Подскажите, кто может, я не силён в Linux пока что.

Надо создать пользователя, что бы у него был доступ по ssh на чтение файлов только с одной папки.
ОС CentOS 5.x

Такое возможно?

По умолчанию в системах Linux разные папки файлы  имеют разные права для доступа пользователелей. 
Права на каталоги и файлы определяются для 
хозяина, группы и пользователей, на чтение, запись и выполнение, в двоичной системе,
о -доступа нет, 1- есть доступ, для удобства пересчитываются в 8-чной системе
owner group    users
000   000      000 - нет прав
111   000      000  - права 700

Пример каталог /root
drwx------  root - права 700
т.е. нет возможности простому пользователю даже перейти в каталог.

файл /etc/passwd
-rw-r--r-- права 644 
Т.е. этот файл пользователь должен читать, иначе он просто не сможет войти в систему.

Т.е. так обстоят дела из другими каталогами и файлами, которые пользователь по крйне мере должен читать. 
Изменить права к системным файлам означает нарушить логику системы, что, вероятно, приведет к ее неработоспособности. 

При создании пользователя командой
useradd -m someuser - создается простой пользователь, который может изменять,читать и выполнять все в своей папке, но, если другие пользователи не определелили права в папках своих каталогов, пользователь может и погулять по папкам других и читать то, на что есть доступ. 

Если пользователю предоставлен shell, значит, однозначно какие-то системные и пользовательские каталоги он сможет смотреть. Выход - закрыть нужные данные для пользователя.

А для полного ограничения доступа и доступа только к одному каталогу - требуется поменять логику самой системы, что является фантастической задачей  .


Это сообщение отредактировал(а) BlackRu - 12.1.2012, 16:55

есть такая пословица: "твой дом - тюрьма".
этого можно достигнуть 2мя простыми способами:
1) jail + chroot (дорого с т.з. места в системе, но относительно железно)
2) rbash/bash2 (дешево, но не очень ограничивает)

вопрос целей и требований.

BlackRu, спасибо огромное за подробный ответ!

bilbobagginz, большое спасибо!

я не до конца верно сформулировал, если будет доступ к своей директории то ничего страшного, главное кроме этого доступ к ещё одной папке...

ну ладно, буду видимо продолжать яндексить и йяхить)

bilbobagginz, 
Спасибо, не знал, но из пунктов ответа следует неоднозначность


пункт 2 отпадает сразу. 

Пункт 1, вероятно, т.е. чисто предположительно (в глобальном смысле), может привести к моему достаточно абстрактному, но все-таки  ответу, правда с учетом  уровня категоричности постановки задачи. 

Может потребоваться сильно переработать систему, чтобы сделать защиту близкой к идеальной. 


Это сообщение отредактировал(а) BlackRu - 12.1.2012, 16:54

нет. я не знаю что человеку конкретно надо. 

идеалов нет. надо посмотреть на наиболее вероятные и дешевые (по времени и средствам) вектора атак, и защищаться от них.
ну и бэкапиться, ессно.

есть уже несколько готовых инструментов (apparmor enforce, selinux, RSBAC)
вопрос что надо человеку, и чем он рискует при нарушении его юзерами этих ограничений.
по моему jail + chroot хватит по уши.

Тогда вопрос либо совсем абстрактный, либо совсем конкретный.

Если рассматриваем абстрактно, то система подразумевает какое-то взаимодействие, значит доступ к каким-то файлам все равно будет.

Если у автора темы есть конкретная задача, то может можно обойтсь и "самыми" стандартными средствами *nix:
chmod, chown, на худой конец chattr.


Виртуализация в данном случае не могла пригодиться?

Это сообщение отредактировал(а) BlackRu - 13.1.2012, 01:22

jail дешевле: если кол-во юзеров не макенькое, каждому по виртуалке жирноватее.

С учетом постановки задачи:
1. Нужно посмотреть какому пользователю принадлежит эта еще одного папка
Например: user1
2. Нужно внести пользователя (например user2, которому нужно дать доступ) в группу пользователя user1
Это делается стандартной командой в шел
useradd -G  user1 user2

или прямым редактированием файла, напрмер


 nano /etc/group

wheel:x:10:root,user1

Как видим, есть группа wheel и в этой грппе два пользователя через запятую - root и user1
Это означает, что папки, принадлежащие группе wheel и  в атрибутах группы которых
прописаны права на чтение, запись, выполнение, могут изменяться и читаться пользователями в группе wheel (но не другими пользователями)

Это сообщение отредактировал(а) BlackRu - 13.1.2012, 23:55

http://www.webnext.ru/blog/2007/07/07/jail-chroot.html

mihanik, спасибо, тоже почитаю, интересно, не скажу, что уж очень просто для новичка.


Автор все-таки сформулировал задачу: