怎么使用受限的shell来限制用户在特定的目录

qinquan

新建一个普通用户user之后，想把他限定在/home/user目录下，user用户不能进入上级目录，不能执行系统的任何命令，只能执行/home/user目录下的几个命令，怎么实现了？

我尝试了以下办法，都没有实现

1.通过设定PATH变量来限制
vi .profile
#!/bin/sh
export PATH=/home/user:.
这样user用户不能执行系统命令，比如ls命令
但是可以通过/bin/ls来执行。

2.通过受限的shell来实现
在单独脚本中能够实现这种功能
vi test
#!/bin/sh
set -r
echo "Attempting directory change in restricted mode."
cd ..
echo "Still in `pwd`"

但是如果在passwd中更改admin用户的登陆shell为/bin/sh -r
提示错误：login: cannot run /bin/sh -r: No such file or directory

在admin的用户目录/home/admin下设置.profile文件的shell路径，
#!/bin/sh -r
export PATH=/home/admin:.
设置之后并不能限制用户

3.通过chroot来实现
建立chroot的环境脚本
#vi test
#!/bin/sh
ROOT=$1
libs=`find $ROOT -type f -perm /111 -exec "ldd" {} \;|cut -d \> -f 2|cut -d \( -f 1|sort |uniq`
echo $libs
for lib in $libs
do
if [ -f $lib ] ;then
if [ ! -f $ROOT/$lib ] ;then
dir=`dirname $ROOT$lib`
if [ ! -d $dir ];then
    mkdir -pv $dir
fi
cp -av $lib $ROOT$lib
if [ -h $lib ]; then
    source=`dirname $lib`/`readlink $lib`
    cp -av $source $ROOT$source
    #echo $source >> liblist
fi
fi
fi
done
echo "Done!"

#./test /home/admin
提示错误：applet not found

waker

-perm /111是啥意思？

blackold

find -perm +111 的新形式吧。

welcome008

写一个脚本，里面提供可以执行的命令的菜单，并在用户选择时通过系统调用执行
然后把passwd里的用户的shell改为这个脚本

qinquan

原帖由 welcome008 于 2008-9-5 12:15 发表
写一个脚本，里面提供可以执行的命令的菜单，并在用户选择时通过系统调用执行
然后把passwd里的用户的shell改为这个脚本

很感谢你的意见，可是我不会写限制用户的这种脚本，能不能有一个可参考的脚本给我了，谢谢！

我的user用户只有以下的权限：
通过telnet登陆到/home/admin目录
执行我放在/home/admin下面的几个命令
其它的任何操作都不能执行

kidd05

我也有同样的问题，之前我解决的办法是在profile文件中限定bin目录，不准这个用户使用cd命令........希望能看到更好的解决办法......

qinquan

原帖由 kidd05 于 2008-9-5 14:17 发表
我也有同样的问题，之前我解决的办法是在profile文件中限定bin目录，不准这个用户使用cd命令........希望能看到更好的解决办法......

你在profile中是怎么加上这个限定，禁止用户使用cd命令了？

welcome008

原帖由 qinquan 于 2008-9-5 14:03 发表

很感谢你的意见，可是我不会写限制用户的这种脚本，能不能有一个可参考的脚本给我了，谢谢！

我的user用户只有以下的权限：
通过telnet登陆到/home/admin目录
执行我放在/home/admin下面的几个命令
其它 ...

有点类似：

......
while ( 1== 1 )
do
    echo "1     cmd1"
    echo "2     cmd2"
    ...
    echo "请输入命令代码"
    read  var
    if( $var == 1) then
             system("cmd1")
    elif( $var == 2) then
             system("cmd2")
    ...
    endif
done

kidd05

就是在该用户的.bash_profile中把bin目录指向此用户目录下的bin目录(自己建一个)，想让用户使用什么命令就cp命令到这个目录下