Re: utilisateur droits limités
* pyb <proko174@free.fr> [2005-03-31 14:49] :
> Bonjour!
>
> Voici une question que vous vous êtes sans doute déjà posée, qui est
> donc sûrement très bête.
>
> Je désire créer un utilisateur 'toto' mais qui possède des droits
> ultra-limités (connexion par ssh en console seulement); je m'explique.
>
>
> Il ne faut pas qu'il voie la racine / , qu'il soit confiné dans son home
> sans pouvoir en sortir (un peu comme lorsqu'on crée un utilisateur pour
> ftpd)
>
> Il lui faut pourtant un bash (-s /bin/bash ??)
>
> Et le hic... il n'a le droit d'exécuter qu'une poignée de programmes
> (par exemple ls, vi, ...) J'ai bien une idée là-dessus mais c'est
> peut-être tordu : je crée un répertoire /usr/local/bin-pour-toto/ et je
> fais un lien symbolique vers les programmes en question. J'en profite
> pour lui régler son $PATH.
>
> A chaque fois que j'ai essayé une commande du style
> |useradd -d /home/toto -g invite -s /bin/false toto (ou avec -s
> /bin/bash plus logique s'il faut le bash), j'ai pu me balader partout
> dans le système sans problèmes même en changeant les droits sur le
> répertoire /home.
>
>
> Pouvez-vous m'aider ?
Le problème est plus compliqué qu'il n'y paraît : par défaut, pour que
tes utilisateurs puissent accéder à leur répertoire /home/toto, ils
doivent avoir accès en lecture (et probablement exécution également) à
tous les répertoires parents, donc notamment / et /home.
La solution est alors d'utiliser la commande chroot :
chroot - run command or interactive shell with special root directory
Il faut alors avoir placé dans le chroot (réellement, pas des liens
symboliques) tous les fichiers nécessaires à la connexion.
Voici une URL détaillant les manipulations à effectuer pour cela :
http://www.chains.ch/chroot.php
(Building a chroot environment on debian with libpam-chroot)
Fred
--
Comment poser les questions de manière intelligente ?
http://www.gnurou.org/documents/smart-questions-fr.html
Comment signaler efficacement un bug ?
http://www.chiark.greenend.org.uk/~sgtatham/bugs-fr.html
Reply to: