Cum creați un utilizator cu acces limitat în Linux

Cum creați un utilizator cu acces limitat în Linux.Crearea unui utilizator cu acces limitat în Linux este o practică de securitate esențială.

Prin excluderea din grupuri privilegiate, restricționarea shell-ului și definirea clară a permisiunilor, se poate reduce considerabil suprafața de atac și se poate asigura un mediu controlat pentru operațiuni specifice.

Cum creați un utilizator cu acces limitat?

Crearea de utilizatori cu acces limitat este esențială pentru securitatea sistemului Linux.

Prin restricționarea accesului, se reduce riscul ca un utilizator să modifice fișiere critice sau să ruleze comenzi periculoase.

Acest ghid vă arată cum să creați un cont cu drepturi minime, potrivit pentru sarcini specifice și sigure.

1. Crearea unui utilizator nou

Folosind comanda adduser:

sudo adduser nume_utilizator

Veți fi ghidat să introduceți parola și alte informații. Acest utilizator va avea, implicit, un director home și shell-ul /bin/bash.

2. Eliminarea accesului sudo

Asigurați-vă că utilizatorul nu face parte din grupul sudo:

sudo deluser nume_utilizator sudo

Verificare apartenență la grupuri:

groups nume_utilizator

3. Restricționarea shell-ului (opțional)

Dacă doriți ca utilizatorul să nu aibă acces la shell interactiv:

sudo usermod -s /usr/sbin/nologin nume_utilizator

Alternativ, puteți folosi /bin/false pentru a-i bloca complet loginul.

4. Crearea unui mediu de lucru izolat (chroot jail)

Pentru a restricționa accesul la un anumit director, puteți folosi chroot sau soluții precum rssh sau jailkit.

Exemplu de creare a unui director de lucru:

sudo mkdir -p /home/limitati/website
sudo chown root:root /home/limitati
sudo chmod 755 /home/limitati
sudo chown nume_utilizator /home/limitati/website

Astfel, utilizatorul poate lucra doar în folderul website.

5. Limitarea comenzilor disponibile

Puteți controla ce comenzi poate accesa utilizatorul prin:

• modificarea variabilei PATH în fișierul .bash_profile sau .bashrc
• crearea unui shell personalizat care permite doar anumite comenzi

6. Limitarea accesului SSH

Pentru a permite accesul doar anumitor utilizatori prin SSH:

sudo nano /etc/ssh/sshd_config

Adăugați linia:

AllowUsers admin nume_utilizator

Aplicați modificările:

sudo systemctl restart ssh

7. Restricționarea accesului la fișiere

Folosind chmod și chown, puteți restricționa accesul la fișiere sensibile:

sudo chmod 700 /etc/important
sudo chown root:root /etc/important

8. Crearea unui grup dedicat (opțional)

Pentru control suplimentar, puteți crea un grup izolat:

sudo groupadd limitat
sudo usermod -g limitat nume_utilizator

9. Monitorizarea activității utilizatorului

Logurile activităților pot fi analizate în:

/var/log/auth.log

Pentru urmărire în timp real:

sudo tail -f /var/log/auth.log

10. Testarea configurației

Înainte de a oferi acces unui utilizator real, testați contul creat:

su - nume_utilizator

Verificați ce directoare și comenzi sunt accesibile și asigurați-vă că restricțiile funcționează conform planului.