Whatsup - לינוקס, תוכנה חופשית וקוד פתוח בעברית

שימוש מתקדם בלינוקס - יצירת משתמש עם הרשאות קריאה בלבד

Anonymous - 27/05/2015 - 00:07
נושא ההודעה: יצירת משתמש עם הרשאות קריאה בלבד
ערב טוב,

האם יש דרך ליצור משתמש עם הרשאות קריאה בלבד? א
ני רוצה לתת גישה למערכת עם ssh אבל בלי אפשרות לשנות אף קובץ. האם יש דרך בלי להגדיר group מיוחד?
Anonymous - 27/05/2015 - 00:41
נושא ההודעה:
http://askubuntu.com/questions/477650/create-read-only-user-and-grant-ssh-access
Anonymous - 27/05/2015 - 10:19
נושא ההודעה:
אני מחפש שהמשתמש דווקא כן יוכל לראות קבצים של המשתמש הרגיל, רק שלא יוכל לשנות אותם.
חתול - 27/05/2015 - 11:43
נושא ההודעה:
קוד:
chmod -R 755 /home/regularuser

Anonymous - 27/05/2015 - 12:17
נושא ההודעה:
כנראה שאין פתרון...

אני לא רוצה לשנות את כל המערכת (chmod לא יעבוד על קבצים חדשים, אז אני צריך לשנות את ה-umask וכו').

מה שאני רוצה זה מצד אחד גישה מלאה לקבצים (ובעיקר יכולות אנליזה כמו grep ונגזרותיו המתוחכמות) ומצד שני לא לאפשר למערכת להשתנות.
קצת יותר מאשר להריץ python -m SimpleHTTPServer. ופחות עבודה על המערכת

(אולי אפשר לעשות mount לFS עם read-only, אבל mount הוא לא עבור משתמש)
Anonymous - 27/05/2015 - 14:06
נושא ההודעה:
mad__dr :
כנראה שאין פתרון...

אני לא רוצה לשנות את כל המערכת (chmod לא יעבוד על קבצים חדשים, אז אני צריך לשנות את ה-umask וכו').

מה שאני רוצה זה מצד אחד גישה מלאה לקבצים (ובעיקר יכולות אנליזה כמו grep ונגזרותיו המתוחכמות) ומצד שני לא לאפשר למערכת להשתנות.
קצת יותר מאשר להריץ python -m SimpleHTTPServer. ופחות עבודה על המערכת

(אולי אפשר לעשות mount לFS עם read-only, אבל mount הוא לא עבור משתמש)


עלית פה על משהו - תעשה mount, ותעבור אליו בעזרת chroot, ותפעיל ממנו את שרת ה ssh. יש עדיין בעיות בגישה זו (אותן בעיות שיש תמיד ב chroot), אך זה כבר כיוון מסוים.
Anonymous - 01/06/2015 - 09:39
נושא ההודעה:
לא מומלץ chroot ואפשרות הרצת process מבחינת אבטחה - אם משיגים root (נגיד ע"י local privelege escalation exploit מסוג כלשהו - פעמיים שלוש בשנה מתגלה כזה), אפשר לצאת החוצה ממנו.

אם כל מה שאתה רוצה זה לאפשר להסתכל על מערכת הקבצים, עדיף לייצא אותה בצורה שמישה רלוונטית (smb, http, nfs, מה שלא יהיה) עם הרשאות קריאה בלבד, ולפנות אליה מסביבה שאינה בעייתית (virtual machine מינימליסטי, אולי docker/lxc/lxd - אם כי קח בחשבון שגם כאן היו ענייני אבטחה).

והכי טוב - לתת גישה להעתק שאתה שומר עליו מעודכן (עם rsync, zsync snapshot או בכל צורה אחרת שמוצאת חן בעיניך) - במקרה כזה, גם אם פרצו להעתק, אי אפשר להזיק למקור.
Anonymous - 01/06/2015 - 22:02
נושא ההודעה:
אפשר להשתמש ב־rssh כדי ליצור משתמש מוגבל בדיוק למטרה הזו:

http://www.pizzashack.org/rssh/
Anonymous - 02/06/2015 - 09:55
נושא ההודעה:
דווקא בסדום העתיקה היה פתרון מושלם לזה, מורידים את הידיים של המשתמש ואז הוא כבר לא יוכל לשנות כלום כלום, רק לראות, אלא אם כן הוא סטיבן הוקינג.....
כל הזמנים הם GMT + 2 שעות