Как дать определенному пользователю права на запись и чтение определенной папки?

Question

[WbdT]

Как дать определенному пользователю права на запись и чтение определенной папки?
Т.е чтобы пользователь usr1 мог читать и записывать только в папку /usr1

Answer 1

[Дмитрий Филимонов]

Боюсь, вопрос ваш таит больше, чем вы хотите услышать.

По умолчанию в Linux система доступа - это DAC. https://ru.wikipedia.org/wiki/%C8%E7%E1%E8%F0%E0%F...

В вашем случае нужно дать права на эту папку этому пользователю: chown user:group /usr1.
И назначить возможность ее изменять/читать: chmod 700 /usr1

В таком случае группа не сможет читать/писать туда, как и все остальные, но пользователь сможет. Однако данный пользователь сможет получить доступ к любым другим ресурсам, если там стоят соответствующие права.

В вашем же случае, обращая внимание на постановку вопроса и на название директории (usr1), скорее всего, вы хотите сделать что-то странное и не тем инструментом. Возможно, стоит почитать про SELinux, возможно, вам поможет chroot (небезопасен в определенных случаях), возможно, нужно посмотреть в сторону cgroups/LXC или виртуализации.

Напишите, что хотите сделать. :)

Comments

[WbdT]

Есть сервер, с которым все время работали из под рута. Нужно создать 2-го пользователя, который смог бы читать и записывать файлы только в своем катологе(сейчас я сделал только право на запись, но не могу убрать право на чтение ранее созданых файлов рутом)Нужно убрать только у нового пользователя права на чтение файлов не из домашнего каталога, т.к. на сервере еще запущен nginx, mysql и т.д.

[Дмитрий Филимонов]

@WbdT: осторожнее, не нужно пытаться убирать право на чтение ранее созданных файлов, можете все сломать.

Можно использовать. Если кто-либо подключается к серверу по ssh, погуглите в сторону "ssh ChrootDirectory". Если оно есть в конфиге, то пользователь будет ограничен этим каталогом. Никогда нельзя давать такому пользователю root, плюс есть нюансы с chroot. Он не дырявый, но при определенных обстоятельствах можно сделать плохое. Интересное об этом, что вспомнил, https://securityblog.redhat.com/2013/03/27/is-chro... или habrahabr.ru/post/141012 Так что в качестве полумеры вариант неплох, но если реально важна безопасность, то не вариант никогда.

Эту задачу можно точно сделать с помощью SELinux, безопасно и круто. Все сведется к созданию определенных доменов с определенными правами. Я знаком с SELinux, поэтому конкретных решений быстро не приведу, однако они быстро нагуглятся. Пожалуй, это решение в конкретной ситуации вашей.

P.S. Я обычно использую LXC-контейнеры под сайты, БД, если все крутится на одном сервере. В итоге мы имеем песочницу под каждую задачу. Поэтому, как вариант, вы можете создать LXC-контейнер для вашего пользователя, настроить там права, прокинуть нужные ресурсы (и ssh). В итоге он получит значительно больше возможностей, чуть ли не свою ОС. При адекватных настройках, это безопасно. Ресурсов много не ест.

[Дмитрий Филимонов]

@WbdT: множество опечаток выше, комментарий удалить/изменить не получается (какие-то работы на тостере, видимо). С SELinux я поверхностно знаком, поэтому конкретные решения не могу привести. А самом начале "Можно использовать chroot".

[WbdT]

Спасибо большое за помощь! Завтра утром попытаюсь сделать все по Вашему совету. Права на чтение как раз и не хотел убирать ;) на сервере Ubuntu(если это важно)

[Дмитрий Филимонов]

@WbdT: вспомнил про AppArmor еще! Он проще, чем selinux. С ним можно просто сделать такую штуку, как jailbash - описано, например, тут: askubuntu.com/questions/144211/restricting-ssh-use... Только все равно придется создавать профайл с нужными правами, хотя это и проще сделать значительно, чем в SELinux. Все дело в том, что совсем ограничить пользователя в одну директорию нельзя.

Вывод из всего этого: я бы лучше использовал LXC на всем сервере, значительно проще в обслуживании, идеально подходит для подобного разделения ресурсов. Поднять его несложно, в убунте никогда этого не делал, но делал на centos и arch, в обоих случаях потратил полчаса. И отдайте пользователю LXC без прав рута внутри. SELinux/AppArmor - это, скорее, мощные инструменты для ограничения безопасности всей системы (например, для улучшения изоляции тех же LXC-контейнеров). Но если не хочется LXC, то лучше AppArmor, т.к. SELinux - это сложный в настройке оверкилл.

Answer 2

[bromzh]

chmod/chown

Comments

[askhat]

Лучше man chmod и man chown

Answer 3

[Алексей Черемисин]

Я думаю, что если нужно только и исключительно один каталог предоставить, то лучше загнать этого пользователя в chroot, а помогут в этом например контейнеры lzx, docker или openvz.
Ну а по простому chmod/chown/setattr/setfattr/setfacl вот статья по двум последним и гугл в помощь www.techrepublic.com/blog/linux-and-open-source/le...

Answer 4

[Павел]

Убил 4 часа, чтобы выявить проблему, почему не получалось дать права пользователю. Вот делюсь с вами решением: www.articls.ru/category/linux/ssh_user_access_righ...