Я создал учетную запись пользователя на своем сервере Ubuntu. Оболочка пользователя по умолчанию - rbash. Это отлично работает, пока они не наберут bash с этого момента они больше не ограничиваются своими домашними каталогами. Как я могу это исправить?
Вам нужно ограничить двоичные файлы, доступные пользователю, rbash - это только первый шаг.
Вот блог с более подробной информацией: http://blog.bodhizazen.net/linux/how-to-restrict-access-with-rbash/
Например, вам нужно изменить PATH пользователя, чтобы исключить обычные каталоги, такие как / bin, / sbin, / usr / bin, / usr / sbin. Добавьте новый каталог bin в их PATH и скопируйте в него безопасные команды.
Также вам необходимо ограничить загрузочные файлы пользователя (например, .bashrc), чтобы они не могли изменить свой путь таким образом.
Вы также можете выполнить chroot для большей безопасности.
Ты мог:
cron и другие службы работают как)Но это не очень хорошая безопасность, так как вы находитесь в позиции «перечисления плохих» на шаге 5, что по сути невозможно, так как есть много других способов, которыми пользователь может вырваться из rbash в другую оболочку.
Лучшей альтернативой было бы попробовать chroot-тюрьмы для ваших пользователей. Существует множество соответствующих руководств, таких как этот и этот в качестве двух примеров (это два верхних результата поиска для "user chroot", вы можете посмотреть глубже или, возможно, добавить еще несколько условий поиска, чтобы увидеть, можете ли вы найти информацию, более специфичную для вашей среды). Википедия есть страница по этой теме: раздел ограничений может представлять особый интерес, чтобы убедиться, что методика может делать то, что вы ищете.