Jak ograniczyć użytkownika do jednego folderu i nie pozwolić mu na przeniesienie swojego folderu

Mam serwer Ubuntu na digitalocean i chcę dać komuś folder na swoją domenę na moim serwerze, mój problem polega na tym, że nie chcę, aby ten użytkownik widział moje foldery lub pliki lub mógł przenieść ich folder.

Jak mogę ograniczyć tego użytkownika w jego folderze i nie pozwolić mu na przeprowadzkę i zobaczenie innych plików / katalogów?

Rozwiązałem swój problem w ten sposób:

Utwórz nową grupę

$ sudo addgroup exchangefiles

Utwórz katalog chroot

$ sudo mkdir /var/www/GroupFolder/
$ sudo chmod g+rx /var/www/GroupFolder/

Utwórz katalog do zapisu dla grupy

$ sudo mkdir -p /var/www/GroupFolder/files/
$ sudo chmod g+rwx /var/www/GroupFolder/files/

Daj je obu nowej grupie

$ sudo chgrp -R exchangefiles /var/www/GroupFolder/

potem poszedłem /etc/ssh/sshd_configi dodałem na końcu pliku:

Match Group exchangefiles
  # Force the connection to use SFTP and chroot to the required directory.
  ForceCommand internal-sftp
  ChrootDirectory /var/www/GroupFolder/
  # Disable tunneling, authentication agent, TCP and X11 forwarding.
  PermitTunnel no
  AllowAgentForwarding no
  AllowTcpForwarding no
  X11Forwarding no

Teraz dodam nowego użytkownika o nazwie Obama do mojej grupy:

$ sudo adduser --ingroup exchangefiles obama

Teraz wszystko jest zrobione, więc musimy zrestartować usługę ssh:

$ sudo service ssh restart

zauważ: użytkownik nie może teraz nic zrobić z filekatalogu Mam na myśli, że cały jego plik musi znajdować się w folderze plików.

Ograniczenia są rozsądnym zagadnieniem i należy je konsekwentnie definiować. Możesz zdefiniować ograniczoną powłokę dla użytkownika jako jego domyślną powłokę .

Na przykład ustawienie /bin/rksh(ograniczona kornshell) zamiast wstępnie zdefiniowanej powłoki użytkownika jako domyślnej powłoki dla tego użytkownika w /etc/profile.

UWAGA: jeśli plik wykonywalny o tej nazwie nie istnieje w systemie, utwórz twardy link ln /bin/ksh /bin/rkshi na kshpodstawie jego nazwy określi, czy jest ograniczony, czy nie.

Ograniczony powłoka będzie (na przykład) zapobiec wykonując cdpolecenie, lub podając komendę z /(wyraźnej ścieżce) w wywołaniu i nie pozwoli na zmianę PATH, SHELLlub ENVzmienną i przekierowania wyjścia są również zabronione.

Ty może jeszcze dostarczyć predefiniowane skrypty powłoki dla użytkownika, który będzie (pod kontrolą implementors skryptów!) Pozwalają użytkownikowi na uruchomienie tego skryptu specyficzny (y) w nieograniczonym środowisku.

Polecenie chrootumożliwia utworzenie ograniczonego katalogu głównego dla użytkownika. To pytanie wyjaśnia pojęcie chrooti sposób korzystania z niego.

Aktualizacja: Wyszukiwanie więzienia chroot na cyfrowym oceanie powoduje wyświetlenie dodatkowej dokumentacji specyficznej dla ich środowiska. Oto kilka, które moim zdaniem są powiązane z tym, czego możesz potrzebować.

Jak skonfigurować środowiska Chroot do testowania na Ubuntu 12.04 VPS

Jak zezwolić na ograniczony dostęp SSH do użytkownika w więzieniu chroot

Oto jeden, który dotyczy jailkit , który zasugerował FloHimself .