在 Ubuntu 服务器上创建受限用户帐户

用户所做的一切都需要访问大部分文件系统。要向自己证明这一点，请运行以下命令：

strace -e trace=file /bin/ls/$HOME

您将看到列出您自己的主目录的内容需要打开并读取至少 40 个分散在您系统中的其他文件。其他命令，如 sftp 等需要更广泛的访问权限。

Unix 系统是围绕用户对大多数操作系统具有只读访问权限的概念设计的。通过仔细的权限和组，您可以轻松地禁止他们查看彼此目录的内容。使用pam_apparmor，您将能够限制它们可以运行的应用程序。

编辑： 我只是重新阅读了您的要求。听起来您不需要他们能够登录到完全交互式的 shell。如果是这种情况，您可以通过两种方式继续：

1. aptitude install scponly. 然后将用户的 shell 设置为“scponly”。不要让它的名字充满你；它也适用于 sftp。如果您想进一步锁定它们，请查看/usr/local/share/doc/scponly有关设置每个用户“chroot”的文档。

2. 如果您需要允许访问更多命令而不仅仅是 sftp/scp（如 rsync），那么您需要滚动自己的命令验证器并设置 ssh“强制命令”。将如下所示的块添加到您的/etc/ssh/sshd_config：

   Match group sftponly
       ForceCommand /usr/local/bin/validate_sftp
   

   然后编写/usr/local/bin/validate_sftp脚本。与此类似的东西：

   #!/bin/bash
   if [[ $SSH_ORIGINAL_COMMAND = "rsync --server" ]]
   then
       exec $SSH_ORIGINAL_COMMAND
   elif [[ $SSH_ORIGINAL_COMMAND = "/usr/lib/openssh/sftp-server" ]]
   then
       exec $SSH_ORIGINAL_COMMAND
   else
       echo "You are only allowed rsync or sftp access to this server."
   fi
   

   将用户添加到“sftponly”组（当然，您必须添加该组），他们将被限制为您的脚本允许的命令。

我不知道这是否符合您的要求，但是既然您说这应该是一台服务器机器，那么可能值得考虑从不同的方面解决问题：

• 也许用户不需要系统上的 unix 帐户。
• 可以通过在该系统上设置例如 sftp 服务器（或类似的东西，例如 WebDAV）来实现类似的事情吗？并且系统提供了自动备份解决方案？（如果您愿意，您甚至可以使用 Subversion + WebDAV 提供自动版本控制。）

...只是一个想法，因为在为用户提供系统帐户时总是涉及一定的安全风险（并且需要管理用户和文件权限） - 至少只要您不为每个人设置虚拟服务器。