Linux 有办法开一个用户,但是只允许它查看制定的目录吗 ,不能看其他目录 连 cd ls 其他目录 都禁止
dozenx · 2024-03-26 16:35:43 +08:00 · 3696 次点击这是一个创建于 366 天前的主题,其中的信息可能已经有所发展或是发生改变。
 |
1
Noicdi 2024-03-26 16:37:43 +08:00 via iPhone
不被允许的目录通过 acl 去掉权限?这个方式我不确定行不行
|
 |
2
opengps 2024-03-26 16:39:30 +08:00
好像可以用 smb 分享时候给这个用户设置共享文件夹权限
|
 |
3
NoOneNoBody 2024-03-26 16:41:53 +08:00
不如开个 smb/ftp 用户,连指定访问的真实路径都隐了
|
 |
4
bjtugun 2024-03-26 16:42:44 +08:00 via Android
how about sftp server stand alone, such as sftpgo
|
 |
5
rolinbutterfly2 2024-03-26 16:42:56 +08:00
vi /etc/ssh/sshd_config 添加 Match User user1 ChrootDirectory /dir/
|
 |
6
Muniesa 2024-03-26 16:43:00 +08:00 via Android  1
要不弄个 docker 开个 ssh 给他连吧
|
 |
7
ETiV 2024-03-26 16:44:21 +08:00 via iPhone
怎么叫查看…用 tree 命令列一下目录、渲染成图片,再把图传给用户,行不行
|
 |
8
lieliew 2024-03-26 16:46:39 +08:00
sudoers 文件来限制用户对其他命令的访问?
|
 |
9
zjsxwc 2024-03-26 16:49:40 +08:00 1
这不就是 linux 的级别操作吗
|
|
10
zjsxwc 2024-03-26 16:49:49 +08:00
级别 ==》 基本
|
 |
11
Maboroshii 2024-03-26 16:52:21 +08:00 via Android
基本默认的目录权限都是 755 ,也就是其他用户都能访问的。如果要改掉全部的代价有点大。开个 docker 或者 kvm 给他用,映射几个端口出来,更合适
|
 |
12
PPPaul 2024-03-26 17:21:35 +08:00
我之前记得学渗透的时候有的靶机上会设置这些东西,不过忘了具体怎么配置的了
|
 |
13
mightybruce 2024-03-26 17:32:47 +08:00
要么使用 docker, 要么手动撸代码实现一个类似的 docker
|
 |
14
wu67 2024-03-26 18:01:54 +08:00 via Android
还不如开个 webdav ,想要那个目录给他指定就好了
|
 |
15
gamexg 2024-03-26 18:08:44 +08:00
SELinux AppArmor 应该可以实现,但是我没用过.
|
 |
16
swulling 2024-03-26 18:21:52 +08:00 via iPhone
弄个 rootless 的容器,把目录挂载到容器内。容器开一个 sshd 。
|
 |
17
PhaSelEza 2024-03-26 18:32:37 +08:00
可以用 bubblewrap 开个空白容器:
bwrap --unshare-all --dev /dev --proc /proc --tmpfs /tmp --tmpfs /var/tmp --ro-bind-try /usr/bin /usr/bin --ro-bind-try /lib /lib --ro-bind-try /lib32 /lib32 --ro-bind-try /lib64 /lib64 --tmpfs /home --bind /mnt env -i bash |
|
18
PhaSelEza 2024-03-26 18:34:15 +08:00 1
上条命令有错误:
bwrap --unshare-all --dev /dev --proc /proc --tmpfs /tmp --tmpfs /var/tmp --ro-bind-try /usr/bin /usr/bin --ro-bind-try /lib /lib --ro-bind-try /lib32 /lib32 --ro-bind-try /lib64 /lib64 --tmpfs /home --bind-try "需要共享的目录" /mnt env -i bash 可定制化程度很高,但对涉及到 GUI 或 DBUS 的应用的隔离很麻烦。 |
 |
19
dode 2024-03-26 18:34:25 +08:00
容器化,挂载一个目录到容器里
|
 |
20
dhb233 2024-03-26 18:46:28 +08:00
目录的话,没有 x 权限就不能访问了啊
|
 |
21
yanqiyu 2024-03-26 18:58:22 +08:00
https://github.com/containers/podman/blob/main/docs/source/markdown/podmansh.1.md
podmansh ,用容器替代登录 shell ,就可以只暴露特定功能了 |
 |
22
tiedan 2024-03-26 19:24:10 +08:00
chroot 这个命令可以吗
|
 |
23
blessingsi 2024-03-26 20:07:48 +08:00
不知道去掉用户对根目录的 r 、x 权限会不会有问题。
|
 |
24
miaosl 2024-03-26 20:25:14 +08:00 via Android
我记得可以配额把单独,应该是可以实现的
|
 |
25
eaststarpen 2024-03-26 20:47:14 +08:00
将该用户的默认 shell 改成 git-shell, 那 ta 就只能对 ta 的 home 进行读写操作 (git) 操作
也可以指定该用户可以使用的 bash 命令 (默认就是 cd, ls 都用不了) |
 |
26
flyingghost 2024-03-27 00:52:36 +08:00
给他指定一个特殊的 shell 吧。。。
|
 |
27
7Wate 2024-03-27 09:02:54 +08:00
rbash 了解一下(来自 GPT),已测试可实现楼主的需求。
|
|
28
7Wate 2024-03-27 09:04:42 +08:00
|
 |
29
a15757817542 2024-03-27 09:28:58 +08:00
linux 中的 selinux 可以了解下
|
 |
30
k0njaccc3 2024-03-27 11:26:29 +08:00
我觉得 26 楼的方式在我的个人认知内是最简单最方便也是最安全的。
|
 |
31
libook 2024-03-27 11:39:14 +08:00
最简单有效的办法就是用容器,只映射有权访问的目录,其他的可以随便折腾。
|
 |
32
kaf 2024-03-27 14:13:08 +08:00
chroot 你看下可行吗
|
 |
33
tomychen 2024-03-27 15:32:43 +08:00
chroot 可以满足你的要求
|
 |
34
julyclyde 2024-03-27 18:09:47 +08:00
restricted shell
|
Select Language