Kaw*_*iKx 7 users permissions account-restrictions
我有一个用户甚至可以使用 sudo。我只想限制他访问他的主目录。没有别的。我创建了一个组“有限”并将他转移到这个组。怎么办?
我该如何限制他只访问他的主目录?
小智 5
阻止某些特定访问比默认阻止所有访问并为每种访问添加特定例外要困难得多。这个原则甚至有一个朗朗上口的术语。因此,请确保sudo明确指定可以运行的命令,以便用户永远不会root使用它。完成此操作后,您有几个选择:
限制目录权限(选项 1)。确保/系统上根 ( )目录中的所有目录都为其他权限组关闭了执行位。这通常意味着运行类似于以下内容:
$ chmod o-x <dir>
也对上面已经运行但有一个该用户所属的limited组(至少是您的问题的组)的所有目录执行相同的操作。这意味着运行:
$ chmod g-x <dir>
更改主要顶级目录的目录执行权限可能不切实际:可能有一些重要的过程依赖于能够在没有任何详细权限设置的情况下更改目录(例如到/或/var)。但是您至少可以对几个私有目录执行此操作。
使用 chroot jail(选项 2)。我认为现实的选择是使用 chroot jail,以便用户在登录后立即获取受限环境的信息。除了设置 chroot 环境外,还必须适当配置 OpenSSH 服务器。这确实假设ssh只能通过 访问系统。或者,您可以使用此处讨论过的 Jailkit 。