我想知道是否有一种简单的方法来限制 ssh 用户访问,以便他们只能 cd 到三个目录。
/tmp
/home/用户ID
/opt/应用程序
如果我们可以从这些用户中删除其他目录上的功能(例如,删除其主目录之外的 rm 功能),这也会很有用。
服务器正在运行 RHEL 6.6 和 winbind,因此我想要限制的用户都是 AD 用户。
答案1
根据您需要的安全程度,您可以使用 chroot 让用户相信他们的主目录是根目录。然后,您可以设置主目录,其中包含指向您希望他们访问的目录的链接(或者在 /tmp 的情况下,只需让他们在其主目录中创建自己的 /tmp)。两个注意事项:
- 如果程序需要访问其自身目录之外的内容并且不是真正安全的,那么这可能会很棘手。
- 知道自己已经被 chroot 的进程(包括智能用户)如果尝试的话可以退出,但是这会阻止普通用户做一些愚蠢的事情并消除可能很难恢复的东西。