web-dev-qa-db-ja.com

ユーザーからコンテンツを完全に隠す方法は?

友達にユーザーアカウントを作って、自分のコンピューターにアクセスさせたいです。彼らは主にsftpとsshで私のコンピューターにアクセスしますが、私の家でアクセスすることもあります。ただし、すべてのファイルを表示できるようにしたくありません(ホームディレクトリの個人ファイルではなく、libなどのユーザーディレクトリの外部にあるファイルを意味します)。

私は最近質問をしました:

OpenSSH、chrootユーザー:rootはユーザーディレクトリを所有する必要がありますが、何か影響はありますか?

そして、私に与えられたawnserは、ユーザーをchrootした場合、すべてのユーザーに対して完全な環境を作成する必要があるというものでした。

ユーザーがホームディレクトリの外に出て、ホームディレクトリの外を指すcpのようなプログラムに引数を渡さないようにする方法、または実際にシステムをプライベートに保つ方法はありますか? ?最善の解決策は何ですか?すべてのプログラムを完全に使用できるようにしたいのですが、ファイルをコピーまたは読み取ることができないか、プログラムを使用してホームディレクトリ外のファイルを読み取ったりコピーしたりできます。

debiansshfreebsdchrootjails
2
user1115057

「すべてのプログラムを完全に使用する」の意味に応じて、オプションは次のとおりです。

  • 標準のUnixファイルパーミッションを使用してファイルを保護します。ここでの利点は、保護するファイルを決定し、それらに適切なアクセス許可を設定するだけなので、セットアップが非常に簡単なことです。欠点は、友達がルートアクセス権を持たないため、システム上ですべてを実行できないことです。

  • FreeBSD jailを実行します。 FreeBSDには、まさにこの目的のために設計された刑務所があります。彼らはセットアップするのに少し手間がかかりますが、あなたはあなたの友人に彼らが望むように使うことができる完全なファイルシステムを与えています: http://www.freebsd.org/doc/en_US.ISO8859-1/books /handbook/jails.html

  • 真の仮想マシンを実行します。 XenまたはVirtualboxを実行して、完全に機能するサーバーを友達に提供できます。これは、メモリ、CPU、およびディスクの点で非常にリソースを消費する可能性がありますが、ファイルから最も離れています。

1
Quetza

彼らにあなたのすべてのプログラムを完全に使用させることはできるが、彼らの家の外でファイルを読むことはできないと私は思う。必要なのは、それを破壊するために構成ファイルに依存する1つのプログラムだけです。

仮想マシンを作成して、ユーザー(またはroot)に仮想マシンへのアクセス権を与えることができます。

一般的なVMソリューションは次のとおりです。

  1. Xen
  2. VirtualBox
  3. KVM
  4. OpenVZ
3
emory

ホームディレクトリ(またはその一部)を立ち入り禁止にするいくつかのオプションがあります。

  • chmod 700 ~を使用してホームディレクトリを所有者のみのアクセスに変更します。これにより、あなたとrootだけがディレクトリにアクセスできるようになります。

  • ホームディレクトリを暗号化されたファイルシステムに移動します。 (これにより、暗号化されていない場合はアクセスできなくなります。ファイルシステムが暗号化されていないときにアクセスできる可能性がある場合は、上記と組み合わせてください。)

  • ファイル暗号化ツールを使用して、個々のファイルへのアクセスを防止します。

  • 隠しディレクトリのプライベートファイルを非表示にします。 .privateのような名前を使用して、プライベートなものを非表示にします。これは、隠すことによるセキュリティのみです。安全にするために、上記のオプションの1つ以上と組み合わせる必要があります。

あなたがあなたの友人にルートアクセスを与えるならば、彼らはあなたのセキュリティ設定をバイパスする多くの力を持っていることを覚えておいてください。 (共有したくないファイルとシステムへのアクセスを共有することにはリスクがあります。)

2
BillThor

これは、ファイルの基本的な所有権、グループ所有権、および権限ビットの設定のように聞こえます。

個人ファイルは、個人ユーザーIDと個人グループIDによって保護されています。共有したいファイルは、友達/公開用のGIDを取得します。

このウェブサイトをチェックしてください: http://catcode.com/teachmod/no_prob.html

1
jippie

Iron Bars Shell あなたが探しているものかもしれません。

Iron Bars Shell、または短いibshは、Linux/Unix用の制限された作業環境を作成する最初の試みです。多くのシステム管理者は、一部またはすべてのユーザーを安全なダンジョンにロックする方法を望んでいる、または望んでいると確信しています。安全なダンジョンでは、自分のファイルにのみ害を及ぼすことができます。

ここにいくつかあります 詳細 それを使用する方法について。

1
pootzko