.profile変数とPATH変数を使用して実行するための制限付きコマンドで制限付きユーザーを設定しましたが、ユーザーは次のようにパスを設定できます。
$ export PATH=$PATH:/bin:/sbin:/usr/bin
他のコマンドにアクセスできます。
ユーザーがルートを設定できないように制限する方法はありますか?
ベストアンサー1
readonly
Bash組み込み関数を使用して変数を読み取り専用にすることができます。しかし、環境を変更したい人はRCファイルを実行し、自分の環境を設定せずに新しいシェルを起動するだけで済みますので、これを諦める可能性はありません。返品、これは何らかの方法で誰かが逃げるのを防ぎませんPATH
。変数は、ユーザーが代わりにPATH
書き込むことができる便利な機能です。セキュリティとは関係ありません。foo
/usr/bin/foo
環境を保護する鍵は、まず脅威モデルが何であるかを慎重に研究することです。ユーザーが他のユーザーからのファイルの読み取り、インストールの破損、通信の盗聴、スパムの送信、情報へのrootアクセス権の取得などを試みることを期待していますか?これを設定したら、実際に何が起こるのかを確認できます。