我正在设置服务器,并希望用户只能访问自己的文件。我执行常规的 adduser 命令:
sudo adduser username
并给用户一个密码。然后我通过 ssh 登录,发现我可以 cd 到 / 和其他用户的主文件夹。我似乎对 ~/ 之外的很多内容都没有写权限,但我只是想,如果没有添加到 sudo 组,新用户到底能造成什么损害?
我是否应该采取更多预防措施并进一步锁定用户?
答案1
原则上,以这种方式创建的用户无法在其自己的主目录之外造成任何损害。正如您所注意到的,普通用户可以访问各种目录(例如,,/
)。这是必要的,因为大多数用户可访问的程序位于和中。如果用户没有这些目录的(只读)访问权限,他/她将无法运行任何程序。但是,普通用户无权访问其他用户的主目录。/usr/
/tmp
/usr/bin
/bin
您可以使用ls -l
命令查看文件或目录的权限。请参阅https://help.ubuntu.com/community/FilePermissions有关文件权限的更多信息。
可以将 ssh 用户限制为只能使用几个程序。请参阅http://www.pizzashack.org/rssh/和http://www.cyberciti.biz/tips/linux-unix-restrict-shell-access-with-rssh.html对于 rssh 工具,限制用户只能运行scp
和等复制工具rsync
。此类用户将无法正常登录以获取 shell 并运行其他命令。
另一个选择是创建一个“chroot”或“jail”环境。请参阅这个 AskUbuntu 问题。