sudoも利用できるユーザーがいます。私は彼が彼のホームディレクトリにのみアクセスすることを制限したいと思います。他にはありません。私は「制限された」グループを作り、彼をそのグループに移しました。何をすべきか?
彼が自分のホームディレクトリにのみアクセスすることをどのように制限できますか?
ベストアンサー1
特定のアクセスをブロックすることは、基本的にすべてのアクセスをブロックし、各アクセスに特定の例外を追加するよりもはるかに困難です。これには目立つ用語もあります。原則として。したがって、実行できるコマンドを明示的に指定して、ユーザーが絶対に使用sudo
できないようにします。root
これを完了すると、いくつかのオプションがあります。
ディレクトリ権限の制限(オプション1)。
/
システムのルート()ディレクトリ内のすべてのディレクトリに対して実行ビットがオフになっていることを確認してください。許可するグループ。これは通常、次のようなものを実行することを意味します。$ chmod o-x <dir>
上記のコマンドを実行しましたが、このユーザーがメンバーであるグループ(少なくとも
limited
質問にあるグループ)を持つすべてのディレクトリに対して同じことを行います。これは、以下を実行することを意味します。$ chmod g-x <dir>
デフォルトの最上位ディレクトリのディレクトリ実行権限に対するこれらの変更は、実用的ではない可能性があります。詳細な権限設定なしでディレクトリ(たとえば、
/
または)を変更できる必要があるいくつかの重要なプロセスがあります。/var
しかし、少なくとも何度もできます。プライベート目次。chroot刑務所を使用する(オプション2)。現実的な選択は、ユーザーがログイン後すぐに制限された環境に関する情報を取得できるようにchroot Jailを使用することです。 chroot環境の設定に加えて、OpenSSHサーバーも適切に構成する必要があります。これは、を通じてのみシステムにアクセスできると仮定します
ssh
。あるいは、すでに説明したJailkitを使用することもできます。ここ。