Ограничение учетной записи пользователя SSH только для доступа к своей домашней директории!

3527
Ehsan.b

Читая некоторые учебники онлайн, я использовал следующие команды:

Создайте локальную группу: net localgroup CopsshUsers / ADD

Запретить доступ к этой группе на верхнем уровне: cacls c: \ / c / e / t / d CopsshUsers

Откройте доступ к каталогу установки copSSH: cacls copssh-inst-dir / c / e / t / r CopsshUsers

Добавьте пользователя Copssh в группу выше: net localgroup CopsshUsers mysshuser / add

Проще говоря, эти команды попытаются создать группу пользователей, у которой нет прав на вашем компьютере, и она имеет доступ только к каталогу установки copSSH.

Это не так, поскольку вы не можете изменить разрешение для своего каталога Windows, третья команда не удалит доступ к папке Windows (в его журнале указано, что доступ запрещен). Каким-то образом я добился этого, приняв на себя владение папкой Windows, а затем выполнил третью команду, чтобы CopsshUsers с этого момента не имел разрешений для папки Windows.

Теперь я попытался SSH к серверу, и он просто не может войти! это довольно забавно, потому что с разрешением на каталог Windows вы можете войти, а без него вы не сможете !! Так что если вы МОЖЕТЕ SSH к серверу каким-то образом, вы знаете, что у вас есть доступ к каталогу Windows! (Это правда?)

Простая задача: ограничение учетной записи пользователя ssh только для доступа к его домашнему каталогу в WINDOWS и ничего больше!

Ребята помогите пожалуйста!

3

2 ответа на вопрос

1
Luke

Вторая команда (запретить доступ к c: \) мне кажется очень страшной. Вы отказываете членам этой группы в рекурсивном доступе к c: \. Программы будут запускаться с их учетными данными, и те программы (которые, вероятно, находятся на диске c: \) должны будут загружать библиотеки, расположенные на диске c: \. Если вы запретите им доступ, они не смогут загружать эти библиотеки, а программы не смогут загружаться. Я не могу представить, почему вы захотите это сделать, и я не могу представить, что если бы вы это сделали, что-нибудь сработало бы правильно. Если вы настаиваете на этом, я бы попытался запретить доступ на запись вместо всех; однако для этого должно быть достаточно разрешений по умолчанию - членам группы «Пользователи» запрещен доступ на запись (точнее, им предоставляется только доступ на чтение).

0
Tim

В системах Unix это может быть достигнуто с помощью chrootтюрьмы. Ища что-то похожее на Windows, я нашел это:

Я не уверен, что это именно то, что вы ищете, но, возможно, это поможет?