Как запретить пользователю Linux даже перечислять каталоги других пользователей

Mick8695

18.06.2023, 17:09

Я создаю решение sFTP, но я не могу запретить group1user видеть или, точнее, перечислять каталоги group2user. Я настроил его так, что group1user не может фактически попасть в каталоги group2user, но они действительно могут видеть имя каталога при подключении через FileZilla.

Структура файла =

         /upload/group1Directory

         /upload/group2Directory

Дейв является владельцем и может видеть и входить как в group1Directory, так и в group2Directory.

Текущие разрешения выглядят так

rwxr-xr-x. 4 корень корень 46 фев 17 09:55 загрузить

drwxr-x---. 2 дэйв group1 60 фев 17 11:09 group1Directory
drwxr-x---. 2 Дэйв group2 61 фев 17 11:09 group2Directory

sshd_config выглядит так

Сопоставить пользователя dave
        ForceCommand внутренний-sftp -u 0002
        #Аутентификация по паролю да
        ChrootDirectory/загрузить
        РазрешениеТуннель нет
        AllowAgentForwarding да
        AllowTcpForwarding да
        X11Переадресация да
        PubkeyAuthentication да

Совпадение с пользователем group1user
        ForceCommand внутренний-sftp -u 0002
        #Аутентификация по паролю да
        ChrootDirectory/загрузить
        РазрешениеТуннель нет
        AllowAgentForwarding да
        AllowTcpForwarding да
        X11Переадресация да
        PubkeyAuthentication да

Сопоставить пользователя group2user
        ForceCommand внутренний-sftp -u 0002
        #Аутентификация по паролю да
        ChrootDirectory/загрузить
        РазрешениеТуннель нет
        AllowAgentForwarding да
        AllowTcpForwarding да
        X11Переадресация да
        PubkeyAuthentication да

Любые идеи, как я могу скрыть каталог group2user от group1user?... и наоборот? Любая помощь с благодарностью получена

0 + 0

фтп

pa4080

18.06.2023, 17:31

Разве нельзя использовать `ChrootDirectory /upload/group1Directory` и, соответственно, `ChrootDirectory /upload/group2Directory`? Также `dave` может быть членом обеих групп, а каталоги могут иметь [setgid](https://www.geeksforgeeks.org/setuid-setgid-and-sticky-bits-in-linux-file-permissions/) бит включен: `chmod g=rws group1Directory/group2Directory/`.

Ответить

Jeff

18.06.2023, 17:36

Вы хотите, чтобы они вообще не просматривали какие-либо каталоги или имели доступ к своим собственным? В любом случае, вот аналогичный вопрос, который может иметь некоторое представление. https://superuser.com/questions/161187/how-can-i-prevent-other-users-from-seeing-the-contents-of-my-home-directory

Ответить

pa4080

18.06.2023, 17:39

Также [`Match Group`](https://unix.stackexchange.com/a/137430/201297) может быть более гибким способом определения chroot.

Ответить

Ray

18.06.2023, 17:47

Члены одной группы не могут войти в каталог другой группы. Но вы не хотите, чтобы они вообще видели имя каталога? Есть причина для этого? Возможно, вы можете объяснить, почему вы хотите это сделать, поскольку большинство людей не возражают, пока они не могут войти. Может быть, кому-то будет легче помочь вам?

Ответить

Admin

Этот вопрос на других языках:

EN: How to stop linux user even being able to list other user's directories

TH: วิธีหยุดผู้ใช้ linux แม้จะสามารถแสดงรายการไดเร็กทอรีของผู้ใช้รายอื่นได้

RO: Cum să împiedici utilizatorul Linux să mai poată lista directoarele altor utilizatori

RU: Как запретить пользователю Linux даже перечислять каталоги других пользователей

VI: Làm cách nào để ngăn người dùng linux thậm chí có thể liệt kê các thư mục của người dùng khác

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.