ユーザーを自分のホームディレクトリに制限する

Question

特定のアクセスをブロックすることは、基本的にすべてのアクセスをブロックし、各アクセスに特定の例外を追加するよりもはるかに困難です。これには目立つ用語もあります。原則として。したがって、実行できるコマンドを明示的に指定して、ユーザーが絶対に使用sudoできないようにします。rootこれを完了すると、いくつかのオプションがあります。

ディレクトリ権限の制限（オプション1）。/システムのルート（）ディレクトリ内のすべてのディレクトリに対して実行ビットがオフになっていることを確認してください。許可するグループ。これは通常、次のようなものを実行することを意味します。
```
$ chmod o-x <dir>
```
上記のコマンドを実行しましたが、このユーザーがメンバーであるグループ（少なくともlimited質問にあるグループ）を持つすべてのディレクトリに対して同じことを行います。これは、以下を実行することを意味します。
```
$ chmod g-x <dir>
```
デフォルトの最上位ディレクトリのディレクトリ実行権限に対するこれらの変更は、実用的ではない可能性があります。詳細な権限設定なしでディレクトリ（たとえば、/または）を変更できる必要があるいくつかの重要なプロセスがあります。/varしかし、少なくとも何度もできます。プライベート目次。
chroot刑務所を使用する（オプション2）。現実的な選択は、ユーザーがログイン後すぐに制限された環境に関する情報を取得できるようにchroot Jailを使用することです。 chroot環境の設定に加えて、OpenSSHサーバーも適切に構成する必要があります。これは、を通じてのみシステムにアクセスできると仮定しますssh。あるいは、すでに説明したJailkitを使用することもできます。ここ。

Answer 1

特定のアクセスをブロックすることは、基本的にすべてのアクセスをブロックし、各アクセスに特定の例外を追加するよりもはるかに困難です。これには目立つ用語もあります。原則として。したがって、実行できるコマンドを明示的に指定して、ユーザーが絶対に使用sudoできないようにします。rootこれを完了すると、いくつかのオプションがあります。

ディレクトリ権限の制限（オプション1）。/システムのルート（）ディレクトリ内のすべてのディレクトリに対して実行ビットがオフになっていることを確認してください。許可するグループ。これは通常、次のようなものを実行することを意味します。
```
$ chmod o-x <dir>
```
上記のコマンドを実行しましたが、このユーザーがメンバーであるグループ（少なくともlimited質問にあるグループ）を持つすべてのディレクトリに対して同じことを行います。これは、以下を実行することを意味します。
```
$ chmod g-x <dir>
```
デフォルトの最上位ディレクトリのディレクトリ実行権限に対するこれらの変更は、実用的ではない可能性があります。詳細な権限設定なしでディレクトリ（たとえば、/または）を変更できる必要があるいくつかの重要なプロセスがあります。/varしかし、少なくとも何度もできます。プライベート目次。
chroot刑務所を使用する（オプション2）。現実的な選択は、ユーザーがログイン後すぐに制限された環境に関する情報を取得できるようにchroot Jailを使用することです。 chroot環境の設定に加えて、OpenSSHサーバーも適切に構成する必要があります。これは、を通じてのみシステムにアクセスできると仮定しますssh。あるいは、すでに説明したJailkitを使用することもできます。ここ。

ユーザーを自分のホームディレクトリに制限する

ベストアンサー1

おすすめ記事