我的学校最近给每个学生都配了一台 Chromebook。它们显然功能非常有限,但确实支持 SSH。我和我的一些朋友对编程感兴趣,我认为我们所有人都在我的 Ubuntu 小盒子(大约 2007 年改装的 Windows Vista 计算机)上拥有一个帐户会很有趣,只是为了实验和测试目的,这样他们都有机会使用 Python、C++,管理 Minecraft 服务器,绕过 Chromebook 过滤器等。
我一般都信任这些人,而且电脑对于我们的日常活动来说并不重要,但我想知道在让他们设置帐户之前我是否应该采取任何特定的安全措施。如果他们中的一个要制作一些流氓程序,我如何确保它不会删除我帐户上的任何文件?
答案1
不要授予sudo/root访问权限。无论您创建什么服务器,都要确保服务器在自己的空间中通过自己的访问权限运行。例如,如果您正在运行 Web 服务器,它将以用户身份运行www-data。 www-data可以在其区域内进行更改,但不能在其访问控制之外进行任何更改。
userid因此,请检查正在运行的服务器的名称groupid,以验证它是否在自己的空间中运行。
大多数服务器已采用此设计。
此外,您自己在运行提升的命令时可能会考虑要小心sudo。需要提升的命令才能进行系统范围的更改。因此,如果您担心您的guru学生之一想尝试控制您的服务器,他们可能会试图让您运行脚本或问题,从而打开对他或他的某个程序的提升访问权限。如果您以普通用户身份运行测试程序,则不会做出无意的有害更改。
sudo仅当您有意了解想要安装或配置的具体内容时才运行命令。
您的个人空间
默认情况下,您的主目录是浏览器可读的。您在权限命令中对其他人而言是O。x目录中的权限是进入该目录的权限。目录r中的权限是读取内容的权限。
如果你没有更改过,你的主文件夹看起来会像这样:
(其输出ls ~/是你的主目录)
$ ls -l ~/
drwxr-xr-x 24 apollo apollo 4096 Sep 25 18:03 apollo
在这种情况下,apollo用户 ID 是组 ID。权限分为三组,uuugggooo前三个是您(用户)。第二个三个是组权限,最后三个是其他人或所有人。
权限位包括:
r - Read
w - write
x - execute (or for a directory enter)
因此,如果您查看上面的默认权限,您会发现每个人都可以读取和进入目录。这可以使用命令进行更改chown。例如:
$ chmod go-rx ~/
该命令将使特定目录无法被群组和其他人访问。主文件夹将如下所示:
drwxr----- 24 apollo apollo 4096 Sep 25 18:03 apollo
拥有此类权限后,任何人都无法浏览您的个人空间。当然,如果您想要共享某些内容,则可以对您的~/Documents文件夹或任何其他您希望确保无人可以浏览的文件夹执行该命令。
虽然默认情况下许多文件夹都可以浏览,但其他人无法更改它们。
您可以考虑为自己创建一个测试帐户并使用它来测试学生可以使用的内容。
你很可能有好学生,但大多数孩子和大多数人一样,都会好奇,并会出于好奇而试图去他们可能觉得禁区的地方。此外,你的学生虽然不应该这样做,但可能会与可能更好奇的朋友和兄弟分享密码。