Как ограничить команды пользователя в Linux

Иногда вам может понадобиться ограничить пользовательские команды в Linux. Это обычное требование системных администраторов, чтобы предотвратить выполнение неавторизованными пользователями ключевых команд, которые могут повредить систему. Существует несколько способов ограничить пользовательские команды в Linux. В этой статье мы узнаем, как ограничить команды пользователя в Linux.

linux

Как ограничить команды пользователя в Linux

Ниже описаны шаги по ограничению команд пользователя в Linux. Мы предположили, что каждый пользователь имеет свой собственный каталог /home/[имя пользователя], а его оболочкой по умолчанию является /bin/bash.

1. Изменение пользовательского Bash на ограниченный Bash

Bash позволяет запускать оболочку в ограниченном режиме, который не позволяет пользователям изменять каталоги и вносить другие критические изменения. По умолчанию пользователи входят в неограниченную оболочку bash. Вы можете изменить пользовательский shell на ограниченный bash shell, выполнив следующую команду в терминале.

После выполнения этой команды пользователь с именем [username] сможет работать только в ограниченной оболочке bash, когда войдет в систему.

2. Изменение прав доступа к каталогам

У каждого пользователя есть свой домашний каталог /home/[имя пользователя]. Вы можете изменить права доступа к нему так, чтобы только пользователь (и root) мог редактировать этот каталог, а не другие. Это можно сделать с помощью команды chmod.

3. Удалите файл .bashrc пользователя

Каждый пользователь имеет свой собственный .bash_profile, который выполняется для настройки начальной загрузки командной строки оболочки пользователя. Вы можете удалить его, чтобы пользователи не могли изменять свою оболочку по умолчанию.

4. Создание безопасных псевдонимов

Система Linux позволяет создавать псевдонимы для команд, которые действуют как ярлыки. Вы можете использовать эту возможность для отключения команд. Для этого создайте пустой файл .bash_profile.

Вот пример создания псевдонима для команды apt-get, которая используется для загрузки и установки пакетов в системах Ubuntu/Debian. Для этого добавьте следующую строку к приведенной выше строке.

В приведенной выше команде Linux будет просто печатать пустую строку, когда пользователь вызывает команду apt-get, фактически отключая ее. Аналогично, вы можете добавить больше псевдонимов в этот файл для команд, которые вы хотите отключить.

Последняя команда alias alias отключает даже псевдонимы для пользователя. Но, пожалуйста, добавьте ее в конец, иначе она отключит возможность псевдонимов предыдущих команд.

После завершения работы сохраните и закройте файл. Обратите внимание, что после создания псевдонима для команды, Linux всегда будет использовать псевдоним вместо оригинальной команды, пока вы не удалите его.

Вы можете использовать этот метод для отключения других команд, таких как ls, rm, cp, mv и т.д., если хотите.

5. Отключение команд оболочки

Вы можете отключить команды оболочки в vi, переименовав команду vi в ограниченный режим, как упоминалось выше.

6. Изменение права собственности на .bash_profile

Также вы можете изменить права собственности на .bash_profile так, чтобы только пользователь root мог изменять его. Таким образом, пользователи не смогут изменять свой файл ._bash_profile и выполнять несанкционированные команды.

7. Удаление разрешения пользователя в .bash_profile

Наконец, удалите разрешение пользователя из файла .bash_profile.

Заключение

В этой статье мы рассмотрели несколько способов ограничения команд пользователя в Linux. Вы можете составить список команд, которые вы не хотите, чтобы ваши пользователи могли выполнять, и отключить их в вашей системе для этих пользователей.

Понравилась статья? Поделиться с друзьями:
Добавить комментарий