我想将我系统上的某些用户限制为命令子集,并且绝对无法访问系统的其余部分。我认为 chrooting 是解决这个问题的方法,但我只知道如何 chroot 一个 ftp 用户。这可以为普通的 shell 用户完成吗?我怎样才能做到这一点?
AskOverflow.Dev
我想将我系统上的某些用户限制为命令子集,并且绝对无法访问系统的其余部分。我认为 chrooting 是解决这个问题的方法,但我只知道如何 chroot 一个 ftp 用户。这可以为普通的 shell 用户完成吗?我怎样才能做到这一点?
Jailkit简化了它。
Jailkit 是一组实用程序,用于使用 chroot() 和/或特定命令将用户帐户限制为特定文件。在 chroot 监狱中设置 chroot shell、仅限于某些特定命令的 shell 或守护进程要容易得多,并且可以使用这些实用程序自动化。
请极其谨慎地使用 chroot,众所周知,它并没有提供它所提供的完整保护。
来自维基百科的 chroot 限制
我记得 LKML 关于修复 chroot 中允许用户逃脱的“错误”的辩论;内核开发人员已经回答说 chroot 并非旨在成为一种安全机制。