Як обмежити користувача в одній папці і не дати їм переміщати його папку

У мене є сервер ubuntu на digitalocean, і я хочу надати комусь папку для свого домену на моєму сервері, моя проблема полягає в тому, що я не хочу, щоб цей користувач бачив мої папки або файли або міг перемістити їх папку.

Як я можу обмежити цього користувача у своїй папці та не дозволити йому пересуватися та переглядати інші файли / каталоги?

Я вирішив свою проблему таким чином:

Створіть нову групу

$ sudo addgroup exchangefiles

Створіть каталог chroot

$ sudo mkdir /var/www/GroupFolder/
$ sudo chmod g+rx /var/www/GroupFolder/

Створіть довідник для запису групи

$ sudo mkdir -p /var/www/GroupFolder/files/
$ sudo chmod g+rwx /var/www/GroupFolder/files/

Віддайте їх обом у нову групу

$ sudo chgrp -R exchangefiles /var/www/GroupFolder/

після цього я перейшов до /etc/ssh/sshd_configкінця файлу:

Match Group exchangefiles
  # Force the connection to use SFTP and chroot to the required directory.
  ForceCommand internal-sftp
  ChrootDirectory /var/www/GroupFolder/
  # Disable tunneling, authentication agent, TCP and X11 forwarding.
  PermitTunnel no
  AllowAgentForwarding no
  AllowTcpForwarding no
  X11Forwarding no

Тепер я додам до своєї групи нового користувача з ім'ям obama:

$ sudo adduser --ingroup exchangefiles obama

Тепер все зроблено, тому нам потрібно перезапустити службу ssh:

$ sudo service ssh restart

зауважте: користувач зараз не може нічого робити з fileкаталогу, я маю на увазі, що весь його файл повинен бути у папці файлу.

Обмеження є розумним питанням, і його потрібно визначати послідовно. Що ви можете зробити, це визначити обмежену оболонку для користувача як його оболонку за замовчуванням .

Наприклад, встановлення /bin/rksh(обмежена kornshell) замість попередньо визначеної оболонки користувача як оболонки за замовчуванням для цього користувача в /etc/profile.

ПРИМІТКА: якщо виконуваного файлу з цим іменем не існує у вашій системі, тоді створіть жорстке посилання ln /bin/ksh /bin/rkshта kshвизначте, чи є воно обмеженим чи ні.

Обмежено оболонка буде (наприклад) запобігає робити cdкоманду, або вказавши команду з /(явно заданим шляхом) у виклику, і він забороняє змінювати PATH, SHELLабо ENVзмінний, і вихідні перепризначення також заборонені.

Ви все ще можете надати заздалегідь визначені сценарії оболонки користувачеві, які дозволять (під керуванням реалізаторів сценарію!) Користувачеві запускати цей конкретний (-и) сценарій (-ів) у необмеженому середовищі.

Команда chrootдозволяє створити обмежений корінь для користувача, це питання пояснює поняття chrootта як ним користуватися.

Оновлення: пошук в'язниці Chroot, встановленої в цифровому океані , пропонує подальшу документацію, специфічну для їх оточення. Ось пара, на яку я думаю, пов'язана з тим, що вам може знадобитися.

Як налаштувати Chroot середовища для тестування на Ubuntu 12.04 VPS

Як дозволити доступ з обмеженим доступом до SSH для в'язного користувача Chroot

Ось, який стосується джейкіта , який запропонував FloHimself .