Pa mozes svuda gde mislis da ne treba da se seta da stavis privilegije 700 (samo vlasnik moze da radis ta hoce, ostali nista). Medjutim, moras da pazis, jer kad se korisnik loguje - mora da ima pristup /bin/ /etc i jos nekim direktorijumima i fajlovima - drugim recima nikako ne mozes obicnom useru koji ima shell da zabranis da pristupa /etc direktorijumu, jer ces tako onemoguciti i njihovo logovanje (nesto slicno kao da im za shell stavis /dev/null ili /bin/false), a svaka promena privilegija /etc direktorijuma moze da dovede do pada sistema (nece imati privilegije da procita podesavanja)

Nisam ovako nesto probao, pa samo pretpostavljam da bi se ovo desilo (a i na google-tu sam nasao par slucajeva)

Ne bi nikao smeo da ograničavaš pristup /etc i drugim sistemskim direktorijumima, jer mnogi programi upravo tamo drže svoja podešavanja. Zabrani pristup i napravio si sebi brdo problema. Jednostavnije je, na distribucijama koje to podržavaju, podići security setting. Konkretno znam da Mandrake ima takvo nešto. Mandrake se potrudi da automatski prilagodi prava pristupa svakom pojedinačnom fajlu tako da odgovara tom projektovanom „nivou sigurnosti“.

Ne znam koliko je to dobra garancija da su stvari zaista sigurne, ali bih mogao da se kladim da je potpunije od nečega što bi iko sam mogao na ruke i na slepo da uradi.

f

Hmm, ne znam sta tacno zelis da uradis, ajde da pokusam da ti razjasnim dozvole za direktorijume.
r - citanje sadrzaja direktorijuma(ako ovo skines komanda ls nece moci da se izvrsi)
w - kreiranje i brisanje fajlova u direktorijumu
x - ulazak u direktorijum

e sada ako direktorijum ima samo x atribut moci ces da udjes u taj direktorijum i da citas/pises/startujes programe koji su u tom direktorijumu, ako znas imena fajlova koji su ti potrebni. Medjutim ako skines x neces moci da startujes fajlove iz tog direktorijuma tako da tu treba biti obazriv jer mozes da onesposobis korisnika da startuje potrebne programe koji su mu neophodni.

Ukoliko su u pitanju remote shell korisnici, mozes chroot-ovati ssh i ftp server.

Ljudi brijete

Imas fju chmod

i gotovo

sam jos jedna napomena

x ti takodjer znaci pokretanje programa (execute)

i tak ti radis -rwx------ na folder koji nezelis da udu i gotovo

znaci -rwx------ je za root
-rwxrwx je za usera
-rwxrwxrwx je za grupu u kojoj je user

i to je to

a za micanje execute samo stavis -rw------- read & write (nema x kao execute)

Još samo da objasniš šta kada posluša tvoj savet, zabrani korisnicima ulazak u /etc, pa zbog toga ne mogu da se uloguju. :)

f

Coderu to ti neće poleteti. Mora chroot okruženje da se pravi.

E ljudi lupetate gluposti ali majke mi sad kontam kolko ljudi ovde pojma nemaju.

Elem za trvorca teme resenje tvog problema je chrsh na freebsd-u ili ekvivalentan port na nekoj drugoj platformi.
chrsh == chrootsh ...

-rwxrwxrwx
- rwx rwx rwx
- oznacava da se radi o fajlu
prvo rwx oznacava permisije vlasnika nad tim fajlom
drugo rwx oznacava permisije grupe pod kojom je taj fajl nad tim fajlom
trece rwx oznacava permisije svih ostalih korisnika na sistemu nad tim fajlom

Isto vazi i za direktorijume samo sto -x na diru znaci da korisnik koji nema x pravo na diru nema pravo da lista taj direktorijum itd itd ...

Mohican, to nije resenje za remote SSH korisnike. Oni mogu izabrati proizvoljan shell i zaobici chrsh. Mora se chroot-ovati ssh.

Dobro filozofi postavlja se pitanje Zasto ali Zasto bi uopste trebalo da se stave odredjene privilegije za koriscenje /etc :)

Kako da onemogucis citanje svega osim home direktorijuma?
Nemoj!!! Sistem ce biti neupotrebljiv osim za roota (provereno).

Neki bi rekli:PARANOJE NIKAD DOSTA
Samo se ti lepo igraj i vodi racuna da zapamtis kako je sistem podesen tako da kad zeznes stvar mozes da vratis stvari u ispravno stanje.
Inace bas me zanima koje to super tajne podatke sadrzi /etc.

Pa moze da drzi i neke poverljive stvari, tipa samba passworde.

Sadrzi, ali su vec zasticeni od citanja (za one koji ne treba da ih citaju).

Sadrzaj /etc direktorijuma, prema Filesystem Hierarchy Standard-u.

http://www.pathname.com/fhs/2.2/fhs-3.7.html

[Ovu poruku je menjao popeye dana 06.03.2004. u 20:52 GMT]

Nece da skodi ako popaye napises sta se moze naci na stranicu ka kojoj si ostavio link (objasnjenje /etc direktorijuma).