我正在尝试为维护用户创建一个受限外壳。应该只允许该用户在其主文件夹中执行单个 bash 脚本。
不应允许用户执行任何其他命令,甚至更改文件夹。这应该适用于 SSH 和直接在系统上的正常终端登录。
我正在尝试在 Fedora AtomicHost 操作系统上进行设置。恕我直言,最好的方法是使用 chroot。但我遇到了一些问题,因为 /bin/su 无法在 chroot 环境中工作。
有没有 chroot 的替代方案?
答案1
您可以将 Bash 脚本设置为用户的 shell:
chsh -s /path/to/script.sh -u maintenanceuser
只需仔细检查用户是否无法退出脚本并获得 shell 的访问权限。