默认的 guest 用户无法读取主目录及其内容,但可以读取根目录以及与主目录具有相同权限的其他目录。那么,这个特殊的限制在哪里指定?
答案1
用于处理访客会话的受限权限的软件包是应用装甲。
AppArmor 是基于名称的强制访问控制的 Linux 安全模块实现。AppArmor 将各个程序限制在一组列出的文件和 posix 1003.1e 草案功能中。
(来自Ubuntu 服务器指南)
它利用所谓的“配置文件”来允许/拒绝访问文件/目录、网络......
这些配置文件存储在 下etc/apparmor.d/
,在较新版本中(切换到 lightdm 作为显示管理器后),负责来宾用户的配置文件是 lightdm-guest-session
。来宾会话中的所有内容均由 处理/usr/lib/lightdm/lightdm/lightdm-guest-session-wrapper
,它是一个二进制文件。