¿Cómo se crea un usuario con acceso de lectura y escritura al directorio de inicio de otro usuario?

0

Soy nuevo en Linux y necesito ayuda para crear un usuario con algunos derechos especiales.

He leído algunos artículos y "cómo funcionan los permisos de Linux", pero aún no he entendido cómo funciona en la práctica.

Quiero crear un usuario que no tenga ningún derecho para usar "su / sudo" o que tenga acceso de lectura / escritura al resto del sistema además de su propio directorio de inicio. Además de esto, los usuarios tienen derechos para leer, escribir y modificar el directorio de inicio de otro usuario especificado.

es posible? Una explicación y los comandos necesarios apreciados tremendamente :)

  • La parte "leer / escribir en el resto del sistema" no es obligatoria. La parte importante es el acceso de lectura / escritura / modificación a la carpeta de inicio de otro usuario.
Simon
fuente
Especifique con más detalle lo que está tratando de lograr. Parte de lo que usted describe es bastante fácil, pero parte de esto no está claro. Por defecto (en la mayoría de las distribuciones) los usuarios no tienen derecho a ejecutar sudo. Pero el resto de ese párrafo no está muy claro. Una vez más, los usuarios pueden leer / escribir solo sus propios directorios personales. Si necesita que los usuarios compartan archivos, etc., probablemente sea más conveniente crear un directorio "global" propiedad de un grupo dedicado y asignar los usuarios a ese grupo. Puede lograr lo mismo con varias opciones, la mejor depende de lo que desee lograr.
Bram
Bien. Olvídate de la parte sudo ya que configuré un "sudoers permitidos" en su lugar. Ya tengo algunos servicios en funcionamiento que funcionan en una carpeta de inicio existente. Sería una buena práctica crear otra carpeta global, sin embargo, tomará mucho tiempo reconfigurar mis servicios en ejecución. Agregué todos los usuarios que tendrán permisos a la carpeta en un grupo. Guión; anders posee la carpeta / home / anders /. El grupo "investigación" también debe tener acceso completo a / home / anders. Anders debería tener los mismos permisos de siempre. Saludos
Simon
Sé un poco cómo hacerlo (a través de algunas búsquedas en Google con respecto a los permisos), pero no estoy seguro, y realmente no quiero estropear los permisos existentes para el usuario "anders" ya que algunos servicios ya están en funcionamiento.
Simon
Los archivos utilizados por un grupo no deberían estar en ninguno de los directorios principales de los miembros del grupo. El directorio de inicio de un usuario es "privado" porque contiene cosas a las que ningún otro usuario debería poder acceder. Como ejemplo, muchos archivos de configuración pueden contener contraseñas y otros datos privados. Otorgar acceso a otros usuarios es invitar a un mundo de dolor y otros riesgos de seguridad. Es mucho más fácil y, lo que es más importante, más seguro crear un directorio para la investigación y otorgar a anders y a los otros miembros del equipo (grupo) de "investigación" acceso a ese directorio. En cuanto a los servicios, es mejor ejecutarlos desde / opt, / var o / usr / local.
Bram
¿Se utiliza el "usuario especificado" solo para mantener este directorio compartido? Si es así, solo otorgue a todos los usuarios que deberían tener acceso al usuario especificado el derecho sudoa ese usuario especificado. Eso les dará todos los derechos de ese usuario, incluidos los derechos de su directorio de inicio. (Que debería ser todo lo que tienen.)
David Schwartz

Respuestas:

1

Puede otorgar permiso al usuario que necesita usar setfacl(configurar la lista de control de acceso a archivos)

p.ej:

setfacl -R -m u:snooper:rw target-user
michel-slm
fuente
0
  1. Cree un usuario dedicado y un grupo de "investigación" para ejecutar los servicios con un directorio de inicio fuera de lo habitual, /homepor ejemplo/research
  2. Agregue todos los usuarios que necesiten acceso al directorio de investigación al grupo "investigación" y establezca su directorio de /researchinicio y no permita su inicio de sesión configurando el shell de inicio de sesión en/sbin/nologin
  3. Configure el demonio FTP para hacer un chroot a los usuarios en su directorio de inicio para que solo puedan ver este directorio
Bram
fuente