我想限制系统中的某些用户只能使用部分命令,并且绝对不能访问系统的其余部分。我认为 chrooting 是解决这个问题的方法,但我只知道如何 chroot ftp 用户。普通 shell 用户也可以这样做吗?我该如何实现?
答案1
监狱工具简化它。
Jailkit 是一组实用程序,使用 chroot() 和/或特定命令将用户帐户限制到特定文件。设置 chroot shell、限制为某些特定命令的 shell 或 chroot jail 内的守护进程要容易得多,并且可以使用这些实用程序自动完成。
答案2
请极其小心地使用 chroot,众所周知它并不能提供看起来那么完整的保护。
我记得 LKML 上有一场关于修复 chroot 中允许用户逃脱的“错误”的辩论;内核开发人员回答说 chroot 并不是一种安全机制。