Автор Тема: Настройка на Users Group правата  (Прочетена 7025 пъти)

vladi246

  • Напреднали
  • *****
  • Публикации: 41
  • Ако можех бих взривил КАТ
    • Профил
Здравейте Колеги
Искам да попитам
Примерно: Създавам потребител petko:freegroup със тази група
И въпроса е как на тази група да и огранича правата така,че да не може да вижда назад директорите като напише cd..
и как да я създам тази група иначе знак че задаването на папка да ползва група става така chown ..... но то още при създаването на user те пита в коя група ще е
Благодаря за разбирането
Ползвам Slackware 12.2
Активен

Mikrotik-bg.net - ISP Network Forum

bop_bop_mara

  • Напреднали
  • *****
  • Публикации: 2433
  • Distribution: Debian Testing
  • Window Manager: LXDE
  • Cute and cuddly
    • Профил
Re: Настройка на Users Group правата
« Отговор #1 -: May 21, 2010, 10:18 »
И въпроса е как на тази група да и огранича правата така,че да не може да вижда назад директорите като напише cd..

За да можеш да стигнеш (да се позиционираш) в една директория ти трябва x право (право за позициониране и прочитане на съдържанието ѝ, накратко казано) за всички директории в абсолютния път до нея включително. Тоест с обикновените права за достъп това, което ти искаш,  май няма как да стане.

и как да я създам тази група иначе знак че задаването на папка да ползва група става така chown
Има права за достъп до папката, не група, която ползва папката, и не папка, която ползва групата. :)

Аз не разбрах съвсем каква е постановката и какво трябва да се ограничи. Може би chroot-ване е това, което търсиш?
Активен

vladi246

  • Напреднали
  • *****
  • Публикации: 41
  • Ако можех бих взривил КАТ
    • Профил
Re: Настройка на Users Group правата
« Отговор #2 -: May 21, 2010, 18:26 »
И въпроса е как на тази група да и огранича правата така,че да не може да вижда назад директорите като напише cd..

За да можеш да стигнеш (да се позиционираш) в една директория ти трябва x право (право за позициониране и прочитане на съдържанието ѝ, накратко казано) за всички директории в абсолютния път до нея включително. Тоест с обикновените права за достъп това, което ти искаш,  май няма как да стане.

и как да я създам тази група иначе знак че задаването на папка да ползва група става така chown
Има права за достъп до папката, не група, която ползва папката, и не папка, която ползва групата. :)

Аз не разбрах съвсем каква е постановката и какво трябва да се ограничи. Може би chroot-ване е това, което търсиш?
Извинявам се че не съм успял да се изразя правилно.
Ще се опитам с 2-думи да обясня
Искам 1 потребител освен в неговата директория в друга да не може да гледа
Как да го направя
Благодаря
Активен

Mikrotik-bg.net - ISP Network Forum

romeo_ninov

  • Напреднали
  • *****
  • Публикации: 2155
    • Профил
Re: Настройка на Users Group правата
« Отговор #3 -: May 21, 2010, 20:14 »
И въпроса е как на тази група да и огранича правата така,че да не може да вижда назад директорите като напише cd..
За да можеш да стигнеш (да се позиционираш) в една директория ти трябва x право (право за позициониране и прочитане на съдържанието ѝ, накратко казано) за всички директории в абсолютния път до нея включително. Тоест с обикновените права за достъп това, което ти искаш,  май няма как да стане.
Една дребна забележка - х е право да отидеш в тази директория, r е право да видиш съдържанието й
Код:
[test@centos ~]$ mkdir aaa
[test@centos ~]$ ls -ld aaa
drwxrwxr-x 2 test test 4096 May 21 19:04 aaa
[test@centos ~]$ touch aaa/testtest
[test@centos ~]$ ls -ld aaa
drwx------ 2 test test 4096 May 21 19:04 aaa
[test@centos ~]$ ls -l aaa
total 0
-rw-rw-r-- 1 test test 0 May 21 19:04 testtest
[test@centos ~]$ chmod 500 aaa
[test@centos ~]$ ls -l aaa
total 0
-rw-rw-r-- 1 test test 0 May 21 19:04 testtest
[test@centos ~]$ cd aaa
[test@centos aaa]$ cd ..
[test@centos ~]$ chmod 100 aaa
[test@centos ~]$ ls -ld aaa
d--x------ 2 test test 4096 May 21 19:04 aaa
[test@centos ~]$ ls -l aaa
ls: aaa: Permission denied
[test@centos ~]$ cd aaa
[test@centos aaa]$ cd ..
[test@centos ~]$ chmod 400 aaa
[test@centos ~]$ ls -l aaa
total 0
?--------- ? ? ? ?            ? testtest
[test@centos ~]$ cd aaa
-bash: cd: aaa: Permission denied
Активен

0x2B|~0x2B

mrowcp

  • Напреднали
  • *****
  • Публикации: 450
    • Профил
Re: Настройка на Users Group правата
« Отговор #4 -: May 21, 2010, 20:16 »
И въпроса е как на тази група да и огранича правата така,че да не може да вижда назад директорите като напише cd..

