Parsen des Codes für die Verwendung von eingeschränktem Bash zum Erstellen eines Kontos mit bestimmten Berechtigungen unter Linux

Dieser Artikel untersucht hauptsächlich den zugehörigen Inhalt der Erstellung von Konten mit bestimmten Berechtigungen durch eingeschränktes Bash. Die spezifische Einführung lautet wie folgt.

Im täglichen Betriebs- und Wartungsbetrieb ist es manchmal zur Zusammenarbeit bei der Lösung von Problemen erforderlich, Systemkonten für Nicht-Betriebs- und Wartungspersonal zu eröffnen, um Protokolle oder Codes abzufragen. Aus Gründen der Systemsicherheit oder zur Vermeidung unnötigen Missbrauchs werden die Kontoberechtigungen in der Regel auf ein Minimum reduziert. Im Folgenden finden Sie eine Einführung in die Vorgangsaufzeichnung zum Erstellen eines Kontos mit bestimmten Berechtigungen über eingeschränktes Bash unter Linux:

[root@mq-server ~]# ln -s /bin/bash/bin/rbash
[root@mq-server ~]# useradd -s /bin/rbash wangshibo
[root@mq-server ~]# passwd wangshibo
[root@mq-server ~]# mkdir /home/wangshibo/bin
[root@mq-server ~]# chown root. /home/wangshibo/.bash_profile
[root@mq-server ~]# chmod 755 /home/wangshibo/.bash_profile
[root@mq-server ~]# vim /home/wangshibo/.bash_profile //复制下面的内容覆盖原内容
# .bash_profile

# Get the aliases and functions
if [ -f ~/.bashrc ]; then
. ~/.bashrc
fi

# User specific environment and startup programs

PATH=$HOME/bin

export PATH<br data-filtered="filtered">
[root@mq-server ~]# ln -s /bin/cat /home/wangshibo/bin/cat
[root@mq-server ~]# ll /home/wangshibo/
total 4
drwxr-xr-x 2 root root 4096 Nov 25 23:38 bin
[root@mq-server ~]# ll /home/wangshibo/bin/
total 0
lrwxrwxrwx 1 root root 8 Nov 25 23:12 cat -> /bin/cat

Nach den obigen Einstellungen können Sie feststellen, dass die Dateiberechtigungen im Home-Verzeichnis des erstellten Wangshibo-Benutzers root.root sind. Oben ist nur die Cat-Berechtigung des Wangshibo-Benutzers festgelegt und nur cat kann Dateien im Home-Verzeichnis des Wangshibo-Benutzers anzeigen /home/wangshibo . Außer cat-Befehl. Es können keine anderen Befehle ausgeführt werden!

[wangshibo@mq-server ~]$ cat /var/log/messages
cat: /var/log/messages: Permission denied
[wangshibo@mq-server ~]$ ls
-rbash: /home/wangshibo/bin/ls: No such file or directory
[wangshibo@mq-server ~]$ touch test
-rbash: /home/wangshibo/bin/touch: No such file or directory

Wenn Sie die Ausführungsrechte anderer Befehle in seinem Home-Verzeichnis haben möchten, müssen Sie die Softlinks dieser Befehle zum Verzeichnis /home/wangshibo/bin hinzufügen (den vollständigen Pfad des Binärbefehls können Sie hier einsehen). der which-Befehl)

[root@mq-server ~]# ln -s /bin/ls /home/wangshibo/bin
[root@mq-server ~]# ln -s /bin/touch /home/wangshibo/bin
[root@mq-server ~]# ln -s /bin/mkdir /home/wangshibo/bin
[root@mq-server ~]# ln -s /usr/bin/vim /home/wangshibo/bin/
[root@mq-server ~]# ll /home/wangshibo/bin/
total 0
lrwxrwxrwx 1 root root8 Nov 25 23:12 cat -> /bin/cat
lrwxrwxrwx 1 root root7 Nov 25 23:44 ls -> /bin/ls
lrwxrwxrwx 1 root root 10 Nov 25 23:45 mkdir -> /bin/mkdir
lrwxrwxrwx 1 root root 10 Nov 25 23:44 touch -> /bin/touch
lrwxrwxrwx 1 root root 12 Nov 25 23:45 vim -> /usr/bin/vim

Auf diese Weise verfügt der Wangshibo-Benutzer über die Ausführungsrechte der oben hinzugefügten Befehle

[root@mq-server ~]# su - wangshibo
[wangshibo@mq-server ~]$ ls
bin
[wangshibo@mq-server ~]$ touch test
[wangshibo@mq-server ~]$ mkdir ops
[wangshibo@mq-server ~]$ vim test
[wangshibo@mq-server ~]$ cat test
dsfdsafsadf
[wangshibo@mq-server ~]$ rm -f test
-rbash: rm: command not found
[wangshibo@mq-server ~]$ ls /usr/
binetcgamesincludeliblib64libexeclocalsbinsharesrctmp
[wangshibo@mq-server ~]$ cat /var/log/messages
cat: /var/log/messages: Permission denied

Das obige ist der detaillierte Inhalt vonParsen des Codes für die Verwendung von eingeschränktem Bash zum Erstellen eines Kontos mit bestimmten Berechtigungen unter Linux. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!