Как посадить в тюрьму пользователя Linux

Question

Есть ли что-то похожее на chroot, но для пользователей?

Мы собираемся предоставить доступ к нашим серверам для клиента и хотели бы, чтобы они видели только те каталоги, которые мы разрешаем.

Answer 1

Поиск в Google по "openssh jail" привел меня к SSHjail для openSSH . Если ваш клиент использует ssh / scp для доступа к указанным серверам, это может быть то, что вы ищете.

Answer 2

«Лучший ответ» 2009 года устарел. OpenSSH теперь поставляется с опцией ChrootDirectory. См. http://www.debian -administration.org / Articles / 590 , который относится к уже старой версии ssh.

Answer 3

Важно отметить, что chroot (2) не предназначен для целей безопасности. Невероятно легко избежать тюрьмы. См. Эту статью на злоупотребление chroot для получения дополнительной информации.

Answer 4

Эффективный способ сделать это - использовать lshell

Answer 5

Если вы действительно хотите пойти на это, SE Linux (или любой другой обязательный контроль доступа ) - это определенное улучшение разрешений Unix по умолчанию.

Answer 6

Нет простого способа посадить пользователей в домашние каталоги. Кстати, я бы НИКОГДА не давал доступ к своим системам кому-то, кому я не доверяю минимум.

В прошлый раз, когда я это делал, я использовал «неотвратимое» меню, основанное на http://bash.cyberciti.biz/guide/A_menu_box .Bashrc запускает этот скрипт, который вы бы не избежали:

~/.bashrc :
(LAST LINE)
./menu.sh; exit 0

Да, мне приходилось писать скрипты для каждого пункта меню (получать логи, проверять sys, ...), но никто не запускал 'chown -R root: root /' вместо *. Бесценный.

[РЕДАКТИРОВАТЬ]: создать выделенного пользователя, не делайте этого как root !!!