За да можеш да стигнеш (да се позиционираш) в една директория ти трябва x право (право за позициониране и прочитане на съдържанието ѝ, накратко казано) за всички директории в абсолютния път до нея включително. Тоест с обикновените права за достъп това, което ти искаш,  май няма как да стане.

и как да я създам тази група иначе знак че задаването на папка да ползва група става така chown
Има права за достъп до папката, не група, която ползва папката, и не папка, която ползва групата. :)

Аз не разбрах съвсем каква е постановката и какво трябва да се ограничи. Може би chroot-ване е това, което търсиш?
Извинявам се че не съм успял да се изразя правилно.
Ще се опитам с 2-думи да обясня
Искам 1 потребител освен в неговата директория в друга да не може да гледа
Как да го направя
Благодаря

Сменяш правата на предната директория:
chmod 700 prednata

Код:
Store# chmod 700 test
Store# ls -al
total 28
drwxrwxrwx   3 mom    wheel   512 May 21 20:18 .
drwxrwxrwx  40 root   wheel  1024 May 14 23:00 ..
..................
..................
drwx------   2 root   wheel   512 May 21 20:18 test
Store# cd test/
Store# su mom
%pwd
/home/mom/test
%cd ..
..: Permission denied.
%

P.S. малко доуточнение: Ако искаш да направиш следното: user1 user2 user3 имат папки в /home и нито един от 3мата да не може да влиза в папките на другите, начина е с chmod.Вече ако искаш user1 user2 да не могат да изпълнят uname -a;uptime;whoami или някоя команда, нещата стоят по съвсем различен начин.
Прочети в google хелп-а на chmod и съответните нива и ще ти стане ясно.
P.S. ако е chmod 400 и той няма да може да си чете/влезе в папката.

Код:
Store# su mom
%pwd
/home/mom
%cd test/
%ls -al
total 4
drwx------  2 mom  wheel  512 May 21 20:18 .
drwxrwxrwx  3 mom  wheel  512 May 21 20:18 ..
%cd ..
%exit
exit
Store# su user2
$ pwd
/home/mom
$ cd test
cd: can't cd to test
$ ls -al
total 28
drwxrwxrwx   3 mom    wheel   512 May 21 20:18 .
drwxrwxrwx  40 root   wheel  1024 May 14 23:00 ..
drwx------   2 mom    wheel   512 May 21 20:18 test
$ exit
Store# chmod 400 test/
Store# pwd
/home/mom
Store# su mom
%cd test/
test/: Permission denied.
%ls -al
total 28
drwxrwxrwx   3 mom    wheel   512 May 21 20:18 .
drwxrwxrwx  40 root   wheel  1024 May 14 23:00 ..
dr--------   2 mom    wheel   512 May 21 20:18 test
%exit
Store# pwd
/home/mom
Store# cd test
Store# su mom
%pwd
/home/mom/test
%ls -al
ls: .: Permission denied

« Последна редакция: May 21, 2010, 21:11 от mrowcp »
Активен

Some Things Just Are The Way They Are

romeo_ninov

  • Напреднали
  • *****
  • Публикации: 2155
    • Профил
Re: Настройка на Users Group правата
« Отговор #5 -: May 21, 2010, 20:17 »
Извинявам се че не съм успял да се изразя правилно.
Ще се опитам с 2-думи да обясня
Искам 1 потребител освен в неговата директория в друга да не може да гледа
Как да го направя
Благодаря
И как да стане това? Нали този потребител има нужда да изпълни една команда? Ако не може да я види как ще я изпълни? Можеш да създадеш chroot обкръжение, но си помисли наистина ли е нужно
Активен

