Benutzer sollen übergeordnetes Verzeichnis nicht lesen

[Heidegger]

Hi! Meine Benutzer liegen unter /export/usr/{user1, ..., userX} und gehören alle der Gruppe staff an. Jedes Benutzerverzeichnis hat die Rechte rwx------ mit chmod 0700 verliehen bekommen. Ich möchte nun verhindern, daß ein Benutzer per cd .. in das übergeordnete Verzeichnis /export/usr gelangt und dort die anderen Verzeichnisse sehen kann, d. h. wenn er den Befehel 'cd ..' aus /export/usr/user1 abschickt, soll sofort ein "Permission denied" erfolgen. Wenn ich die Rechte in /export/usr per chmod 0750 vergebe, haben alle User jedoch nur noch ihre Shel direkt unter / ohne Schreibrechte. Irgendwie eine verzwickte Situation.

 

[current]

Ein 'chmod 710 /home' sollte es tun...

 

[Heidegger]

Das funktioniert leider nicht. Wenn ich das Verzeichnis mit chmod 0710 ändere, können es die User trotzdem lesen. Du hast zwar das r-Bit entfernt, aber offensichtlich reicht dem OS das x-Bit zum Lesen aus.

 

[Dr.Sweety]

Was bewirkt ein chmod 700 auf das /export/usr Verzeichnis? Eventuell auch das Verzeichnis einem User zuordnen welcher sein home dir nicht unter /export/usr hat (root?). AFAIK benötigt man nur execute Rechte - also das x-bit - um ein dir listen zu können, um auch in das betreffende dir wechseln zu können benötigt man allerdings das r-bit.

 

[Elessar]

Hm, pam_chroot is wohl etwas zu viel des guten oder?

 

[current]

Du hast zwar das r-Bit entfernt, aber offensichtlich reicht dem OS das x-Bit zum Lesen aus.

Bei mir nicht:

$ ls /home
thorsten [... andere Einträge ]
$ sudo chmod 710 /home
$ ls /home
ls: home: Permission denied

Ist das nicht genau das, was Du haben willst? Und hier nochmal der Auszug aus *dem Handbook* zu permissions:

Directories are also treated as files. They have read, write, and execute permissions. The executable bit for a directory has a slightly different meaning than that of files. When a directory is marked executable, it means it can be moved into, i.e. it is possible to ``cd'' into it. This also means that within the directory it is possible to access files whose names are known (subject, of course, to the permissions on the files themselves).

In particular, in order to perform a directory listing, read permission must be set on the directory, whilst to delete a file that one knows the name of, it is necessary to have write and execute permissions to the directory containing the file.