回复 2楼 zhyesno 的帖子

(1)加限制的shell(rsh)
   该shell几乎与普通的shell相同,但是该shell的设计能限制一个用户的
  能力,不允许用户有某些标准shell所允许的行为:
   . 不能改变工作目录(cd).
   . 不能改变PATH或SHELL shell变量.
   . 不能使用含有"/"的命令名.
   . 不能重定向输出(>和>>).
   . 不能用exec执行程序.
   用户在登录时,招待.profile文件后系统就强加上了这些限制,如果用户
  在.profile文件正被解释时按了BREAK键或DELETE键,该用户将被注销.
   这些简单的限制,使用写受限制用户的.profile文件的系统管理员可以对
  用户能使用什么命令,进行完全的控制.
   应当注意:系统V加限制的shell实际上不是很安全,在敌对的用户时不要
  用.系统V版本2以后的版本中加限制的shell更安全些.但若允许受限制的用户
  使用某些命令(如env,cp,ln),用户将能逃避加限制的shell,进入非限制的
  shell.

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

snowman_zhu

稍有积蓄

论坛徽章:: 0

5楼 [报告]

发表于 2006-04-24 20:55 |只看该作者

回复 4楼 snowman_zhu 的帖子

2)用chroot()限制用户
   如果的确想限制一个用户,可用chroot()子程序为用户建立一个完全隔离
  的环境,改变了进程对根目录的概念,因此可用于将一个用户封在整个文件系
  统的某一层目录结构中,使用户无法用cd命令转出该层目录结构,不能存取文
  件系统中其余部分的任何文件.这种限制方式比加限制的shell好得多.用户使
  用的命令应由系统管理员在新的root目录中建立一个bin目录,并建立用户可
  用命令的链到系统的/bin目录中相应命令文件上(若在不同的文件系统则应拷
  贝命令文件).
   还应建立新的passwd文件,保留系统登录户头(为了使ls -l正确地报告与
  受限制的子文件系统中的文件相关的正确登录名)和用户帐户,但系统帐户的
  口令改为NOLOGIN以使受限制的用户不能取得系统登录的真实口令,使"破密"
  程序的任何企图成为泡影.
   utmp文件是who所需要的,该文件含有系统中已登录用户的列表.
   新的/etc/profile文件也不是建链文件,以便受限制的用户可以执行不同
  的启动命令.
   /dev目录中的终端设备文件被链接到新的/dev目录下,因为命令who产生
  输出时要查看这些文件.
   在系统V及以后的UNIX版本中,login命令有chroot()的功能.如果口令文
  件中用户入口项的登录shell域(最后一个域)是*,login将调用chroot()把用
  户的根目录设置成为口令文件中用户入口项登录目录域指定的目录.然后再调
  用exec()执行login,新的login将在新子系统文件中执行该用户的登录.
   chroot()并不是把root封锁在一个子文件系统中,所以给受限制用户用的
  命令时应加以考虑,具有root的SUID许可的程序可能会给予用户root的能力.
  应当将这种可能减低到最小程度,交给用户使用的命令应当取自清除了SUID陷
  井的系统命令.链接文件可减少磁盘占用区,但要记住,当与敌对用户打交道时
  链接到chroot目录结构(尤其是命令)的系统文件是很危险的.
   如果建立一个像这样的限制环境,应确保对安装到新的/bin的每条命令都
  做过测试,有些程序可能有系统管理员未曾想到的出乎意料的执行结果.为了
  使这些命令能运行,还得在加限制的子文件系统中加服务目录或文件如:/tmp,
  /etc/termcap,/usr/lib/terminfo,/dev/mem,/dev/kmem,/dev/swap,用户所
  登录的/dev中的tty文件以及/unix.
   有些程序在子文件系统中运行时不会很好,如果将假脱机程序和网络命令
  拷贝到加限制的子文件系统中,并放在为两条命令专建的目录层结构下,它们
  可能也运行不了.