问一个安全方面问题。。。。

johnsons

假设有这样一种需求：某些普通用户允许通过telnet登陆上系统，默认情况下该用户的HOME目录是/home/username。如果我想让该用户只能在该目录下活动，也就是该用户不能通过cd命令切换的其他的目录，该如何实现？希望大家多提想法？
个人意见：一个用户可以cd到一个目录，是因为该用户对该目录有r权限，那么可以通过对目录权限的设置而达到对用户权限的限制。但是这种方法是否太繁琐？

johnsons

anybody knows?

哈哈，速速回答。。。。

johnsons

umask改成027只能说控制该用户在创建新的目录的时候权限位为750，文件为640，但是现有的文件或者目录权限位不会受到影响，你说把/home,/的改为750，但是，其他的目录呢？比如/usr,/tmp,/datafs等等已经存在于系统中的文件系统。

johnsons

我有一个问题想问一下，如果我在/home目录下做cd /usr，那么是不是系统是先执行cd(切换到/)，然后再执行cd /usr?

johnsons

刚才测试了一下，chmod 750 /(还不敢加-R参数)，用test登陆就发现错误，说是fail to running loging shell。这样做估计不行，改回来以后，我chmod 750 /home，用test登陆可以，但是pwd和ls等执行就不行了。加上chmod 757 /home/test(为test用户)后，可以做ls和执行脚本，但是还是无法pwd。但是可以cd /或者cd /usr之类的。大猫兄的方法有没有实际测试过？

johnsons

老农兄有何看法？

johnsons

larryh，我刚才修改了test用户的.profile，加了一行/usr/bin/ksh -r，然后用test登陆就发现该用户无法切换目录了，但是我发现了一个新的问题，如果我敲入exit，然后就发现可以执行cd /之类的，如何解决？

johnsons

刚才修改了/usr/lib/security/mkuser.default中的shell默认值，还是会出现可以通过exit跳出限制的问题。

johnsons

已经彻底解决，我发现可以通过修改/etc/passwd文件中对应用户的SHELL,就不会出现上面的问题了，完全解决！！！

johnsons

多谢larryh和老农兄积极参与，以后大家多多切磋。。。呵呵。