CentOS 能不能设定一个普通 ssh 账号不能乱逛,只困在一个目录内?

2020-03-16 20:15:36 +08:00
 uti6770werty
高手们能讲讲怎么做的思路么?
home 目录设在 /home/getacc,只能在 getacc 目录内 vi,mkdir 什么的
不能跑去 /opt,/etc 之类的目录看结构,连文件名都不能看
5366 次点击
所在节点    Linux
21 条回复
sbw
2020-03-16 20:20:29 +08:00
chroot
12101111
2020-03-16 20:42:34 +08:00
用 ALC 把这个帐号对 /下所有文件夹的 rwx 权限都去掉,/home 只留 x
LoliconInside
2020-03-16 21:28:43 +08:00
chroot+rbash
seers
2020-03-16 21:32:03 +08:00
leido
2020-03-16 21:41:03 +08:00
@12101111 是 ACL 吧
lishunan246
2020-03-16 21:49:36 +08:00
没有 /usr/bin 这个目录的权限能跑 vi 吗?
cev2
2020-03-16 22:52:41 +08:00
这需求直接用 docker 不是首选吗?
开个端口搞定,在容器里随便 root 权限怎么搞,还可以灵活备份为镜像,换台机器无损迁移。
gucao
2020-03-16 23:00:09 +08:00
@cev2 完美,搞崩都无所谓
Enya
2020-03-16 23:51:57 +08:00
@cev2 哈哈哈,看到你这个头像就知道为什么无脑推 docker 了

# docker run -it 全世界都是你的
rayhy
2020-03-16 23:59:49 +08:00
建议启动一个支持 ssh 的 docker,目前我们实验室就是这么做。
cev2
2020-03-17 01:24:37 +08:00
@Enya 哈哈哈,→_→应该是看到我明明用的是这个头像,竟然还给楼主推荐 docker,说明楼主的这个需求用 docker 实在是再适合不过。
black11black
2020-03-17 06:35:04 +08:00
@cev2 也有问题吧,lz 说的就是一些基础的文件操作,要是加上 root 权限,恶意把容器搞崩反倒难顶。要不然你就每个人开一个容器,自动配置也麻烦,内存也顶不住。另外他有 root 无限塞东西,不是分分钟把硬盘塞爆
jancgk
2020-03-17 09:10:27 +08:00
用 docker 搞个蜜罐
no1xsyzy
2020-03-17 10:02:01 +08:00
@black11black docker 不一定给 root
恶意搞崩的话,只要给 bash 就可以 `:(){ :|:& };:` 了
miao1007
2020-03-17 10:08:36 +08:00
绑定 ldap 企业级的权限
ncwtf
2020-03-17 10:58:50 +08:00
参考 ftp 只给一个目录权限
cev2
2020-03-17 13:36:20 +08:00
@black11black #12 😃你这么一描述岂不是更应该用 docker 了。
1,root 权限>容器内可给可不给,不影响容器外文件的用户组配置。
2,恶意把容器搞崩>分享前把容器保存下快照,搞崩后快照恢复一下秒解决。
3,内存、配置麻烦问题>同 2,保存时改为保存镜像,此镜像每重新运行多次即可新建多个相同分享。CentOS+busybox+bash+openssh,100MiB 内存够够的。
4,无限塞东西>只要有普通写文件权限就可以把硬盘塞爆,但恰恰 docker 可以对容器占用的 CPU、内存、硬盘进行限制。
😂完美的一批~

ps:😏通过 snap 安装 docker 并普通用户运行,容器内给 root 权限。小朋友使用中发现了 docker 的漏洞,进行容器逃逸,逃逸成功后发现自己在 snap 的沙盒环境内,于是苦心钻研 snap 的漏洞,沙盒逃逸后发现自己获得了宿主机的普通用户权限。安全问题就是这么美滋滋
tomychen
2020-03-17 13:42:54 +08:00
chroot ?
mio101
2020-03-18 03:28:37 +08:00
@cev2 小白问下:docker 如何对容器占用的硬盘空间大小进行限制?
cev2
2020-03-18 21:51:15 +08:00
@mio101
方法 1:通过 devicemapper (默认是 Overlay2 )作为 docker 的 storage drivers,最小限制为 10GiB。#!转换 storage drivers
需要备份已有的容器,因为会清空当前镜像。不同容器仅能限制相同大小,不过生产环境这需求也不大。
方法 2:通过 Overlay2+XFS 作为 docker 的 storage drivers,每个容器可限制不同大小。
ps:又不是卖 VPS,反正 docker 的文件是 COW,谁闲的去限制大小,卖 VPS 还是 OpenVZ 和 KVM 更香。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/653371

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX