我们这样做:
useradd -s / bin / rbash -d / home / dir / user1 -m user_1:user_1
rbash甚至不是解决方案,因为您可以使用午夜指挥官浏览所有文件。
然后我们创建user_1.domain.com我们分配这个vhost user_1:user_1我们的全部意义是禁止这个用户进入服务器的其他目录。
我们怎么做?
是chmod o = - -R /用户限制的可行解决方案吗?
这不能回答我的问题。 How to restrict SSH users to a predefined set of commands after login?
答案 0 :(得分:3)
首先,通常需要对服务器的“其他目录”进行读访问。毕竟,这就是所安装软件的二进制文件和数据文件所在的位置。
如果您想禁止访问其他用户的目录,您始终可以设置默认umasks,以便只有所有者具有读访问权限,并让用户决定启用哪些内容以实现全局可读性。或者类似地,将每个用户放入他们自己的组中,这是大多数Linux发行版的默认设置。
如果您想要始终禁止访问,而无法打开它,您可以使用AppArmor(简单)或SELinux(复杂)等MAC工具进行操作。虽然这需要考虑重大的管理成本。
过去chroot是解决这类问题的常用解决方案,但近年来它已经失宠了,因为它并没有像你期望的那样完全隔离事物。
最后,用户隔离的“正确”解决方案通常被认为是虚拟化,无论是整个系统还是vmware,kvm,xen等......还是BSD jails或Solaris Zones等单核内核解决方案。