Ubuntu Server 16.04.1 x64。挂载 - /boot、/、/home 我有示例用户1
我可以限制用户1通过 SSH 运行仅有的 2 或 3 个程序用户1主目录 (/home/user1),并禁用浏览文件夹的功能/垃圾桶,/ETC,/var,/tmp,/启动和别的。
我需要允许用户1仅运行 -屏幕,解压缩,顶部,Java 语言
并拒绝运行任何其他命令(R M,cp,动量和别的)
拒绝光盘禁止删除或将任何文件从 /etc 复制到 /home/user1 目录。
答案1
只要启用 Java,用户就可以编译更复杂的东西来逃避限制。例如,甚至可以使用 vi 来逃避受限的 shell。好吧,vi 不是用 Java 编写的,但想法是一样的……
Chroot 并非旨在作为一种安全措施,如果您是 root,则有一些程序可以让您逃离 chroot。我认为您能做的最好的事情是在 chroot 中创建一些最小系统,并在其中创建非特权用户(因此它将拥有自己的 /chroot/etc、/chroot/usr,用户可以访问它们)。