今天在网上看到这么个chroot工具jailkit,于是就在本地测试了下,感觉是相当的好用,可以对系统用户进行活动范围以及权限的限制,是一个不错的权限限制工具.
下载地址:http://olivier.sessink.nl/jailkit/download/
1. 安装 jailkit
#tar zxvf jailkit-2.10.tar.gz
#tar zxvf jailkit-2.10.tar.gz
#cd jailkit-2.10
#./configure
#make
#make install
2.配置jailkit
#mkdir /home/jail //创建一个系统用户目录
#jk_init -v -j /home/jail basicshell
#jk_init -v -j /home/jail editors
#jk_init -v -j /home/jail extendedshell
#jk_init -v -j /home/jail netutils
#jk_init -v -j /home/jail ssh
#jk_init -v -j /home/jail sftp
#jk_init -v -j /home/jail scp
#useradd suibian
#passwd suibian
#jk_init -v -j /home/jail basicshell
#jk_init -v -j /home/jail editors
#jk_init -v -j /home/jail extendedshell
#jk_init -v -j /home/jail netutils
#jk_init -v -j /home/jail ssh
#jk_init -v -j /home/jail sftp
#jk_init -v -j /home/jail scp
#useradd suibian
#passwd suibian
#mkdir /home/jail/usr/sbin
cp /usr/sbin/jk_lsh /home/jail/usr/sbin/jk_lsh
jk_jailuser -m -j /home/jail suibian
cp /usr/sbin/jk_lsh /home/jail/usr/sbin/jk_lsh
jk_jailuser -m -j /home/jail suibian
修改suibian 的 shell 为 /bin/bash
vi /home/jail/etc/passwd
suibian:x:1016:1016::/home/sharon:/bin/bash
vi /home/jail/etc/passwd
suibian:x:1016:1016::/home/sharon:/bin/bash
3.进行测试,用suibian用户登录系统,于root的区别
$ pwd
/home/suibian
/home/suibian
$ ll
bash: ll: command not found
bash: ll: command not found
可以看到最基本的操作系统命令都无法执行,是相当的安全的,其他命令大家可以自 己试下,像top、su等等命令都是不可用的
本文转自wiliiwin 51CTO博客,原文链接:http://blog.51cto.com/wiliiwin/221571