0x2B|~0x2B

vladi246

  • Напреднали
  • *****
  • Публикации: 41
  • Ако можех бих взривил КАТ
    • Профил
Re: Настройка на Users Group правата
« Отговор #6 -: May 21, 2010, 20:31 »
Извинявам се че не съм успял да се изразя правилно.
Ще се опитам с 2-думи да обясня
Искам 1 потребител освен в неговата директория в друга да не може да гледа
Как да го направя
Благодаря
И как да стане това? Нали този потребител има нужда да изпълни една команда? Ако не може да я види как ще я изпълни? Можеш да създадеш chroot обкръжение, но си помисли наистина ли е нужно
Имах предвид,да не може да се разхожда из /etc/,/usr/loca/ и такива системни дир
Активен

Mikrotik-bg.net - ISP Network Forum

romeo_ninov

  • Напреднали
  • *****
  • Публикации: 2155
    • Профил
Re: Настройка на Users Group правата
« Отговор #7 -: May 21, 2010, 20:47 »
Извинявам се че не съм успял да се изразя правилно.
Ще се опитам с 2-думи да обясня
Искам 1 потребител освен в неговата директория в друга да не може да гледа
Как да го направя
Благодаря
И как да стане това? Нали този потребител има нужда да изпълни една команда? Ако не може да я види как ще я изпълни? Можеш да създадеш chroot обкръжение, но си помисли наистина ли е нужно
Имах предвид,да не може да се разхожда из /etc/,/usr/loca/ и такива системни дир
пак да попитам: какъв е смисъла, обикновения потребител може само да чете
Активен

0x2B|~0x2B

_rincewind

  • Напреднали
  • *****
  • Публикации: 20
    • Профил
Re: Настройка на Users Group правата
« Отговор #8 -: May 21, 2010, 23:35 »
"Ами ... пожелавам му попътен вятър, който да го води през бурното море на живота"

както казва един приятел, попаднал е и той в реката от лайна в лодка без гребла :)
Активен

neter

  • Global Moderator
  • Напреднали
  • *****
  • Публикации: 3408
  • Distribution: Debian, SailfishOS, CentOS
  • Window Manager: LXDE, Lipstick
    • Профил
    • WWW
Re: Настройка на Users Group правата
« Отговор #9 -: May 22, 2010, 00:01 »
За всичко си има начин :) Споменахте за "r" и "x" флаговете на папките, но не довършихте идеята. Глобална директна настройка за това, което искаш в случая, няма (изключваме варианта, ако сме си написали скрипт за целта). Така че се налага промяната да се въведе за всяка папка поотделно, в която потребителят не трябва да има достъп за разходки. Но все пак трябва да се даде възможност на потребителя да оперира с файловете в тези папки, особено що се касае до файловете в bin папките (иначе, както се спомена, ще се загуби достъп до командите). Значението на "r" флага е четене, както при папките, така и при файловете, а значението на "x" флага е позициониране при папките и изпълнение при файловете. Премахвайки "r" флага на дадена папка, и оставяйки "x" флага й, позволяваме да се извършват действия върху файлове, намиращи се в тази папка, но забраняваме прочитане съдържанието на тази папка - точно това, което се иска в дадената задача. Това какво ще може да се прави с файла, зависи от флаговете на файла, като единствено изтриването на файла се влияе от "w" флага на папката, в която се намира. Казано накратко, за да постигнем задачата, трябва на всяка папка, в която потребителят не трябва да има право да се разхожда, да се зададе стойност "1" (--x) на групата флагове, която се отнася до този потребител.
Пример: Имаме потребител pesho, който не трябва да може да се разхожда в папката /bin, но трябва да може да изпълнява файловете от нея, тъй като там има команди, от които има нужда. Тази папка има потребител-собственик root и група-собственик root, и текущо е с права 0755
Цитат
drwxr-xr-x 2 root root 4096 2010-05-21 22:46 /bin
Тъй като потребителят pesho не е нито потребител-собственик, нито е в групата-собственик, ни интересува третата група флагове, текущо със стойност "5" (r-x). За да забраним на потребителя pesho да се разхожда в тази папка, трябва да изпълним следната команда с root права
Код
GeSHi (Bash):
  1. chmod 751 /bin
Забелязваш коя 5-ица се смени на 1-ица. Ако pesho беше потребител-собственик, то щеше да ни интересува не третата група, а първата, която текущо е със стойност "7" (rwx), а ако pesho се намираше в групата-собственик, тогава щеше да ни интересува втората група флагове. Ако pesho е едновременно потребител-собственик и се намира в групата-собственик, тогава променяме стойностите и на първата, и на втората група флагове. Сигурно забелязваш, че при командата ls се изписа и едно "d" пред групите флагове. Това е една нулева група от служебни флагове. "d" означава папка без sticky bit, setuid и setgid флагове (въпросната нула в цифрите 0755, които показах по-горе; зачети се за тези флагове, ако ти е интересно) ;)
Активен

