我想在我自己的服务器上为想要使用的朋友创建一个帐户weechat。
我已经创建了一个帐户adduser friend并为他的登录创建了一个 ssh 对,以便禁用密码登录。
我相信朋友不会尝试破坏我的系统,但我想知道我应该采取哪些额外的安全措施。他的帐户总是可能被盗用。
sudo他目前没有权利,他也不需要这些权利。事实上,他所需要的只是weechat在 中执行tmux。
就目前而言,他可以导航系统目录,但不能删除任何内容。他还可以浏览其他用户的主目录。
是否有任何建议的额外设置可以让我在受到威胁时确保他的帐户尽可能安全?
我读过关于非特权帐户但这似乎限制太多,因为他需要一个主目录weechat.为了禁止他读取我的主目录,我阅读了有关修改所有其他主目录的权限的信息。不过我觉得应该有办法修改他的帐户而不是所有其他主目录?
答案1
考虑为该用户设置一个唯一的组,以便他只能看到具有“其他”或该组的读取权限的文件和目录。然后主要关心的是文件系统中的哪些内容具有“其他”权限,无论如何,这是一件值得审查的好事情。
此外,有些人已经成功地将登录 shell 更改为您想要授予访问权限的所需程序(weechat)。然后登录就立即运行,退出就注销。有些程序能够启动外壳,因此这本身并不能提供完整的保护。