本文介绍了一种不依赖chroot的方案来创建受限用户logger,该用户只能访问特定命令和日志文件。主要步骤包括创建用户,复制必要命令到用户bin目录,使用setfacl限制可访问目录,修改用户bash配置,以及定制环境变量和alias以防止访问限制外的资源。
基于chroot方式创建的受限用户,如果需要访问原系统的文件,需要使用mount的方式挂载原系统目录或文件;而针对chroot的相关配置,如mount、umount或者删除等操作,如果操作不当,可能导致原系统重启失败,基于此方面的考虑,我想了如下一种解决方案:
创建一个普通用户logger,只允许该用户访问部分应用日志,可使用命令和可访问目录高度受限,具体实现步骤如下:
1、创建一个普通用logger
2、logger家目录下创建bin目录
从/bin、/usr/bin等目录cp部分命令到/home/logger/bin下,比如:
bash env grep ls tail view wc
3、限制可访问目录
使用setfacl限制logger访问/根目录下除lib64、home以外的其他目录;
setfacl -m user:logger:r-x /lib64
setfacl -m user:logger:--- /bin
setfacl -m user:logger:--- /boot
setfacl -m user:logger:--- /dev
setfacl -m user:logger:--- /etc
setfacl -m user:logger:--- /lib
setfacl -m user:logger:--- /lost+found
setfacl -m user:logger:--- /media
setfacl -m user:logger:--- /mnt
setfacl -m user:logger:--- /opt
setfacl -m user:logger:--- /root
最低0.47元/天 解锁文章
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
