我想限制某些用户在我的系统上的命令的子集,绝对不能访问系统的其余部分。 我认为chroot是解决这个问题的方法,但是我只知道如何chroot一个ftp用户。 这可以为普通的shell用户完成,我该如何实现这一目标?
Jailkit简化了它。
Jailkit是一组使用chroot()和/或特定命令将用户帐户限制到特定文件的实用程序。 设置一个chroot shell,一个限于某个特定命令的shell,或者一个在chroot jail里面的守护进程,要简单得多,可以使用这些工具来自动化。
请特别小心地使用chroot,众所周知,它并不能提供完整的保护。
来自维基百科的chroot限制
我记得有关LKML关于修复chroot中允许用户逃跑的“bug”的争论; 内核开发者已经回答说,chroot并不是一个安全机制。