「多人運動」的思考：如何限制他人操做本身的電腦？(1)

這段時間，小豬羅志祥正處於風口浪尖，具體是爲啥？還不知道的小夥伴趕忙去補一下最近的娛樂圈八卦~簡單來講，就是咱們的小羅同事，以本身超強的體力，以及超強的時間管理能力，從新定義了「多人運動」的含義，從新刷新了大衆對 40 歲男人的印象。

因此啊，像手機這種頗有隱私性的產品，必定要設置好各類限制，不然就有可能引來這種尷尬的結果（咳咳，你得先有個女友）……

手機如此，電腦確定也是如此，不然……你還記得陳冠希兄弟嗎？

固然，玩笑歸玩笑，不論是手機仍是電腦，裏面的數據都是很是珍貴的，一旦泄露，可能會引起不少不可預估的後果。

對於電腦而言，特別是公司的電腦，常常出現一臺電腦多人使用的場景。如何保證裏面數據的安全，限制其餘人的電腦使用權呢？在 Linux系統下，咱們可使用 Restricted Shell 來實現限制某個用戶的使用權。

什麼是Restricted Shell?

首先，讓我先給你們澄清一下 Restricted Shell 的確切含義。它不是像 Bash，Korn Shell 等獨立的 Shell 。若是你想將你使用的 Shell 變成 rbash ，能夠在 Shell 啓動的時候使用 -restricted ，-r 選項，而後它就會成爲 Restricted Shell。

例如，可使用 bsh -r 命令將 Bourne Shell 做爲 Restricted Shell 啓動，而使用 ksh -r 命令將 kour shell 做爲 Restricted Shell 啓動。

Restricted Shell 將限制用戶執行大多數命令，而且限制更改當前工做目錄，具體有以下限制：

• 不容許執行 cd 命令，因此咱們哪一個目錄也進不了，只能停留在當前工做目錄中。
• 不容許修改 $PATH，$SHELL，$BASH_ENV 或 $ENV 等環境變量的值。
• 不容許執行包含 / 字符的程序。例如，咱們不能運行 /usr/bin/uname 或 ./uname 命令。可是，咱們能夠執行 uname 命令。換句話說，就是咱們只能在當前路徑裏運行命令。
• 也不容許使用 > 、>| 、<>、>&、&> 和 >> 重定向運算符重定向輸出。
• 也不容許咱們在腳本中退出 Restricted Shell 模式。
• 也不容許咱們使用 set+r 或 set+o restricted 關閉 Restricted Shell 模式。

  經過使用Restricted Shell限制用戶使用系統

  首先，從 bash 建立一個名爲 rbash 的符號連接，以下所示。如下命令需以 root 用戶身份運行。

  # ln -s /bin/bash /bin/rbash複製代碼

  接下來，建立一個名爲 harry 的用戶，並指定默認 Shell 爲 rbash ：

  # useradd harry -s /bin/rbash複製代碼

  爲新用戶設置密碼。

  # passwd harry複製代碼

  在新用戶的文件夾內建立一個bin目錄。

  # mkdir /home/harry/bin複製代碼

  如今，咱們須要指定用戶能夠運行哪些命令。

在這裏我選擇讓用戶僅運行 ls 、 mkdir 、和 ping 命令。你們也能夠自定義本身容許的命令。

爲此，運行如下命令：

# ln -s /bin/ls /home/harry/bin/ls
# ln -s /bin/mkdir /home/harry/bin/mkdir
# ln -s /bin/ping /home/harry/bin/ping複製代碼

如今你們就瞭解爲何我在前面的步驟中建立了 bin 目錄。除以上三個命令外，用戶沒法運行其它任何命令。

接下來，讓咱們來阻止用戶修改 .bash_profile 。

# chown root /home/harry/.bash_profile複製代碼

# chmod 755 /home/harry/.bash_profile複製代碼

編輯 /home/harry/.bash_profile 文件：

# vi /home/harry/.bash_profile複製代碼

修改PATH變量。

[...]
PATH=$HOME/bin
[...]複製代碼

2020 精選 阿里/騰訊等一線大廠 面試、簡歷、進階、電子書 公衆號「良許Linux」後臺回覆「資料」免費獲取

按 ESC 鍵，而後鍵入 :wq 以保存並關閉文件。

如今當用戶登陸時，Restricted Shell（rbash）將做爲默認 Shell 運行，並讀取 .bash_profile ，將 PATH 環境變量設置爲 $HOME/bin ，這樣用戶只能運行 ls，mkdir 和 ping 命令。

Restricted Shell 將不容許用戶更改 PATH ，而且 .bash_profile 上的權限將不容許用戶在下次登陸以更改環境繞過限制。

確認新用戶是否受限

如今，咱們從 root 用戶註銷，而後以新建立的用戶（即harry）的身份從新登錄。

咱們如今運行一些命令，確認咱們上面的修改是否生效。

例如咱們要清除終端，運行如下命令：

$ clear複製代碼

終端將輸出：

-rbash: clear: command not found複製代碼

好傢伙，真的不行！那咱們再試試看看能不能切換到其它目錄。

$ cd /root複製代碼

終端輸出：

-rbash: cd: restricted複製代碼

依然受到限制！不灰心，再試一下，看看能不能使用 > 運算符重定向輸出。

$ cat > file.txt複製代碼

終端輸出：

-rbash: file.txt: restricted: cannot redirect output複製代碼

看來其它的命令確實是沒辦法使用了。那咱們上面設置的新用戶可使用的幾個命令，是否真的可使用？咱們再來試試。

2020 精選 阿里/騰訊等一線大廠 面試、簡歷、進階、電子書 公衆號「良許Linux」後臺回覆「資料」免費獲取

$ ls
$ mkdir harry
$ ping -c 3 baidu.com複製代碼

一切如咱們所願！如今除了這三個命令，新用戶 harry 沒法執行其它任何操做，徹底在本身的掌控之下！

添加其它容許使用的命令

假如以前所設置的容許新用戶使用的命令不夠用了，那要如何再添加新的命令？咱們能夠先退出當前用戶，而後再次登陸到 root 用戶，再按下述的方法添加新命令。

例如，容許新用戶（harry）執行 rm 命令，就以root用戶身份運行如下命令：

# ln -s /bin/rm /home/harry/bin/rm複製代碼

如今用戶就可使用 rm 命令。一樣的方法，你能夠添加任何你容許新用戶使用的命令，這樣，新用戶能使用的命令都由你說了算啦！

小結

咱們能夠經過簡單幾個步驟，就能夠對一個新用戶限制他的操做，使其在本身的家目錄下玩耍，保證電腦數據的安全。固然，這種方式不是最保險的，最保險的方式仍是要把數據多方保存並加密，這樣就能夠盡最大可能下降出事的機率。

看完的都是真愛，點個贊再走唄？您的「三連」就是良許持續創做的最大動力！

1. 關注原創公衆號「良許Linux」，第一時間獲取最新Linux乾貨！
2. 公衆號後臺回覆【資料】【面試】【簡歷】獲取精選一線大廠面試、自我提高、簡歷等資料。
3. 關注個人博客：lxlinux.net