Ankündigung

Einklappen
Keine Ankündigung bisher.

Nutzer auf Verzeichnis beschränken

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Nutzer auf Verzeichnis beschränken

    Hallo zusammen,

    ich habe ein Linux Debian Server und möchte gerne ein weiteren Nutzer für ein Kumpel anlegen.
    Der soll aber nur in ein bestimmtes Verzeichnis rein dürfen und am besten auch wenn er sich verbindet automatisch direkt da drin sein.

    Wie setze ich das genau um dass er dann nicht bspw. "cd ../root" macht oder sonst was.
    Er soll halt wirklich nur im Ordner "/home/projekte/name" was machen können und dort wenn möglich auch Befehle wie "./start.sh" ausführen können.
    Nix bearbeiten nix löschen.

    Danke für eure Zeit.


  • #2
    /root kan n eh nur die uid 0 lesen.
    unixoide systeme sind im allgemeoinen was leserechhte angeht sehr offen, das heisst, jeder kann alle nicht krittischen daten lesen /etc /usr /bin etc.
    bearbeiten und löschen sollte man da ehnichts können per default - als user.
    ausfüren sollte ein user alles können, was in /usr und /usr/local ist - ohne dem system schaden zufügen zu können.


    wenn ein uder ein befehl wie ./exploit.sh ausführen kann, kann d ies unter umständen ein riesen sichherheitsloch sein, je nach rechten und inhalt der datei.

    ich verstehe so weder die dee dahinter, noch die sorgen damit.
    kannst du das alles genauer ausführen ?

    Kommentar


    • #3
      Zitat von tomBuilder Beitrag anzeigen
      ich verstehe so weder die dee dahinter, noch die sorgen damit.
      kannst du das alles genauer ausführen ?
      Na meine Idee dahinter war, bspw. ein Bot der auf einem Discord läuft wieder gestartet werden kann durch den Kumpel.
      Dann muss ich mir kein Kopf machen und immer da sein.
      Es ist nämlich mal dazu gekommen, dass der Bot, auch wenn er ohne Fehler funktioniert einfach aus geht.
      Daher die Lösung mit dem User Login nur für das Verzeichnis wo die
      Code:
      ./start.sh
      liegt. Schreiben und löschen soll er ja eh nicht.
      Nur die
      Code:
      start.sh
      ausführen und dann aber auch nicht in das Unterverzeichnis wechseln mit
      Code:
      cd ..

      Kommentar


      • #4
        Wenn Du den Bot als deamon laufen hast nimm zb supervise:

        https://manpages.debian.org/stretch/...rvise-daemon.8

        sonst leg die pid in einen lock file und testen alle 10 minuten was unter der PID lä,uft und ob es noch läuft oder ein zombie ist.

        so ganz ohne freund.


        auf einem default debian solltest du deinen freund als benutzer anlegen können, ohne einschränmkungen ohne das er deine daten sieht oder dein system stört.

        allerdings solltest du auch einfach einen port aufmachen können, um dort die cmds "stop" start" restart" "status" zur verfügung zu stellen

        alles andere bedeutet in meinen augen richtig aufwand.

        Kommentar


        • #5
          Zitat von tomBuilder Beitrag anzeigen
          allerdings solltest du auch einfach einen port aufmachen können, um dort die cmds "stop" start" restart" "status" zur verfügung zu stellen
          Das hab ich tatsächlich noch nie gemacht. Gibt es eine doc wie das geht oder ein Tutorial, was du mir empfehlen kannst damit ich mir das mal anschauen kann?
          Danke dir schon mal.

          EDIT: Und ist das dann nicht zu "unsicher" bezüglich offenen Port wo jeder vilt. am ende "stop" machen kann?

          Kommentar


          • #6
            Zitat von PlatinSecurity Beitrag anzeigen
            Das hab ich tatsächlich noch nie gemacht. Gibt es eine doc wie das geht oder ein Tutorial, was du mir empfehlen kannst damit ich mir das mal anschauen kann?
            Danke dir schon mal.

            EDIT: Und ist das dann nicht zu "unsicher" bezüglich offenen Port wo jeder vilt. am ende "stop" machen kann?
            Habe ich das richtig verstanden, dass wenn der Bot abstürzt, das Skript einfach beendet ist? In dem Fall würde ich wirklich wie tomBuilder vorgeschlagen hat den Prozess als Deamon laufen lassen, so dass dieser das Skript dann automatisch neu startet.
            Running a PHP script as a service/daemon using `start-stop-daemon` · GitHub

            Kommentar


            • #7
              zumindest den init info block würde ich noch systemd compatibel hinschreiben,
              https://wiki.debian.org/LSBInitScripts
              ein .service file wird wohl auch notwendig,

              ich weiss nicht wioe und wo an dein netzwerk kommt, insofern unsicher ?

              mach bei stop halt ne passwortabfrage rein, oder lass stop ganz sein.

              einfacher tcp server php ?
              https://www.php.net/manual/de/sockets.examples.php

              Kommentar


              • #8
                moin PlatinSecurity
                ich hab noch ne idee, in der .profile ein script und ein logout anstossen.
                da musst du aber an die permission denken.

                Kommentar


                • #9
                  Hallo zusammen,

                  also ich schaue mir die Links gerade an und die Ideen, aber das Problem ist, dort sind ja so gesehen "fertige Codes".
                  Ich verstehe leider nicht was ich genau damit machen soll weil da nicht wirklich was erklärt ist. Zumindest verstehe ich es eben nicht wenn
                  es erklärt sein soll.

                  Und zu...
                  Zitat von tomBuilder Beitrag anzeigen
                  moin PlatinSecurity
                  ich hab noch ne idee, in der .profile ein script und ein logout anstossen.
                  da musst du aber an die permission denken.
                  ...Wie soll das genau funktionieren?

                  Das einzige was ich je mit nem Server gemacht hab war mir selber ein Account einrichten (abgesehen von root) und da war es mir egal
                  was ich mit dem Account sehen kann. Und naja SH Scripte ausführen für Bots oder MC-Server. :'D
                  EDIT: Naja und halt IP-Tables hab ich auch mal was gemacht aber das ist auch wieder bisschen her.

                  Kommentar


                  • #10
                    lege halt mal einen user an, wechsle mit strg+alt+f2 auf tty2 und log dich ein.
                    startup scripte findest du im home verzeichniss als versteckte datei - die fangen mit nem punkt an.

                    alles mögliche reinschreiben und ausprobieren

                    Kommentar


                    • #11
                      Zitat von tomBuilder Beitrag anzeigen
                      lege halt mal einen user an, wechsle mit strg+alt+f2 auf tty2 und log dich ein.
                      startup scripte findest du im home verzeichniss als versteckte datei - die fangen mit nem punkt an.

                      alles mögliche reinschreiben und ausprobieren
                      ah ok da ist tatsächlich ne ".profile" Datei.
                      Da steht schon was drin. Aber was soll ich da jetzt noch rein packen?
                      In welcher Sprache wird da rein geschrieben?

                      Kommentar


                      • #12
                        https://www.commandlinux.com/man-page/man1/sh.1.html

                        lesen, besonders unter invocation.

                        Kommentar

                        Lädt...
                        X