Einem User die Rechte nehmen ein Verzeichnis zurück zu gehen

[Deidaraa]

Hallo Community,

ich würde gerne einem meiner User die Rechte nehmen ein Verzeichnis zurück zu gehen, wie funktioniert das?
Also er soll schon noch alles Schreiben/Ausführen/Lesen können was in seinem Verzeichnis ist, aber den Rest eben nicht.

Grüße Deidara

 

[Troublegum]

Dem Benutzer die Berechtigungen r & w für das übergeordnete Verzeichnis entziehen reicht aus.

 

[Deidaraa]

Wie genau funktioniert das denn?

 

[Troublegum]

Du kannst für das übergeordnete Verzeichnis per "chmod" Berechtigungen vergeben.
Und zwar für den Besitzer des Verzeichnisses und für die Gruppe des Verzeichnisses und für alle anderen.
Wem (Benutzer und Gruppe) gehört denn das übergeordenete Verzeichnis?
Und wer ist der Benutzer und seine Gruppen, der darauf keinen Zugriff haben soll?

 

[Deidaraa]

Der Besitzer sowie Benutzer gehört sein User Verzeichnis also /home/user_1/ordner.
Er soll von diesem Ordner aus nicht übergeordnete Verzeichnisse einsehen können.

 

[Troublegum]

Also: user_1 soll also nicht auf /home zugreifen dürfen?
Wer ist der Besitzer und die Gruppe von /home?
In welchen Gruppen ist user_1?

 

[Zedar]

Das ist gar nicht so einfach.

Du musst den User in eine bestimmte Gruppe stecken welcher du dann die Rechte nimmst andere Daten als die eigenen zu lesen. Die Schwierigkeit ist, das Programme auch in den übergeordneten Dateisystemen Lese/Schreibrechte benötigen.

Natürlich darf der betroffene User dann auch nicht mehr die Möglichkeit haben sich mittels root/sudo entsprechende Rechte zu organisieren. Schwierig wirds, wenn der User etwa technisch versiert ist und mittels Live-CD/USB die Daten einfach ausliest.

Hilft es dir alles sensible in deinen Home-Ordner zu sammeln und diesen dann zu verschlüsseln?

 

[ebast]

Dem Benutzer die Berechtigungen r & w für das übergeordnete Verzeichnis entziehen reicht aus.

Wie genau funktioniert das denn?

Umsetzung des Vorschlags von Troublegum:

find / -type d ! -wholename '/home/user_1*' -exec chmod -v o-rw {} \;

Das entzieht allen Usern, die nicht der Besitzer oder in der Gruppe der entsprechenden Ordnern sind, Lese- und Schreibrechte von allen Ordnern im System außer denen im Homeverzeichnis. Dadurch kann der Benutzer zwar noch in Ordner wechseln und Dateien lesen, allerdings muss er wissen, wie die Dateien heißen.

Alles andere ist Quatsch, da der User auch Dateien lesen und schreiben können MUSS, die nicht in seinem Home-Verzeichnis liegen, z.B. Programme, deren Libs, Konfigurations- und tmp-Dateien. Daher sollte man im obigen Codebeispiel analog zu "! -wholename '/home/user_1*'" noch ein paar weitere Pfade ausschließen. Spontan fällt mir dazu ein:

• /bin
• /usr/bin
• /var/tmp
• /tmp

Ich weiß jetzt nicht, warum man einen User verbieten sollte, das System einzusehen, aber gut... irgendeinen Grund wirds schon geben...

 

[Deidaraa]

Okay danke euch.