我知道这可能是一个愚蠢的问题。我猜想很多“其他”(各种进程)需要对 /etc 和其他目录的读取权限。
我正在向外部开发人员授予 SSH 访问权限,并且我想尽可能地限制他只能访问 /var/www 区域。我原本想从 /etc 中删除读取权限,但意识到这可能会破坏一切。我说得对吗?
答案1
您不应该对系统文件夹的权限感到困惑。/etc对于许多进程来说,拥有访问权限非常重要,其中一些进程可能无法以 身份运行root。简而言之:这也许是可行的,但不值得这么麻烦。
我更愿意鼓励你建立一个chroot 监狱反而。
chroot jail 是描述文件系统中为特定用户划分的某个部分的常用表达方式。在 Web 服务器上,它对于共享托管帐户的安全性特别有用。
因此,您可以“锁定”开发人员/var/www- 甚至是其子文件夹 - 并让他做所有他想做的事情,而无需看到他所锁定的目录“上方”的任何目录。
通过以下实用程序可以轻松构建 chroot jails监狱工具或者在各种博客文章和操作指南中进行了解释,例如这个:如何为 CentOS 构建 chroot jail 环境