichtung - je nach sshd-Version, Distribution, Wunschverhalten, ...

Wo hakt es denn konkret?

 

[tgruene]

Wie benutze ich als Administrator chroot, so dass 'Reader' beim Einloggen per ssh nur das Verzeichnis /public sehen kann, dort allerdings auch arbeiten kann, also zum Beispiel Zugang zum Befehl 'ls' hat? Welche Konfigurationsdatei bearbeite ich dazu als Administrator?

 

[marce]

Konkret war eigentlich nicht so gemeint, daß ich hier ein komplettes Tutorial abliefere...

Hast Du Dir ein solches schon mal angeschaut? z.B. http://openbsd.maroufi.net/sshchroot.shtml - also, wo hängt es konkret?

 

[tgruene]

So ein Link sagt doch mehr als 1000 Worte. Zumal die Seite das Wort 'chown' nicht einmal enthaelt, auf das Du im ersten Post (u.a.) hingewiesen hast. Wenn es so einfach waere, wie Deine Antwort impliziert, haette londi wohl kaum gefragt.

 

[marce]

Sorry, aber die Seite findet man mit als ersten Link in eine Google-Suche. Ich habe übrigen völlig unlogische Suchbegriffe verwendet, so nebenbei.

Ob ein chown notwendig ist - hängt von den Anforderungen ab. Die Lösung ist einfach. Und die Benutzung einer Suchmaschine sollte auch jedem geläufig sein. Außerdem - gefragt hat nicht der TE sondern Du - er scheint aktuell mit meiner Antwort mehr als zufrieden zu sein und hat vermutlich mit Eigeninitiative und ein wenig Doku lesen aus den Stichworten alles gefunden, was man braucht.

 

[londi]

danke für eure Antworten!

Ich habe etwas Schwierigkeiten die Befehle richtig anzuwenden. Kannst du mir vielleicht sagen, wie der ganze Befehl lautet, ein nur Read Verzeichnis zu erstellen?

 

[marce]

Grundlegend: Der Nutzer muss in's Verzeichnis wechseln können und darin die Datein lesen.

er braucht also für's Verzeichnis r + x, für die Dateien r - ob Du das über die Besitzer, Gruppe oder Andere regelst - kommt auf die grundlegenden Anforderungen an.

 

[tgruene]

Wenn es fuer den Nutzer ausreicht, die Dateien in /public mit z.B. 'ls' sehen zu koennen und auch zu sich herkopieren koennen soll, fand ich diese Anleitung sehr leicht nachzuvollziehen und die schnellste Loesung. Da Du nur Lesezugriff haben moechtest, reicht es, wie dort erklaert, wenn root das Verzeichnis besitzt (chown root:root /public; chmod 755 /public) , so dass der Nutzer nur lesen, aber nicht schreiben kann.

Wenn es mehr sein soll, musst Du unter /public/bin die Binaries anlegen und /public/dev popularisiern, wie in dem Link von marce beschrieben.