1
Noicdi 277 天前 via iPhone
不被允许的目录通过 acl 去掉权限?这个方式我不确定行不行
|
2
opengps 277 天前
好像可以用 smb 分享时候给这个用户设置共享文件夹权限
|
3
NoOneNoBody 277 天前
不如开个 smb/ftp 用户,连指定访问的真实路径都隐了
|
4
bjtugun 277 天前 via Android
how about sftp server stand alone, such as sftpgo
|
5
rolinbutterfly2 277 天前
vi /etc/ssh/sshd_config 添加 Match User user1 ChrootDirectory /dir/
|
6
Muniesa 277 天前 via Android 1
要不弄个 docker 开个 ssh 给他连吧
|
7
ETiV 277 天前 via iPhone
怎么叫查看…用 tree 命令列一下目录、渲染成图片,再把图传给用户,行不行
|
8
lieliew 277 天前
sudoers 文件来限制用户对其他命令的访问?
|
9
zjsxwc 277 天前 1
这不就是 linux 的级别操作吗
|
10
zjsxwc 277 天前
级别 ==》 基本
|
11
Maboroshii 277 天前 via Android
基本默认的目录权限都是 755 ,也就是其他用户都能访问的。如果要改掉全部的代价有点大。开个 docker 或者 kvm 给他用,映射几个端口出来,更合适
|
12
PPPaul 277 天前
我之前记得学渗透的时候有的靶机上会设置这些东西,不过忘了具体怎么配置的了
|
13
mightybruce 277 天前
要么使用 docker, 要么手动撸代码实现一个类似的 docker
|
14
wu67 277 天前 via Android
还不如开个 webdav ,想要那个目录给他指定就好了
|
15
gamexg 277 天前
SELinux AppArmor 应该可以实现,但是我没用过.
|
16
swulling 277 天前 via iPhone
弄个 rootless 的容器,把目录挂载到容器内。容器开一个 sshd 。
|
17
PhaSelEza 277 天前
可以用 bubblewrap 开个空白容器:
bwrap --unshare-all --dev /dev --proc /proc --tmpfs /tmp --tmpfs /var/tmp --ro-bind-try /usr/bin /usr/bin --ro-bind-try /lib /lib --ro-bind-try /lib32 /lib32 --ro-bind-try /lib64 /lib64 --tmpfs /home --bind /mnt env -i bash |
18
PhaSelEza 277 天前 1
上条命令有错误:
bwrap --unshare-all --dev /dev --proc /proc --tmpfs /tmp --tmpfs /var/tmp --ro-bind-try /usr/bin /usr/bin --ro-bind-try /lib /lib --ro-bind-try /lib32 /lib32 --ro-bind-try /lib64 /lib64 --tmpfs /home --bind-try "需要共享的目录" /mnt env -i bash 可定制化程度很高,但对涉及到 GUI 或 DBUS 的应用的隔离很麻烦。 |
19
dode 277 天前
容器化,挂载一个目录到容器里
|
20
dhb233 277 天前
目录的话,没有 x 权限就不能访问了啊
|
21
yanqiyu 277 天前
https://github.com/containers/podman/blob/main/docs/source/markdown/podmansh.1.md
podmansh ,用容器替代登录 shell ,就可以只暴露特定功能了 |
22
tiedan 277 天前
chroot 这个命令可以吗
|
23
blessingsi 277 天前
不知道去掉用户对根目录的 r 、x 权限会不会有问题。
|
24
miaosl 277 天前 via Android
我记得可以配额把单独,应该是可以实现的
|
25
eaststarpen 276 天前
将该用户的默认 shell 改成 git-shell, 那 ta 就只能对 ta 的 home 进行读写操作 (git) 操作
也可以指定该用户可以使用的 bash 命令 (默认就是 cd, ls 都用不了) |
26
flyingghost 276 天前
给他指定一个特殊的 shell 吧。。。
|
27
7Wate 276 天前
rbash 了解一下(来自 GPT),已测试可实现楼主的需求。
|
28
7Wate 276 天前
|
29
a15757817542 276 天前
linux 中的 selinux 可以了解下
|
30
k0njaccc3 276 天前
我觉得 26 楼的方式在我的个人认知内是最简单最方便也是最安全的。
|
31
libook 276 天前
最简单有效的办法就是用容器,只映射有权访问的目录,其他的可以随便折腾。
|
32
kaf 276 天前
chroot 你看下可行吗
|
33
tomychen 276 天前
chroot 可以满足你的要求
|
34
julyclyde 276 天前
restricted shell
|