Re: utilisateur droits limités
Le jeudi 31 mars 2005 à 14:49 +0200, pyb a écrit :
> Bonjour!
>
> Voici une question que vous vous êtes sans doute déjà posée, qui est
> donc sûrement très bête.
>
> Je désire créer un utilisateur 'toto' mais qui possède des droits
> ultra-limités (connexion par ssh en console seulement); je m'explique.
>
>
> Il ne faut pas qu'il voie la racine / , qu'il soit confiné dans son home
> sans pouvoir en sortir (un peu comme lorsqu'on crée un utilisateur pour
> ftpd)
>
> Il lui faut pourtant un bash (-s /bin/bash ??)
>
> Et le hic... il n'a le droit d'exécuter qu'une poignée de programmes
> (par exemple ls, vi, ...) J'ai bien une idée là-dessus mais c'est
> peut-être tordu : je crée un répertoire /usr/local/bin-pour-toto/ et je
> fais un lien symbolique vers les programmes en question. J'en profite
> pour lui régler son $PATH.
Une option intéressant de bash est l'option -r qu'on peut directement
utiliser en appellant rbash au lieu de bash. Il s'agit d'un bash en mode
restreint (impossible de modifier le $PATH, par exemple) mais il
n'empêchera pas trop l'utilisateur de se balader.
> A chaque fois que j'ai essayé une commande du style
> |useradd -d /home/toto -g invite -s /bin/false toto (ou avec -s
> /bin/bash plus logique s'il faut le bash), j'ai pu me balader partout
> dans le système sans problèmes même en changeant les droits sur le
> répertoire /home.
Une solution alternative à celle proposée par Fred est de patcher[1]
OpenSSH pour supporter ce type de configuration.
[1]: http://chrootssh.sourceforge.net/
--
Raphaël 'SurcouF' Bordet
http://debianfr.net/ | surcouf at debianfr dot net
Reply to: