我想用几个参数阻止 root 用户执行某些 Linux 命令。例如,“df”命令应该用 -h 参数阻止,但其他参数应该可用。我知道如何阻止整个命令运行,但从未用这种隔离阻止过。
答案1
我能想到的一个方法是使用像 rbash 这样的受限 shell 并放置一个脚本自由度在该用户的自定义路径中调用正确的命令,但这很可能不起作用。
Root 是强大的家伙,除非他不是真正的 root,就像 rbac/selinux 的情况一样,否则你无法阻止他。
尝试看看是否可以做到这一点,但我对此表示怀疑。
另一种方法是获取源代码,删除有问题的选项(从选项解析器中删除就足够了)并重建二进制文件。但这也有自己的问题。
- 你失去了包管理
- 你可以很容易地创建这样的安全漏洞