這段時間,小豬羅志祥正處於風口浪尖,具體是為啥?還不知道的小伙伴趕緊去補一下最近的娛樂圈八卦~簡單來說,就是我們的小羅同事,以自己超強的體力,以及超強的時間管理能力,重新定義了「多人運動」的含義,重新刷新了大眾對 40 歲男人的印象。 所以啊,像手機這種很有隱私性的產品,一定要設置好各種限制,否則就 ...
這段時間,小豬羅志祥正處於風口浪尖,具體是為啥?還不知道的小伙伴趕緊去補一下最近的娛樂圈八卦~簡單來說,就是我們的小羅同事,以自己超強的體力,以及超強的時間管理能力,重新定義了「多人運動」的含義,重新刷新了大眾對 40 歲男人的印象。
所以啊,像手機這種很有隱私性的產品,一定要設置好各種限制,否則就有可能引來這種尷尬的結果(咳咳,你得先有個女朋友)……
手機如此,電腦肯定也是如此,否則……你還記得陳冠希兄弟嗎?
當然,玩笑歸玩笑,不管是手機還是電腦,裡面的數據都是非常珍貴的,一旦泄露,可能會引發很多不可預估的後果。
對於電腦而言,特別是公司的電腦,經常出現一臺電腦多人使用的場景。如何保證裡面數據的安全,限制其他人的電腦使用權呢?在 Linux系統下,我們可以使用 Restricted Shell 來實現限制某個用戶的使用權。
什麼是Restricted Shell?
首先,讓我先給大家澄清一下 Restricted Shell 的確切含義。它不是像 Bash,Korn Shell 等獨立的 Shell 。如果你想將你使用的 Shell 變成 rbash ,可以在 Shell 啟動的時候使用 -restricted ,-r 選項,然後它就會成為 Restricted Shell。
例如,可以使用 bsh -r 命令將 Bourne Shell 作為 Restricted Shell 啟動,而使用 ksh -r 命令將 kour shell 作為 Restricted Shell 啟動。
Restricted Shell 將限制用戶執行大多數命令,並且限制更改當前工作目錄,具體有如下限制:
- 不允許執行 cd 命令,所以我們哪個目錄也進不了,只能停留在當前工作目錄中。
- 不允許修改 $PATH,$SHELL,$BASH_ENV 或 $ENV 等環境變數的值。
- 不允許執行包含
/字元的程式。例如,我們不能運行 /usr/bin/uname 或 ./uname 命令。但是,我們可以執行 uname 命令。換句話說,就是我們只能在當前路徑里運行命令。 - 也不允許使用
>、>|、<>、>&、&>和>>重定向運算符重定向輸出。 - 也不允許我們在腳本中退出 Restricted Shell 模式。
- 也不允許我們使用
set+r或set+o restricted關閉 Restricted Shell 模式。
通過使用Restricted Shell限制用戶使用系統
首先,從 bash 創建一個名為 rbash 的符號鏈接,如下所示。以下命令需以 root 用戶身份運行。
# ln -s /bin/bash /bin/rbash
接下來,創建一個名為 harry 的用戶,並指定預設 Shell 為 rbash :
# useradd harry -s /bin/rbash
為新用戶設置密碼。
# passwd harry
在新用戶的文件夾內創建一個bin目錄。
# mkdir /home/harry/bin
現在,我們需要指定用戶可以運行哪些命令。
在這裡我選擇讓用戶僅運行 ls 、 mkdir 、和 ping 命令。大家也可以自定義自己允許的命令。
為此,運行以下命令:
# ln -s /bin/ls /home/harry/bin/ls
# ln -s /bin/mkdir /home/harry/bin/mkdir
# ln -s /bin/ping /home/harry/bin/ping
現在大家就瞭解為什麼我在前面的步驟中創建了 bin 目錄。除以上三個命令外,用戶無法運行其它任何命令。
接下來,讓我們來阻止用戶修改 .bash_profile 。
# chown root /home/harry/.bash_profile
# chmod 755 /home/harry/.bash_profile
編輯 /home/harry/.bash_profile 文件:
# vi /home/harry/.bash_profile
修改PATH變數。
[...]
PATH=$HOME/bin
[...]
2020 精選 阿裡/騰訊等一線大廠 面試、簡歷、進階、電子書 公眾號「良許Linux」後臺回覆「資料」免費獲取
按 ESC 鍵,然後鍵入 :wq 以保存並關閉文件。
現在當用戶登錄時,Restricted Shell(rbash)將作為預設 Shell 運行,並讀取 .bash_profile ,將 PATH 環境變數設置為 $HOME/bin ,這樣用戶只能運行 ls,mkdir 和 ping 命令。
Restricted Shell 將不允許用戶更改 PATH ,並且 .bash_profile 上的許可權將不允許用戶在下次登錄以更改環境繞過限制。
確認新用戶是否受限
現在,我們從 root 用戶註銷,然後以新創建的用戶(即harry)的身份重新登陸。
我們現在運行一些命令,確認我們上面的修改是否生效。
例如我們要清除終端,運行以下命令:
$ clear
終端將輸出:
-rbash: clear: command not found
好家伙,真的不行!那我們再試試看看能不能切換到其它目錄。
$ cd /root
終端輸出:
-rbash: cd: restricted
依然受到限制!不灰心,再試一下,看看能不能使用 > 運算符重定向輸出。
$ cat > file.txt
終端輸出:
-rbash: file.txt: restricted: cannot redirect output
看來其它的命令確實是沒辦法使用了。那我們上面設置的新用戶可以使用的幾個命令,是否真的可以使用?我們再來試試。
2020 精選 阿裡/騰訊等一線大廠 面試、簡歷、進階、電子書 公眾號「良許Linux」後臺回覆「資料」免費獲取
$ ls
$ mkdir harry
$ ping -c 3 baidu.com
一切如我們所願!現在除了這三個命令,新用戶 harry 無法執行其它任何操作,完全在自己的掌控之下!
添加其它允許使用的命令
假如之前所設置的允許新用戶使用的命令不夠用了,那要如何再添加新的命令?我們可以先退出當前用戶,然後再次登錄到 root 用戶,再按下述的方法添加新命令。
例如,允許新用戶(harry)執行 rm 命令,就以root用戶身份運行以下命令:
# ln -s /bin/rm /home/harry/bin/rm
現在用戶就可以使用 rm 命令。同樣的方法,你可以添加任何你允許新用戶使用的命令,這樣,新用戶能使用的命令都由你說了算啦!
小結
我們可以通過簡單幾個步驟,就可以對一個新用戶限制他的操作,使其在自己的家目錄下玩耍,保證電腦數據的安全。當然,這種方式不是最保險的,最保險的方式還是要把數據多方保存並加密,這樣就可以盡最大可能降低出事的概率。
看完的都是真愛,點個贊再走唄?您的「三連」就是良許持續創作的最大動力!
- 關註原創公眾號「良許Linux」,第一時間獲取最新Linux乾貨!
- 公眾號後臺回覆【資料】【面試】【簡歷】獲取精選一線大廠面試、自我提升、簡歷等資料。
- 關註我的博客:lxlinux.net
