Доброго времени суток уважаемые!
Нужно реализовать следующую задачу (пока исключительно теоретически):
Есть некий сервер N, есть несколько клиентов которые подключаются по SSH. От клиентов (кроме root'а разумеется) нужно изолировать большую часть файловой системы но разрешить при этом доступ к основным системным утилитам (таким как: tar, /usr/bin, /dev/random и т.д.).
Изначально у меня была идея сделать chroot-окружение где-нибудь в домашней папке, но тут же возникла потенциальная проблема необходимости доступа к ассортименту системных утилит и некоторых устройств, и идея отпала. Потом была мысль сделать максимально простую виртуализацию, но она тоже отпала, т.к. возможность установки какого-то софта для пользователей в принципе не предполагается, так же как и индивидуальные рабочие пространства (софт должен быть общий из набора уже установленного).
И... я вспомнил про ACL. Идея выглядит примерно так: с помощью ACL запретить доступ ко всей файловой системе (т.е. к /), а потом с помощью них же, разрешить частичный доступ ко всем основным каталогам/устройствам, которые пользователям могут понадобиться.
Пока это всё теория и на практике я это проверить ещё не успел, но хотелось бы услышать ваше мнение относительно этой идеи. В правильном ли направлении я думаю, есть ли какие-то потенциальные проблемы у такого подхода, имеет ли он право на жизнь? Возможно у Вас есть какие рекомендации или наработки на эту тему?
Спасибо.
ТС не появлялся на Форуме более полугода по состоянию на 21/11/2019 (последняя явка: 14/04/2019). Модератором раздела принято решение закрыть тему.
--zg_nico
Тема: Защита файловой системы при SSH-подключениях (Прочитано 695 раз)
