CentOS 能不能设定一个普通 ssh 账号不能乱逛，只困在一个目录内？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

Distributions

› Ubuntu

› Fedora

› CentOS

中文资源站

› 网易开源镜像站

这是一个创建于 1705 天前的主题，其中的信息可能已经有所发展或是发生改变。

高手们能讲讲怎么做的思路么？
home 目录设在 /home/getacc，只能在 getacc 目录内 vi，mkdir 什么的
不能跑去 /opt，/etc 之类的目录看结构，连文件名都不能看

getacc

home

centos

21 条回复 • 2020-03-21 16:57:23 +08:00

sbw

2020-03-16 20:20:29 +08:00

chroot

12101111

2020-03-16 20:42:34 +08:00

用 ALC 把这个帐号对 /下所有文件夹的 rwx 权限都去掉，/home 只留 x

LoliconInside

2020-03-16 21:28:43 +08:00

chroot+rbash

seers

2020-03-16 21:32:03 +08:00

https://unix.stackexchange.com/questions/208960/how-to-restrict-a-user-to-one-folder-and-not-allow-them-to-move-out-his-folder

leido

2020-03-16 21:41:03 +08:00 via Android

@12101111 是 ACL 吧

lishunan246

2020-03-16 21:49:36 +08:00 via Android

没有 /usr/bin 这个目录的权限能跑 vi 吗？

cev2

2020-03-16 22:52:41 +08:00 via Android

这需求直接用 docker 不是首选吗？
开个端口搞定，在容器里随便 root 权限怎么搞，还可以灵活备份为镜像，换台机器无损迁移。

gucao

2020-03-16 23:00:09 +08:00 via Android

@cev2 完美，搞崩都无所谓

Enya

2020-03-16 23:51:57 +08:00 via iPhone

@cev2 哈哈哈，看到你这个头像就知道为什么无脑推 docker 了

# docker run -it 全世界都是你的

rayhy

2020-03-16 23:59:49 +08:00 via Android

建议启动一个支持 ssh 的 docker，目前我们实验室就是这么做。

cev2

2020-03-17 01:24:37 +08:00

@Enya 哈哈哈，→_→应该是看到我明明用的是这个头像，竟然还给楼主推荐 docker，说明楼主的这个需求用 docker 实在是再适合不过。

black11black

2020-03-17 06:35:04 +08:00 via Android

@cev2 也有问题吧，lz 说的就是一些基础的文件操作，要是加上 root 权限，恶意把容器搞崩反倒难顶。要不然你就每个人开一个容器，自动配置也麻烦，内存也顶不住。另外他有 root 无限塞东西，不是分分钟把硬盘塞爆

jancgk

2020-03-17 09:10:27 +08:00

用 docker 搞个蜜罐

no1xsyzy

2020-03-17 10:02:01 +08:00

@black11black docker 不一定给 root
恶意搞崩的话，只要给 bash 就可以 `:(){ :|:& };:` 了

miao1007

2020-03-17 10:08:36 +08:00 via iPhone

绑定 ldap 企业级的权限

ncwtf

2020-03-17 10:58:50 +08:00

参考 ftp 只给一个目录权限

cev2

2020-03-17 13:36:20 +08:00 via Android

@black11black #12 😃你这么一描述岂不是更应该用 docker 了。
1，root 权限>容器内可给可不给，不影响容器外文件的用户组配置。
2，恶意把容器搞崩>分享前把容器保存下快照，搞崩后快照恢复一下秒解决。
3，内存、配置麻烦问题>同 2，保存时改为保存镜像，此镜像每重新运行多次即可新建多个相同分享。CentOS+busybox+bash+openssh，100MiB 内存够够的。
4，无限塞东西>只要有普通写文件权限就可以把硬盘塞爆，但恰恰 docker 可以对容器占用的 CPU、内存、硬盘进行限制。
😂完美的一批~

ps：😏通过 snap 安装 docker 并普通用户运行，容器内给 root 权限。小朋友使用中发现了 docker 的漏洞，进行容器逃逸，逃逸成功后发现自己在 snap 的沙盒环境内，于是苦心钻研 snap 的漏洞，沙盒逃逸后发现自己获得了宿主机的普通用户权限。安全问题就是这么美滋滋

tomychen

2020-03-17 13:42:54 +08:00

chroot ?

mio101

2020-03-18 03:28:37 +08:00

@cev2 小白问下：docker 如何对容器占用的硬盘空间大小进行限制？

cev2

2020-03-18 21:51:15 +08:00

@mio101
方法 1：通过 devicemapper （默认是 Overlay2 ）作为 docker 的 storage drivers，最小限制为 10GiB。#!转换 storage drivers
需要备份已有的容器，因为会清空当前镜像。不同容器仅能限制相同大小，不过生产环境这需求也不大。
方法 2：通过 Overlay2+XFS 作为 docker 的 storage drivers，每个容器可限制不同大小。
ps：又不是卖 VPS，反正 docker 的文件是 COW，谁闲的去限制大小，卖 VPS 还是 OpenVZ 和 KVM 更香。

basstk

2020-03-21 16:57:23 +08:00

我想问用 Acl 把这个帐号对 /下所有文件夹的 rwx 权限都去掉，/home 只留 x ,这个如何操作 -_-!