這段時間,小豬羅志祥正處于風口浪尖,具體是為啥?還不知道的小伙伴趕緊去補一下最近的娛樂圈八卦~簡單來說,就是我們的小羅同事,以自己超強的體力,以及超強的時間管理能力,重新定義了「多人運動」的含義,重新重繪了大眾對 40 歲男人的印象,
所以啊,像手機這種很有隱私性的產品,一定要設定好各種限制,否則就有可能引來這種尷尬的結果(咳咳,你得先有個女朋友)……
手機如此,電腦肯定也是如此,否則……你還記得陳冠希兄弟嗎?
當然,玩笑歸玩笑,不管是手機還是電腦,里面的資料都是非常珍貴的,一旦泄露,可能會引發很多不可預估的后果,
對于電腦而言,特別是公司的電腦,經常出現一臺電腦多人使用的場景,如何保證里面資料的安全,限制其他人的電腦使用權呢?在 Linux系統下,我們可以使用 Restricted Shell 來實作限制某個用戶的使用權,
什么是Restricted Shell?
首先,讓我先給大家澄清一下 Restricted Shell 的確切含義,它不是像 Bash,Korn Shell 等獨立的 Shell ,如果你想將你使用的 Shell 變成 rbash ,可以在 Shell 啟動的時候使用 -restricted ,-r 選項,然后它就會成為 Restricted Shell,
例如,可以使用 bsh -r 命令將 Bourne Shell 作為 Restricted Shell 啟動,而使用 ksh -r 命令將 kour shell 作為 Restricted Shell 啟動,
Restricted Shell 將限制用戶執行大多數命令,并且限制更改當前作業目錄,具體有如下限制:
- 不允許執行 cd 命令,所以我們哪個目錄也進不了,只能停留在當前作業目錄中,
- 不允許修改 $PATH,$SHELL,$BASH_ENV 或 $ENV 等環境變數的值,
- 不允許執行包含
/字符的程式,例如,我們不能運行 /usr/bin/uname 或 ./uname 命令,但是,我們可以執行 uname 命令,換句話說,就是我們只能在當前路徑里運行命令, - 也不允許使用
>、>|、<>、>&、&>和>>重定向運算子重定向輸出, - 也不允許我們在腳本中退出 Restricted Shell 模式,
- 也不允許我們使用
set+r或set+o restricted關閉 Restricted Shell 模式,
通過使用Restricted Shell限制用戶使用系統
首先,從 bash 創建一個名為 rbash 的符號鏈接,如下所示,以下命令需以 root 用戶身份運行,
# ln -s /bin/bash /bin/rbash
接下來,創建一個名為 harry 的用戶,并指定默認 Shell 為 rbash :
# useradd harry -s /bin/rbash
為新用戶設定密碼,
# passwd harry
在新用戶的檔案夾內創建一個bin目錄,
# mkdir /home/harry/bin
現在,我們需要指定用戶可以運行哪些命令,
在這里我選擇讓用戶僅運行 ls 、 mkdir 、和 ping 命令,大家也可以自定義自己允許的命令,
為此,運行以下命令:
# ln -s /bin/ls /home/harry/bin/ls
# ln -s /bin/mkdir /home/harry/bin/mkdir
# ln -s /bin/ping /home/harry/bin/ping
現在大家就了解為什么我在前面的步驟中創建了 bin 目錄,除以上三個命令外,用戶無法運行其它任何命令,
接下來,讓我們來阻止用戶修改 .bash_profile ,
# chown root /home/harry/.bash_profile
# chmod 755 /home/harry/.bash_profile
編輯 /home/harry/.bash_profile 檔案:
# vi /home/harry/.bash_profile
修改PATH變數,
[...]
PATH=$HOME/bin
[...]
2020 精選 阿里/騰訊等一線大廠 面試、簡歷、進階、電子書 公眾號「良許Linux」后臺回復「資料」免費獲取
按 ESC 鍵,然后鍵入 :wq 以保存并關閉檔案,
現在當用戶登錄時,Restricted Shell(rbash)將作為默認 Shell 運行,并讀取 .bash_profile ,將 PATH 環境變數設定為 $HOME/bin ,這樣用戶只能運行 ls,mkdir 和 ping 命令,
Restricted Shell 將不允許用戶更改 PATH ,并且 .bash_profile 上的權限將不允許用戶在下次登錄以更改環境繞過限制,
確認新用戶是否受限
現在,我們從 root 用戶注銷,然后以新創建的用戶(即harry)的身份重新登陸,
我們現在運行一些命令,確認我們上面的修改是否生效,
例如我們要清除終端,運行以下命令:
$ clear
終端將輸出:
-rbash: clear: command not found
好家伙,真的不行!那我們再試試看看能不能切換到其它目錄,
$ cd /root
終端輸出:
-rbash: cd: restricted
依然受到限制!不灰心,再試一下,看看能不能使用 > 運算子重定向輸出,
$ cat > file.txt
終端輸出:
-rbash: file.txt: restricted: cannot redirect output
看來其它的命令確實是沒辦法使用了,那我們上面設定的新用戶可以使用的幾個命令,是否真的可以使用?我們再來試試,
2020 精選 阿里/騰訊等一線大廠 面試、簡歷、進階、電子書 公眾號「良許Linux」后臺回復「資料」免費獲取
$ ls
$ mkdir harry
$ ping -c 3 baidu.com
一切如我們所愿!現在除了這三個命令,新用戶 harry 無法執行其它任何操作,完全在自己的掌控之下!
添加其它允許使用的命令
假如之前所設定的允許新用戶使用的命令不夠用了,那要如何再添加新的命令?我們可以先退出當前用戶,然后再次登錄到 root 用戶,再按下述的方法添加新命令,
例如,允許新用戶(harry)執行 rm 命令,就以root用戶身份運行以下命令:
# ln -s /bin/rm /home/harry/bin/rm
現在用戶就可以使用 rm 命令,同樣的方法,你可以添加任何你允許新用戶使用的命令,這樣,新用戶能使用的命令都由你說了算啦!
小結
我們可以通過簡單幾個步驟,就可以對一個新用戶限制他的操作,使其在自己的家目錄下玩耍,保證電腦資料的安全,當然,這種方式不是最保險的,最保險的方式還是要把資料多方保存并加密,這樣就可以盡最大可能降低出事的概率,
看完的都是真愛,點個贊再走唄?您的「三連」就是良許持續創作的最大動力!
- 關注原創公眾號「良許Linux」,第一時間獲取最新Linux干貨!
- 公眾號后臺回復【資料】【面試】【簡歷】獲取精選一線大廠面試、自我提升、簡歷等資料,
- 關注我的博客:lxlinux.net
轉載請註明出處,本文鏈接:https://www.uj5u.com/caozuo/83142.html
標籤:Linux
上一篇:網路小白,求助大佬