V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
uti6770werty
V2EX  ›  Linux

CentOS 能不能设定一个普通 ssh 账号不能乱逛,只困在一个目录内?

  •  
  •   uti6770werty · 2020-03-16 20:15:36 +08:00 · 5333 次点击
    这是一个创建于 1704 天前的主题,其中的信息可能已经有所发展或是发生改变。
    高手们能讲讲怎么做的思路么?
    home 目录设在 /home/getacc,只能在 getacc 目录内 vi,mkdir 什么的
    不能跑去 /opt,/etc 之类的目录看结构,连文件名都不能看
    21 条回复    2020-03-21 16:57:23 +08:00
    sbw
        1
    sbw  
       2020-03-16 20:20:29 +08:00
    chroot
    12101111
        2
    12101111  
       2020-03-16 20:42:34 +08:00
    用 ALC 把这个帐号对 /下所有文件夹的 rwx 权限都去掉,/home 只留 x
    LoliconInside
        3
    LoliconInside  
       2020-03-16 21:28:43 +08:00
    chroot+rbash
    leido
        5
    leido  
       2020-03-16 21:41:03 +08:00 via Android
    @12101111 是 ACL 吧
    lishunan246
        6
    lishunan246  
       2020-03-16 21:49:36 +08:00 via Android
    没有 /usr/bin 这个目录的权限能跑 vi 吗?
    cev2
        7
    cev2  
       2020-03-16 22:52:41 +08:00 via Android
    这需求直接用 docker 不是首选吗?
    开个端口搞定,在容器里随便 root 权限怎么搞,还可以灵活备份为镜像,换台机器无损迁移。
    gucao
        8
    gucao  
       2020-03-16 23:00:09 +08:00 via Android
    @cev2 完美,搞崩都无所谓
    Enya
        9
    Enya  
       2020-03-16 23:51:57 +08:00 via iPhone
    @cev2 哈哈哈,看到你这个头像就知道为什么无脑推 docker 了

    # docker run -it 全世界都是你的
    rayhy
        10
    rayhy  
       2020-03-16 23:59:49 +08:00 via Android
    建议启动一个支持 ssh 的 docker,目前我们实验室就是这么做。
    cev2
        11
    cev2  
       2020-03-17 01:24:37 +08:00
    @Enya 哈哈哈,→_→应该是看到我明明用的是这个头像,竟然还给楼主推荐 docker,说明楼主的这个需求用 docker 实在是再适合不过。
    black11black
        12
    black11black  
       2020-03-17 06:35:04 +08:00 via Android
    @cev2 也有问题吧,lz 说的就是一些基础的文件操作,要是加上 root 权限,恶意把容器搞崩反倒难顶。要不然你就每个人开一个容器,自动配置也麻烦,内存也顶不住。另外他有 root 无限塞东西,不是分分钟把硬盘塞爆
    jancgk
        13
    jancgk  
       2020-03-17 09:10:27 +08:00
    用 docker 搞个蜜罐
    no1xsyzy
        14
    no1xsyzy  
       2020-03-17 10:02:01 +08:00
    @black11black docker 不一定给 root
    恶意搞崩的话,只要给 bash 就可以 `:(){ :|:& };:` 了
    miao1007
        15
    miao1007  
       2020-03-17 10:08:36 +08:00 via iPhone
    绑定 ldap 企业级的权限
    ncwtf
        16
    ncwtf  
       2020-03-17 10:58:50 +08:00
    参考 ftp 只给一个目录权限
    cev2
        17
    cev2  
       2020-03-17 13:36:20 +08:00 via Android   ❤️ 1
    @black11black #12 😃你这么一描述岂不是更应该用 docker 了。
    1,root 权限>容器内可给可不给,不影响容器外文件的用户组配置。
    2,恶意把容器搞崩>分享前把容器保存下快照,搞崩后快照恢复一下秒解决。
    3,内存、配置麻烦问题>同 2,保存时改为保存镜像,此镜像每重新运行多次即可新建多个相同分享。CentOS+busybox+bash+openssh,100MiB 内存够够的。
    4,无限塞东西>只要有普通写文件权限就可以把硬盘塞爆,但恰恰 docker 可以对容器占用的 CPU、内存、硬盘进行限制。
    😂完美的一批~

    ps:😏通过 snap 安装 docker 并普通用户运行,容器内给 root 权限。小朋友使用中发现了 docker 的漏洞,进行容器逃逸,逃逸成功后发现自己在 snap 的沙盒环境内,于是苦心钻研 snap 的漏洞,沙盒逃逸后发现自己获得了宿主机的普通用户权限。安全问题就是这么美滋滋
    tomychen
        18
    tomychen  
       2020-03-17 13:42:54 +08:00
    chroot ?
    mio101
        19
    mio101  
       2020-03-18 03:28:37 +08:00
    @cev2 小白问下:docker 如何对容器占用的硬盘空间大小进行限制?
    cev2
        20
    cev2  
       2020-03-18 21:51:15 +08:00
    @mio101
    方法 1:通过 devicemapper (默认是 Overlay2 )作为 docker 的 storage drivers,最小限制为 10GiB。#!转换 storage drivers
    需要备份已有的容器,因为会清空当前镜像。不同容器仅能限制相同大小,不过生产环境这需求也不大。
    方法 2:通过 Overlay2+XFS 作为 docker 的 storage drivers,每个容器可限制不同大小。
    ps:又不是卖 VPS,反正 docker 的文件是 COW,谁闲的去限制大小,卖 VPS 还是 OpenVZ 和 KVM 更香。
    basstk
        21
    basstk  
       2020-03-21 16:57:23 +08:00
    我想问 用 Acl 把这个帐号对 /下所有文件夹的 rwx 权限都去掉,/home 只留 x ,这个如何操作 -_-!
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4035 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 10:15 · PVG 18:15 · LAX 02:15 · JFK 05:15
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.