CuPoTKa wrote: > >>>> Нужно, чтобы пользователи через SSH или SFTP не могли подняться выше > >>>> своего HOME. > >>>> Какие могут быть решения ? > >>>> В коммерческом SSHе если статически собирать демон, то можно в > >>>> настройках сервера указывать, что определенные усеры обделены... > >>>> И всё будет как надо (я так понял из документации) > >>>> > >>>> А что делать в моём случае ? проблема-то широкая имхо, многие > >>>> наверное сталкивались ? Может какой-нить рестрикнутый шелл этим > >>>> усерам нужен ? > >>>> > >>>Может "bash --restricted" подойдет? > >>> > >>Ага меня тоже гложет вопрост как бы сделать так, чтоб шаловливые юзеры > >>не лазиле по машине. rbash вроде для этих целей подходит. Прочел man > >>bash (только нужную часть конечно :) а то он ну оооооооочень длинный). > >>Может быть заодно подскажите где именно задать чтоб у юзера был не > >>просто bash а rbash? > >> > > > >Дык вроде очевидно: в /etc/passwd. > >Можно еще команду chsh запретить. > > > Вы уж извините за навязчивозть, но я так сказать еще учусь. Про > /etc/passwd понял. > А как запретить chsh и заодно mc, которая оказывается позволяет лузеру > путешествовать где хочет, несмотря на rbash.
Например так: === addgroup Ly3ep chgrp Ly3ep `which chsh` `which mc` chmod g-rwx `which chsh` `which mc` adduser vasya Ly3ep adduser petya Ly3ep adduser existing_user_number_999 Ly3ep === > Может есть еще что-нибудь > такое, что поможет шаловливому лузеру обойти restriction? Конечно! Он может: 1) Запустить обычный bash или другой шелл. 2) Скачать сырцы bash, скомпилировать их (ох и трудно ему будет без значка '/' ;). 3) Скомпилировать bash на другой машине, слинковать статически, принести результат на эту машину, запустить. 4) Скомпилировать другой шелл или mc. 5) Написать и скомпилировать свою прогу, которая будет читать файлы там, где ему надо. 6) Да мало ли еще что.
