基于chroot方式创建的受限用户,如果需要访问原系统的文件,需要使用mount的方式挂载原系统目录或文件;而针对chroot的相关配置,如mount、umount或者删除等操作,如果操作不当,可能导致原系统重启失败,基于此方面的考虑,我想了如下一种解决方案:
创建一个普通用户logger,只允许该用户访问部分应用日志,可使用命令和可访问目录高度受限,具体实现步骤如下:
1、创建一个普通用logger
2、logger家目录下创建bin目录
从/bin、/usr/bin等目录cp部分命令到/home/logger/bin下,比如:
bash env grep ls tail view wc
3、限制可访问目录
使用setfacl限制logger访问/根目录下除lib64、home以外的其他目录;
setfacl -m user:logger:r-x /lib64
setfacl -m user:logger:--- /bin
setfacl -m user:logger:--- /boot
setfacl -m user:logger:--- /dev
setfacl -m user:logger:--- /etc
setfacl -m user:logger:--- /lib
setfacl -m user:logger:--- /lost+found
setfacl -m user:logger:--- /media
setfacl -m user:logger:--- /mnt
setfacl -m user:logger:--- /opt
setfacl -m user:logger:--- /root