Citat:
VRider: I dalje nije moguce. :)
To sto ce korisnik da ukucava nije password, vec passphrase. I zavisi upravo od kljuceva koje si pomenuo. Dakle, svaki "podkorisnik" bi trebao da ti posalje svoj javni kljuc, da se on smesti u autorizovane kljuceve... I sta onda? Sto se tice linuxa, svi su oni i dalje jedan korisnik. Za njih vazi jedna kvota, jedan limit kada su procesi u pitanju.
Dakle:
Jedan username == jedan korisnik == jedan password (vise pasphrasea :)) == jedan home i tako dalje.
Mada, mozda moze nesto da iz izbunari. Iznenadi me. :)
Password, passphrase, slazem se... ali korisniku je sve jedno. Sto se tice kvota, taj deo ne moze u pravom smislu te reci da se ostvari i taj "podkorisnik" ce se za Linux ponasati kao isti korisnik. Cak i da se izbunari da se korisniku promeni $HOME na neki drugi direktorijum, to ga nikako ne bi sprecilo da ode u bilo koji drugi direktorijum koji pripada glavnom korisniku. Takodje, bilo kakva zamisao kvota je nemoguca na sistemskom nivou.
Prvi deo pitanja je bio da se omoguci i drugom korisniku da se loguje na njegov nalog, a da mu on ne da sifru. Ako je to osoba u koju doticni
stracenski ima poverenja, te nije neophodno kompletno se stititi od napada, najbolje je ostaviti sve na ssh kljucu.
Ako
stracenski zeli da omoguci bilo kom nepoznatom korisniku ovakvu funkcionalnost, pod uslovom da taj "nepoznati korisnik" nije neki gadni haxor, moze da se virtualizuje podkorisnik sa kvotom. To bi moglo da bude realizovani tako sto se omoguci coveku da se uloguje preko SSH kljuca i onda se kao shell pokrene neki program koji bi trazio da se uloguje u "podusername". Nakon tog logovanja bi taj program (koji je podesen kao shell za glavnog korisnika) pokretao bash u sandbox-u u nekom poddirektorijumu. Na taj nacin moze da ostvari i kvotu i separaciju (naravno da tu kvotu i separaciju moze mnogo vise ljudi da haxne nego pravu, ali nije o tome rec). Naravno ako se u "podusername" uloguje glavni korisnik, onda bi se postao obican bash bez sandbox-a.
Sandbox inace menja odredjene libc pozive klijentskom programu (ovde bash-u) te ga na taj nacin ogranicava. Svakako moze da ogranici pisanje samo na neki poddirektorijum, a uz malo eventualnog patchovanja sigurno moze i da obezbedi kvotu na ukupnu kolicinu fajlova u poddirektorijumu.