Q&A
ありがとうございました!
例えば、
a/
b/
c/
というディレクトリがルートに会って、
ユーザー:suzuki は
a/
b/
しかアクセスしても見れなくて、
ユーザー:yamadaは
c/
しか見れないみたいなことは可能なのかということでした!
まだ具体的な段階までもいっておらず、漠然とした質問で申し訳ないのですが、
現在、ec2で作成したwebサーバー(Linux)を運用しているのですが、
pemを全員で使いまわし、ユーザーも初期のec2-userでアクセスしているので、
各ユーザーを作成してec2-userでのアクセスは控えるようにしようとしているのですが、
(ここまでは対応済み)例えば、winscpやcyberduckのようなクライアントソフトで、
各々サーバーにアクセスした際に、各自設定したディレクトリしか表示されない(もしくは権限の設定で書き込みなどができない状態)ようにすることは
可能でしょうか?
その場合、AWSのコンソールから行うものなのでしょうか?それともSSHでやるものでしょうか?
調べるとっかかりがないものでキーワードや参考ページなどあれば
教えていただけますと幸いです。その後不明点などあれば、
再度別スレッドで具体的にご質問させていただければと思っております。
回答2件
0
ftp(sftp含む) なら FTP サーバの設定でユーザー毎のルートディレクトリを指定できるので、そこから下以外はアクセスできなくなります。
scp の場合は Unix ユーザとしてのアクセス権に従って細かく指定することになりますね。ただその場合、Unix ユーザーとしての性質上、読み取り専用のシステムファイル(/usr/bin とかの下とか)もファイル一覧の取得とかダウンロードはできてしまう可能性はあります。
※各ユーザーの個別のファイル群であれば、アクセス権を 0700 とかにしておけば他のユーザーはアクセスできなくなりますが
設定は EC2 のコンソール上で行う必要がありますので、AWS の Webコンソール機能を使うか、SSH でアクセスして設定するか、です。
投稿2019/10/30 10:01
総合スコア13703
ディレクトリa、b、cのそれぞれを参照可能なグループを作り、参照させたいディレクトリのグループにのみユーザを参加させれば行けそうな気がします。
ユーザが増えると管理が煩雑になるのでLDAPと連携させるなりしたほうがいいかもしれませんが、それもそれで煩雑なので、そもそもそんな大人数のユーザを作らなければならない状況を避けるほうが楽かもしれません。
なぜそのような用途が発生するのでしょう?
ユーザーごとに専用のディレクトリを作りたかったのです。
そして可能であれば、ほかの人のディレクトリは見えないほうがベターでしたが、最悪みえても書き換えができなければ最低限の条件はクリアでした。
いえ、聞きたかったのはそもそもなぜEC2に大人数でSCP(SFTP)でアクセスさせるのか、というところですが…。
↑に書いてあるものは複数のディレクトリが参照可能になってますが、今仰ったように自分のディレクトリ以外見えないようにしたいのであれば、chrootでホームディレクトリより上を見せないようにすれば事足りるのではないでしょうか。
すいません、ちょっとよくわかってなのですが、特定のユーザーは
他人のディレクトリをみれたり、柔軟に設定したかったのですが、それもその考えで可能ということでしょうか?
> ディレクトリa、b、cのそれぞれを参照可能なグループを作り、参照させたいディレクトリのグループにのみユーザを参加させれば行けそうな気がします。
それであればこれですね。
複数のディレクトリを参照させたいなら複数のグループに追加すればOKでしょう。
chrootで共通のルートディレクトリを作って、ディレクトリごとに細かく権限設定すればいいような気はします。ちょっと面倒ですけどね…。
ファイルパーミッションについてもう少し調べてみましょう。
あくまで想像ですけど、もしファイルサーバのように使おうとしているのなら、EC2で無理やりやることもない気はしますが…。
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。