是chmod o = - -R /用戶限制的可行解決方案？

Question

我們這樣做：

useradd的-s /斌/ rbash -d /家庭/ DIR/USER1 -m USER_1：USER_1

rbash甚至不是一個解決方案，因爲你可以瀏覽午夜指揮官的所有文件。

然後我們創建user_1.domain.com我們分配這個虛擬主機user_1：user_1我們的重點是禁用這個用戶戳進服務器的其他目錄。

我們該怎麼做？

是chmod o = - -R /一個用戶限制的可行解決方案？

這不能回答我的問題。 How to restrict SSH users to a predefined set of commands after login?

Answer 1

首先，對服務器的「其他目錄」的讀取訪問通常是必需的。畢竟，這就是所安裝軟件的二進制文件和數據文件的存在位置。

如果您想禁止訪問其他用戶的目錄，您可以始終設置默認umasks，以便只有所有者具有讀權限並讓用戶決定爲世界的可讀性啓用哪些內容。或者類似地，將每個用戶放入他們自己的組中，這是大多數Linux發行版的默認組。

如果您想要始終禁止訪問，但無法將其打開，您可以使用像AppArmor（簡單）或SELinux（複雜）這樣的MAC工具來玩這些技巧。雖然這有很大的管理成本，但您需要考慮一下。

它曾經是chroot是這類問題的常見解決方案，但近年來已經不受青睞，因爲它並沒有像預期的那樣完全隔離它們。最後，用戶隔離的「正確」解決方案通常被認爲是虛擬化，或者是全系統的東西，比如vmware，kvm，xen等......或者單內核解決方案，如BSD jail或Solaris Zones。