"Да си добре приспособен към болно общество не е признак за добро здраве" - Джиду Кришнамурти

romeo_ninov

  • Напреднали
  • *****
  • Публикации: 2155
    • Профил
Re: Настройка на Users Group правата
« Отговор #10 -: May 22, 2010, 14:20 »
.... Сигурно забелязваш, че при командата ls се изписа и едно "d" пред групите флагове. Това е една нулева група от служебни флагове. "d" означава папка без sticky bit, setuid и setgid флагове (въпросната нула в цифрите 0755, които показах по-горе; зачети се за тези флагове, ако ти е интересно) ;)
Тук не си прав, защото първия символ не е бит и може да има стойности -, d, l, c, b (сигурно и други)
Освен това setuid и setgid НЕ ПРОМЕНЯТ първия символ а х на потребител и група съответно!
« Последна редакция: May 22, 2010, 14:34 от romeo_ninov »
Активен

0x2B|~0x2B

neter

  • Global Moderator
  • Напреднали
  • *****
  • Публикации: 3408
  • Distribution: Debian, SailfishOS, CentOS
  • Window Manager: LXDE, Lipstick
    • Профил
    • WWW
Re: Настройка на Users Group правата
« Отговор #11 -: May 22, 2010, 16:40 »
.... Сигурно забелязваш, че при командата ls се изписа и едно "d" пред групите флагове. Това е една нулева група от служебни флагове. "d" означава папка без sticky bit, setuid и setgid флагове (въпросната нула в цифрите 0755, които показах по-горе; зачети се за тези флагове, ако ти е интересно) ;)
Тук не си прав, защото първия символ не е бит и може да има стойности -, d, l, c, b (сигурно и други)
Освен това setuid и setgid НЕ ПРОМЕНЯТ първия символ а х на потребител и група съответно!
Прав си, моя грешка. Нещо съм останал с грешни спомени по въпроса, а не проверих преди това [_]3
Активен

"Да си добре приспособен към болно общество не е признак за добро здраве" - Джиду Кришнамурти

bop_bop_mara

  • Напреднали
  • *****
  • Публикации: 2433
  • Distribution: Debian Testing
  • Window Manager: LXDE
  • Cute and cuddly
    • Профил
Re: Настройка на Users Group правата
« Отговор #12 -: May 23, 2010, 02:45 »
Извинявам се че не съм успял да се изразя правилно.
Ще се опитам с 2-думи да обясня
Искам 1 потребител освен в неговата директория в друга да не може да гледа
Как да го направя
Благодаря
Ами на мен това ми звучи като chroot. Но да, това е малко тежка артилерия, така че, ако не се налага с нея, поиграй си с правата за достъп. Ама пък ако много държиш да са суперограничени потребителите, това ще е начина.

//offtopic
Една дребна забележка - х е право да отидеш в тази директория, r е право да видиш съдържанието й
Дам :) Дългите обяснения са оплитащи ;)
Активен

kennedy

  • Напреднали
  • *****
  • Публикации: 2151
  • Николай Колев
    • Профил
Re: Настройка на Users Group правата
« Отговор #13 -: May 23, 2010, 22:00 »
да не би да иска да ги ограничи само в /хоме директорията?
Активен

"за всичко иде час" Еклесиаст 3:1
всеки пост - отговор на въпрос
-----------------
24.12.2003 "MS Free"

erest

  • Напреднали
  • *****
  • Публикации: 170
    • Профил
Re: Настройка на Users Group правата
« Отговор #14 -: May 25, 2010, 11:19 »
да попитам и аз нещо, как мога да променя групата на папка "/koko" която е ntfs дял искам да не е root а коко примерно че не може да се сподели със smb :/
Активен

Подобни теми
Заглавие Започната от Отговора Прегледи Последна публикация
GROUP
Настройка на програми
delian123 6 2661 Последна публикация Oct 23, 2004, 16:38
от
Има ли желаещи да сформираме NetBSD user group?
Предложения за български проект
mhydra 0 1751 Последна публикация Feb 13, 2006, 10:02
от mhydra
Group vs. lilo
Настройка на програми
keremidko 2 1887 Последна публикация Jul 05, 2006, 18:49
от fogata
относно user group
Настройка на програми
turbo 0 1572 Последна публикация Jun 25, 2011, 17:20
от turbo
Group Policy за линукс клиенти?
Идеи и мнения
p3tzata_ 15 7739 Последна публикация Feb 06, 2013, 21:45
от solarflux